13.2. Pod 보안 승인 동기화 정보
글로벌 Pod 보안 승인 제어 구성 외에도 컨트롤러는 지정된 네임스페이스에 있는 서비스 계정의 SCC 권한에 따라 Pod 보안 승인 제어 warn
및 audit
레이블을 네임스페이스에 적용합니다.
컨트롤러는 각 네임스페이스에서 보안 컨텍스트 제약 조건을 사용하도록 ServiceAccount
오브젝트 권한을 검사합니다. SCC(보안 컨텍스트 제약 조건)는 필드 값을 기반으로 Pod 보안 프로필에 매핑됩니다. 컨트롤러는 이러한 변환된 프로필을 사용합니다. Pod가 생성될 때 경고 및 로깅 감사 이벤트를 표시하지 않도록 Pod 보안 승인 warn
및 audit
레이블은 네임스페이스에서 가장 권한이 있는 Pod 보안 프로필로 설정됩니다.
네임스페이스 레이블 지정은 네임스페이스 로컬 서비스 계정 권한을 기반으로 합니다.
Pod를 직접 적용하면 Pod를 실행하는 사용자의 SCC 권한을 사용할 수 있습니다. 그러나 사용자 권한은 자동 레이블 지정 중에 고려되지 않습니다.
13.2.1. Pod 보안 승인 동기화 네임스페이스 제외
시스템에서 생성한 네임스페이스 및 openshift-*
접두사가 지정된 네임스페이스에서 Pod 보안 승인 동기화가 영구적으로 비활성화됩니다.
클러스터 페이로드의 일부로 정의된 네임스페이스에는 Pod 보안 승인 동기화가 영구적으로 비활성화됩니다. 다음 네임스페이스는 영구적으로 비활성화되어 있습니다.
-
default
-
kube-node-lease
-
kube-system
-
kube-public
-
openshift
-
openshift-
접두사가 있는 모든 system-created 네임스페이스