15.8. 我怎么样?
以下介绍了使用 SCC 的常见场景和程序。
15.8.1. 授予对 Privileged SCC 的访问权限
在某些情况下,管理员可能希望允许管理员组以外的用户或组创建更多 特权 pod。为此,您可以:
确定您要具有 SCC 访问权限的用户或组。
警告只有用户直接创建容器集时,才能授予用户访问权限。对于代表用户创建的容器集,在大多数情况下,系统本身 应授予对其执行相关控制器的服务帐户的访问权限。代表用户创建 pod 的资源示例有 Deployments、StatefulSet、DaemonSet 等。
运行:
$ oc adm policy add-scc-to-user <scc_name> <user_name> $ oc adm policy add-scc-to-group <scc_name> <group_name>
例如,要允许 e2e-user 访问 特权 SCC,请运行:
$ oc adm policy add-scc-to-user privileged e2e-user
-
修改容器的
SecurityContext,以请求特权模式。
