12.5. 특정 SCC가 필요하도록 워크로드 구성
특정 SCC(보안 컨텍스트 제약 조건)가 필요하도록 워크로드를 구성할 수 있습니다. 이는 특정 SCC를 워크로드에 고정하거나 필요한 SCC가 클러스터의 다른 SCC에서 선점되지 않도록 하려는 경우에 유용합니다.
특정 SCC가 필요한 경우 워크로드에 openshift.io/required-scc 주석을 설정합니다. 배포 또는 데몬 세트와 같은 Pod 매니페스트 템플릿을 설정할 수 있는 모든 리소스에 이 주석을 설정할 수 있습니다.
SCC는 클러스터에 있어야 하며 워크로드에 적용해야 합니다. 그러지 않으면 Pod 허용이 실패합니다. Pod를 생성하는 사용자가 Pod를 생성하는 사용자에게 Pod의 네임스페이스의 SCC에 대한 use 권한이 있는 경우 SCC는 워크로드에 적용되는 것으로 간주됩니다.
실시간 Pod 매니페스트에서 openshift.io/required-scc 주석을 변경하지 마십시오. 이렇게 하면 Pod 승인이 실패합니다. 필요한 SCC를 변경하려면 기본 pod 템플릿의 주석을 업데이트하여 Pod를 삭제하고 다시 생성합니다.
사전 요구 사항
- SCC가 클러스터에 있어야 합니다.
프로세스
배포에 대한 YAML 파일을 생성하고
openshift.io/required-scc주석을 설정하여 필요한 SCC를 지정합니다.deployment.yaml의 예apiVersion: config.openshift.io/v1 kind: Deployment apiVersion: apps/v1 spec: # ... template: metadata: annotations: openshift.io/required-scc: "my-scc" 1 # ...- 1
- 사용할 SCC 이름을 지정합니다.
다음 명령을 실행하여 리소스를 생성합니다.
$ oc create -f deployment.yaml
검증
배포에서 지정된 SCC를 사용했는지 확인합니다.
다음 명령을 실행하여 Pod의
openshift.io/scc주석 값을 확인합니다.$ oc get pod <pod_name> -o jsonpath='{.metadata.annotations.openshift\.io\/scc}{"\n"}' 1- 1
<pod_name>을 배포 Pod 이름으로 바꿉니다.
출력을 검사하고 표시된 SCC가 배포에 정의된 SCC와 일치하는지 확인합니다.
출력 예
my-scc
