7.3. Pod セキュリティーアドミッションの同期制御
ほとんどの namespace で、Pod セキュリティーアドミッションの自動同期を有効にできます。
security.openshift.io/scc.podSecurityLabelSync フィールドが空か、false に設定されている場合、システムのデフォルトは適用されません。同期するには、ラベルを true に設定する必要があります。
重要
クラスターペイロードの一部として定義されている namespace では、Pod セキュリティーアドミッションの同期が完全に無効になっています。これらの namespace には以下が含まれます。
-
default -
kube-node-lease -
kube-system -
kube-public -
openshift -
openshift-operatorsを除く、openshift-という接頭辞が付いたシステム作成の namespace。デフォルトでは、接頭辞がopenshift-の namespace はすべて同期されません。ユーザーが作成した任意のopenshift-*namespace の同期を有効にすることができます。openshift-operatorsを除き、システムで作成されたopenshift-*namespace の同期を有効にすることはできません。
Operator がユーザー作成の openshift-* namespace にインストールされている場合、namespace でクラスターサービスバージョン (CSV) が作成された後、デフォルトで同期がオンになります。同期されたラベルは、namespace のサービスアカウントの権限を継承します。
手順
namespace で Pod セキュリティーアドミッションラベルの同期を有効にするには、
security.openshift.io/scc.podSecurityLabelSyncラベルの値をtrueに設定します。以下のコマンドを実行します。
$ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=true
注記
--overwrite フラグを使用すると、namespace での Pod セキュリティーラベルの同期の影響を元に戻すことができます。
