15.8.7. クラスターのデフォルト動作の変更
すべてのユーザーに対して anyuid SCC のアクセスを付与する場合、クラスターは以下のようになります。
- UID を事前に割り当てない
- コンテナーの任意ユーザーとしての実行を許可する
- 特権付きコンテナーを禁止する
$ oc adm policy add-scc-to-group anyuid system:authenticated
UID を事前に割り当てないようにし、コンテナーが root で実行されないようにクラスターを変更するには、すべてのユーザーに対して nonroot SCC のアクセスを付与します。
$ oc adm policy add-scc-to-group nonroot system:authenticated
警告
クラスター全体に影響を与える変更を行う際には十分に注意してください。直前の例のようにすべての認証ユーザーに SCC を付与したり、制限付き SCC のようにすべてのユーザーに適用される SCC を変更する場合には、Web コンソールや統合コンテナーイメージレジストリーなどの Kubernetes および OpenShift Container Platform コンポーネントにも影響を与えます。これらの SCC に関する変更により、これらのコンポーネントの機能は停止する可能性があります。
代わりに、カスタム SCC を作成し、このターゲットを特定のユーザーまたはグループのみに指定します。これにより、潜在的な問題の影響を特定の影響を受けるユーザーまたはグループに制限し、重要なクラスターコンポーネントに影響が及ばないようにすることができます。
