16.3. 控制 pod 安全准入同步

您可以为大多数命名空间启用或禁用自动 pod 安全准入同步。

重要

定义为集群有效负载一部分的命名空间会永久禁用 pod 安全准入同步。这些命名空间包括：

default
kube-node-lease
kube-system
kube-public
openshift
所有带有 openshift- 前缀的系统创建命名空间，但 openshift-operators除外

默认情况下，所有具有 openshift- 前缀的命名空间不会被同步。您可以为任何用户创建的 openshift-* 命名空间启用同步。除了 openshift-operators 之外，您无法为任何系统创建的 openshift-* 命名空间启用同步。

如果 Operator 安装在用户创建的 openshift-* 命名空间中，则在命名空间中创建集群服务版本(CSV)后，默认会开启同步。同步标签继承命名空间中服务帐户的权限。

流程

对于您要配置的每个命名空间，为 security.openshift.io/scc.podSecurityLabelSync 标签设置一个值：
- 要在命名空间中禁用 pod 安全准入标签同步，将 security.openshift.io/scc.podSecurityLabelSync 标签的值设置为 false。
  运行以下命令:
```
$ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=false
```
- 要在命名空间中启用 pod 安全准入标签同步，请将 security.openshift.io/scc.podSecurityLabelSync 标签的值设置为 true。
  运行以下命令:
```
$ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=true
```

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

© 2024 Red Hat, Inc.