15.8.6. 提供额外的功能
在某些情况下,镜像可能会需要一些功能,它们没有包括在开箱即用的 Docker 中。您可以在 Pod 规格中请求其他功能,这些功能将针对 SCC 进行验证。
重要
这样,镜像就可以使用提升的功能运行,并且仅在需要时才使用。您不应该编辑默认 受限 SCC 来启用额外的功能。
与非 root 用户结合使用时,还必须确保使用 setcap
命令赋予需要额外权限的文件。例如,在镜像的 Dockerfile 中:
setcap cap_net_raw,cap_net_admin+p /usr/bin/ping
此外,如果 Docker 中默认提供了一项功能,则您无需修改 pod 规格即可请求该功能。例如,默认情况下会提供 NET_RAW
,并且应该已在 ping
上设置功能,因此无需执行特殊步骤来运行 ping
。
提供额外的功能:
- 创建新 SCC
-
使用
allowedCapabilities
字段添加允许的能力。 -
在创建 pod 时,请求
securityContext.capabilities.add
字段中的功能。