7.7.2. Pod への SELinux プロファイルの適用

手順

1. 次のコマンドを実行して、scc.podSecurityLabelSync=false ラベルを nginx-deploy namespace に適用します。

   $ oc label ns nginx-deploy security.openshift.io/scc.podSecurityLabelSync=false

2. 次のコマンドを実行して、privileged ラベルを nginx-deploy namespace に適用します。

   $ oc label ns nginx-deploy --overwrite=true pod-security.kubernetes.io/enforce=privileged

3. 次のコマンドを実行して、SELinux プロファイルの使用文字列を取得します。

   $ oc get selinuxprofile.security-profiles-operator.x-k8s.io/nginx-secure -ojsonpath='{.status.usage}'

   出力例

   nginx-secure.process

4. ワークロードマニフェストの出力文字列を .spec.containers[].securityContext.seLinuxOptions 属性に適用します。

   apiVersion: v1
   kind: Pod
   metadata:
     name: nginx-secure
     namespace: nginx-deploy
   spec:
     securityContext:
       runAsNonRoot: true
       seccompProfile:
         type: RuntimeDefault
     containers:
       - image: nginxinc/nginx-unprivileged:1.21
         name: nginx
         securityContext:
           allowPrivilegeEscalation: false
           capabilities:
             drop: [ALL]
           seLinuxOptions:
             # NOTE: This uses an appropriate SELinux type
             type: nginx-secure.process

   重要

   ワークロードを作成する前に、SELinux type が存在している必要があります。