15.8.6. 추가 기능 제공
경우에 따라 이미지에 Docker에서 기본적으로 제공하지 않는 기능이 필요할 수 있습니다. SCC에 대해 검증할 Pod 사양에서 추가 기능을 요청하는 기능을 제공할 수 있습니다.
중요
이렇게 하면 이미지를 상승된 기능으로 실행할 수 있으며 필요한 경우에만 사용해야 합니다. 추가 기능을 활성화하려면 기본 제한된 SCC를 편집해서는 안 됩니다.
루트가 아닌 사용자와 함께 사용하는 경우 추가 기능이 필요한 파일에 setcap 명령을 사용하여 기능이 부여되었는지 확인해야 합니다. 예를 들어 이미지의 Dockerfile 에서 다음을 수행합니다.
setcap cap_net_raw,cap_net_admin+p /usr/bin/ping
또한 Docker에서 기본적으로 기능을 제공하는 경우 pod 사양을 수정하여 요청할 필요가 없습니다. 예를 들어 NET_RAW 는 기본적으로 제공되며 기능은 ping에 이미 설정되어 있어야 하므로 ping 을 실행하는 데 특별한 단계가 필요하지 않습니다 .
추가 기능을 제공하려면 다음을 수행합니다.
- 새 SCC 만들기
-
allowed
Capabilities 필드를 사용하여 허용된기능을 추가합니다. -
Pod를 생성할 때
securityContext.capabilities.add필드의 기능을 요청합니다.
