Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

16.3. 控制 pod 安全准入同步

您可以为大多数命名空间启用或禁用自动 pod 安全准入同步。

重要

定义为集群有效负载一部分的命名空间会永久禁用 pod 安全准入同步。这些命名空间包括:

  • default
  • kube-node-lease
  • kube-system
  • kube-public
  • openshift
  • 所有带有 openshift- 前缀的系统创建命名空间,但 openshift-operators除外

默认情况下,所有具有 openshift- 前缀的命名空间不会被同步。您可以为任何用户创建的 openshift-* 命名空间启用同步。除了 openshift-operators 之外,您无法为任何系统创建的 openshift-* 命名空间启用同步。

如果 Operator 安装在用户创建的 openshift-* 命名空间中,则在命名空间中创建集群服务版本(CSV)后,默认会开启同步。同步标签继承命名空间中服务帐户的权限。

流程

  • 对于您要配置的每个命名空间,为 security.openshift.io/scc.podSecurityLabelSync 标签设置一个值:

    • 要在命名空间中禁用 pod 安全准入标签同步,将 security.openshift.io/scc.podSecurityLabelSync 标签的值设置为 false

      运行以下命令: 

      $ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=false
      Copy to Clipboard Toggle word wrap

    • 要在命名空间中启用 pod 安全准入标签同步,请将 security.openshift.io/scc.podSecurityLabelSync 标签的值设置为 true

      运行以下命令: 

      $ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=true
      Copy to Clipboard Toggle word wrap
    注意

    如果命名空间中已经设置了此标签,使用 --overwrite 标志覆盖该值。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat