15.8.6. 提供额外的功能


在某些情况下,镜像可能会需要一些功能,它们没有包括在开箱即用的 Docker 中。您可以在 Pod 规格中请求其他功能,这些功能将针对 SCC 进行验证。

重要

这样,镜像就可以使用提升的功能运行,并且仅在需要时才使用。您不应该编辑默认 受限 SCC 来启用额外的功能。

与非 root 用户结合使用时,还必须确保使用 setcap 命令赋予需要额外权限的文件。例如,在镜像的 Dockerfile 中:

setcap cap_net_raw,cap_net_admin+p /usr/bin/ping

此外,如果 Docker 中默认提供了一项功能,则您无需修改 pod 规格即可请求该功能。例如,默认情况下会提供 NET_RAW,并且应该已在 ping 上设置功能,因此无需执行特殊步骤来运行 ping

提供额外的功能:

  1. 创建新 SCC
  2. 使用 allowedCapabilities 字段添加允许的能力。
  3. 在创建 pod 时,请求 securityContext.capabilities.add 字段中的功能。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.