16.2. Contrôle de la synchronisation des admissions à la sécurité des pods
Vous pouvez activer ou désactiver la synchronisation automatique de l'admission à la sécurité des pods pour la plupart des espaces de noms.
Les espaces de noms définis comme faisant partie de la charge utile du cluster ont une synchronisation d'admission de sécurité des pods désactivée de façon permanente. Ces espaces de noms sont les suivants
-
default -
kube-node-lease -
kube-system -
kube-public -
openshift -
Tous les espaces de noms créés par le système et préfixés par
openshift-, à l'exception deopenshift-operators
Par défaut, tous les espaces de noms ayant un préfixe openshift- ne sont pas synchronisés. Vous pouvez activer la synchronisation pour tous les espaces de noms openshift-* créés par l'utilisateur. Vous ne pouvez pas activer la synchronisation pour les espaces de noms openshift-* créés par le système, à l'exception de openshift-operators.
Si un opérateur est installé dans un espace de noms openshift-* créé par l'utilisateur, la synchronisation est activée par défaut après la création d'une version de service de cluster (CSV) dans l'espace de noms. L'étiquette synchronisée hérite des autorisations des comptes de service de l'espace de noms.
Procédure
Pour chaque espace de noms que vous souhaitez configurer, définissez une valeur pour l'étiquette
security.openshift.io/scc.podSecurityLabelSync:Pour désactiver la synchronisation des étiquettes d'admission à la sécurité des pods dans un espace de noms, définissez la valeur de l'étiquette
security.openshift.io/scc.podSecurityLabelSyncsurfalse.Exécutez la commande suivante :
oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=false
Pour activer la synchronisation des étiquettes d'admission à la sécurité des pods dans un espace de noms, définissez la valeur de l'étiquette
security.openshift.io/scc.podSecurityLabelSyncsurtrue.Exécutez la commande suivante :
oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=true
