15.8.7. 修改集群默认行为


当您为每个人授予对 anyuid SCC 的访问权限时,您的集群:

  • 不预先分配 UID
  • 允许容器以任意用户身份运行
  • 防止特权容器
 $ oc adm policy add-scc-to-group anyuid system:authenticated

要修改集群,使其不预先分配 UID,且不允许容器以 root 用户身份运行,请为每个人授予 nonroot SCC 的访问权限:

 $ oc adm policy add-scc-to-group nonroot system:authenticated
警告

对于对集群范围有影响的任何修改,请非常小心。当您向所有经过身份验证的用户(如上例中所示)授予 SCC 时,或者修改应用于 受限 SCC 等所有用户的 SCC,它也会影响 Kubernetes 和 OpenShift Container Platform 组件,包括 Web 控制台和集成的容器镜像 registry。使用这些 SCC 进行的更改可能会导致这些组件停止正常运行。

相反,创建自定义 SCC 并将其仅指向特定的用户或组。这样,潜在的问题仅限于受影响的用户或组,不会影响到关键集群组件。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.