16.2. Pod 보안 표준을 사용한 보안 컨텍스트 제약 조건 동기화
OpenShift Container Platform에는 Kubernetes Pod 보안 승인이 포함되어 있습니다. 전역적으로 권한 있는 프로필이 시행되고 restricted 프로필은 경고 및 감사에 사용됩니다.
글로벌 Pod 보안 허용 제어 구성 외에도 지정된 네임스페이스에 있는 서비스 계정의 SCC 권한에 따라 Pod 보안 승인 제어 경고 및 감사 레이블을 네임스페이스에 적용하는 컨트롤러가 있습니다.
클러스터 페이로드의 일부로 정의된 네임스페이스에는 Pod 보안 승인 동기화가 영구적으로 비활성화됩니다. 필요에 따라 다른 네임스페이스에서 Pod 보안 승인 동기화를 활성화할 수 있습니다. 사용자가 생성한 openshift-* 네임스페이스에 Operator가 설치된 경우 네임스페이스에 CSV(클러스터 서비스 버전)가 생성된 후 기본적으로 동기화가 설정됩니다.
컨트롤러는 ServiceAccount 오브젝트 권한을 검사하여 각 네임스페이스에서 보안 컨텍스트 제약 조건을 사용합니다. SCC(보안 컨텍스트 제약 조건)는 필드 값을 기반으로 Pod 보안 프로필에 매핑됩니다. 컨트롤러는 이러한 변환된 프로필을 사용합니다. Pod가 생성될 때 경고 및 감사 로깅이 발생하지 않도록 Pod 보안 경고 및 감사 레이블은 네임스페이스에 있는 가장 권한 있는 Pod 보안 프로필로 설정됩니다.
네임스페이스 레이블링은 네임스페이스 로컬 서비스 계정 권한을 고려합니다.
Pod를 직접 적용하면 Pod를 실행하는 사용자의 SCC 권한을 사용할 수 있습니다. 그러나 사용자 권한은 자동 레이블링 중에 고려되지 않습니다.
