홈
제품
OpenShift Container Platform
4.19
인증 및 권한 부여
16.7. 보안 컨텍스트 제약 조건 명령 참조

16.7. 보안 컨텍스트 제약 조건 명령 참조

OpenShift CLI (oc)를 사용하여 인스턴스의 SCC(보안 컨텍스트 제약 조건)를 일반 API 오브젝트로 관리할 수 있습니다.

참고

SCC를 관리하려면 cluster-admin 권한이 있어야 합니다.

16.7.1. 보안 컨텍스트 제약 조건 나열
링크 복사

현재 SCC 목록을 가져오려면 다음을 실행합니다.

$ oc get scc

출력 예

NAME                              PRIV    CAPS                   SELINUX     RUNASUSER          FSGROUP     SUPGROUP    PRIORITY     READONLYROOTFS   VOLUMES
anyuid                            false   <no value>             MustRunAs   RunAsAny           RunAsAny    RunAsAny    10           false            ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]
hostaccess                        false   <no value>             MustRunAs   MustRunAsRange     MustRunAs   RunAsAny    <no value>   false            ["configMap","downwardAPI","emptyDir","hostPath","persistentVolumeClaim","projected","secret"]
hostmount-anyuid                  false   <no value>             MustRunAs   RunAsAny           RunAsAny    RunAsAny    <no value>   false            ["configMap","downwardAPI","emptyDir","hostPath","nfs","persistentVolumeClaim","projected","secret"]
hostnetwork                       false   <no value>             MustRunAs   MustRunAsRange     MustRunAs   MustRunAs   <no value>   false            ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]
hostnetwork-v2                    false   ["NET_BIND_SERVICE"]   MustRunAs   MustRunAsRange     MustRunAs   MustRunAs   <no value>   false            ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]
node-exporter                     true    <no value>             RunAsAny    RunAsAny           RunAsAny    RunAsAny    <no value>   false            ["*"]
nonroot                           false   <no value>             MustRunAs   MustRunAsNonRoot   RunAsAny    RunAsAny    <no value>   false            ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]
nonroot-v2                        false   ["NET_BIND_SERVICE"]   MustRunAs   MustRunAsNonRoot   RunAsAny    RunAsAny    <no value>   false            ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]
privileged                        true    ["*"]                  RunAsAny    RunAsAny           RunAsAny    RunAsAny    <no value>   false            ["*"]
restricted                        false   <no value>             MustRunAs   MustRunAsRange     MustRunAs   RunAsAny    <no value>   false            ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]
restricted-v2                     false   ["NET_BIND_SERVICE"]   MustRunAs   MustRunAsRange     MustRunAs   RunAsAny    <no value>   false            ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]

16.7.2. 보안 컨텍스트 제약 조건 검사
링크 복사

SCC가 적용되는 사용자, 서비스 계정 및 그룹을 포함하여 특정 SCC에 대한 정보를 볼 수 있습니다.

예를 들어 restricted SCC를 검사하려면 다음을 실행합니다.

$ oc describe scc restricted

출력 예

Name:                                  restricted
Priority:                              <none>
Access:
  Users:                               <none>


  Groups:                              <none>


Settings:
  Allow Privileged:                    false
  Allow Privilege Escalation:          true
  Default Add Capabilities:            <none>
  Required Drop Capabilities:          KILL,MKNOD,SETUID,SETGID
  Allowed Capabilities:                <none>
  Allowed Seccomp Profiles:            <none>
  Allowed Volume Types:                configMap,downwardAPI,emptyDir,persistentVolumeClaim,projected,secret
  Allowed Flexvolumes:                 <all>
  Allowed Unsafe Sysctls:              <none>
  Forbidden Sysctls:                   <none>
  Allow Host Network:                  false
  Allow Host Ports:                    false
  Allow Host PID:                      false
  Allow Host IPC:                      false
  Read Only Root Filesystem:           false
  Run As User Strategy: MustRunAsRange
    UID:                               <none>
    UID Range Min:                     <none>
    UID Range Max:                     <none>
  SELinux Context Strategy: MustRunAs
    User:                              <none>
    Role:                              <none>
    Type:                              <none>
    Level:                             <none>
  FSGroup Strategy: MustRunAs
    Ranges:                            <none>
  Supplemental Groups Strategy: RunAsAny
    Ranges:                            <none>

1: SCC가 적용되는 사용자 및 서비스 계정을 나열합니다.
2: SCC가 적용되는 그룹을 나열합니다.

참고

업그레이드하는 동안 사용자 정의 SCC를 유지하려면 기본 SCC의 설정을 편집하지 마십시오.

16.7.3. 보안 컨텍스트 제약 조건 업데이트
링크 복사

사용자 정의 SCC가 더 이상 애플리케이션 워크로드 요구 사항을 충족하지 못하는 경우 OpenShift CLI( oc )를 사용하여 SCC를 업데이트할 수 있습니다.

기존 SCC를 업데이트하려면 다음을 수행합니다.

$ oc edit scc <scc_name>

중요

업그레이드하는 동안 사용자 정의 SCC를 유지하려면 기본 SCC의 설정을 편집하지 마십시오.

16.7.4. 보안 컨텍스트 제약 조건 삭제
링크 복사

더 이상 사용자 정의 SCC가 필요하지 않으면 OpenShift CLI( oc )를 사용하여 SCC를 삭제할 수 있습니다.

SCC를 삭제하려면 다음을 수행합니다.

$ oc delete scc <scc_name>

중요

기본 SCC를 삭제하지 마세요. 기본 SCC를 삭제하면 클러스터 버전 운영자가 다시 생성합니다.

16.7. 보안 컨텍스트 제약 조건 명령 참조

16.7.1. 보안 컨텍스트 제약 조건 나열
링크 복사

16.7.2. 보안 컨텍스트 제약 조건 검사
링크 복사

16.7.3. 보안 컨텍스트 제약 조건 업데이트
링크 복사

16.7.4. 보안 컨텍스트 제약 조건 삭제
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

16.7. 보안 컨텍스트 제약 조건 명령 참조

16.7.1. 보안 컨텍스트 제약 조건 나열링크 복사링크가 클립보드에 복사되었습니다!

16.7.2. 보안 컨텍스트 제약 조건 검사링크 복사링크가 클립보드에 복사되었습니다!

16.7.3. 보안 컨텍스트 제약 조건 업데이트링크 복사링크가 클립보드에 복사되었습니다!

16.7.4. 보안 컨텍스트 제약 조건 삭제링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

16.7.1. 보안 컨텍스트 제약 조건 나열
링크 복사

16.7.2. 보안 컨텍스트 제약 조건 검사
링크 복사

16.7.3. 보안 컨텍스트 제약 조건 업데이트
링크 복사

16.7.4. 보안 컨텍스트 제약 조건 삭제
링크 복사