15.8.7. 修改集群默认行为
当您为每个人授予对 anyuid SCC 的访问权限时,您的集群:
- 不预先分配 UID
- 允许容器以任意用户身份运行
- 防止特权容器
$ oc adm policy add-scc-to-group anyuid system:authenticated
要修改集群,使其不预先分配 UID,且不允许容器以 root 用户身份运行,请为每个人授予 nonroot SCC 的访问权限:
$ oc adm policy add-scc-to-group nonroot system:authenticated
警告
对于对集群范围有影响的任何修改,请非常小心。当您向所有经过身份验证的用户(如上例中所示)授予 SCC 时,或者修改应用于 受限 SCC 等所有用户的 SCC,它也会影响 Kubernetes 和 OpenShift Container Platform 组件,包括 Web 控制台和集成的容器镜像 registry。使用这些 SCC 进行的更改可能会导致这些组件停止正常运行。
相反,创建自定义 SCC 并将其仅指向特定的用户或组。这样,潜在的问题仅限于受影响的用户或组,不会影响到关键集群组件。