16.2. Pod 보안 승인 동기화 정보
글로벌 Pod 보안 승인 제어 구성 외에도 컨트롤러는 지정된 네임스페이스에 있는 서비스 계정의 SCC 권한에 따라 Pod 보안 승인 제어 warn 및 audit 레이블을 네임스페이스에 적용합니다.
컨트롤러는 각 네임스페이스에서 보안 컨텍스트 제약 조건을 사용하도록 ServiceAccount 오브젝트 권한을 검사합니다. SCC(보안 컨텍스트 제약 조건)는 필드 값을 기반으로 Pod 보안 프로필에 매핑됩니다. 컨트롤러는 이러한 변환된 프로필을 사용합니다. Pod가 생성될 때 경고 및 로깅 감사 이벤트를 표시하지 않도록 Pod 보안 승인 warn 및 audit 레이블은 네임스페이스에서 가장 권한이 있는 Pod 보안 프로필로 설정됩니다.
네임스페이스 레이블 지정은 네임스페이스 로컬 서비스 계정 권한을 기반으로 합니다.
Pod를 직접 적용하면 Pod를 실행하는 사용자의 SCC 권한을 사용할 수 있습니다. 그러나 사용자 권한은 자동 레이블 지정 중에 고려되지 않습니다.
16.2.1. Pod 보안 승인 동기화 네임스페이스 제외
Pod 보안 승인 동기화는 대부분의 시스템에서 생성된 네임스페이스에서 영구적으로 비활성화됩니다. 사용자가 생성한 openshift-* 접두사가 지정된 네임스페이스에서 동기화도 처음에 비활성화되지만 나중에 동기화를 활성화할 수 있습니다.
Pod 보안 승인 레이블(pod-security.kubernetes.io/<mode> )이 레이블 동기화 네임스페이스의 자동 레이블 값에서 수동으로 수정되는 경우 해당 라벨에 대해 동기화가 비활성화됩니다.
필요한 경우 다음 방법 중 하나를 사용하여 동기화를 다시 활성화할 수 있습니다.
- 네임스페이스에서 수정된 Pod 보안 승인 레이블 제거
security.openshift.io/scc.podSecurityLabelSync라벨을true로 설정이 레이블을 추가하여 동기화를 강제 적용하면 수정된 Pod 보안 승인 라벨을 덮어씁니다.
영구적으로 비활성화된 네임스페이스
클러스터 페이로드의 일부로 정의된 네임스페이스에는 Pod 보안 승인 동기화가 영구적으로 비활성화됩니다. 다음 네임스페이스는 영구적으로 비활성화되어 있습니다.
-
default -
kube-node-lease -
kube-system -
kube-public -
openshift -
openshift-operators를 제외하고openshift-접두사가 붙은 모든 system-created 네임스페이스
처음에 비활성화된 네임스페이스
기본적으로 openshift- 접두사가 있는 모든 네임스페이스에는 처음에 Pod 보안 승인 동기화가 비활성화되어 있습니다. 사용자가 생성한 openshift-* 네임스페이스 및 openshift-operators 네임스페이스에 대한 동기화를 활성화할 수 있습니다.
openshift-operators 를 제외하고 시스템에서 생성한 openshift-* 네임스페이스에 대해 동기화를 활성화할 수 없습니다.
Operator가 사용자가 생성한 openshift-* 네임스페이스에 설치하는 경우 네임스페이스에 CSV(클러스터 서비스 버전)가 생성된 후 동기화가 자동으로 활성화됩니다. 동기화된 레이블은 네임스페이스의 서비스 계정 권한에서 파생됩니다.
