Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

13.4. 创建安全性上下文约束

您可以使用 CLI 创建安全性上下文约束 (SCC)。

先决条件

  • 您必须安装 oc 命令行。
  • 您的帐户必须具有 cluster-admin 特权才能创建 SCC。

流程

  1. 在 JSON 或 YAML 文件中定义 SCC:

    SecurityContextConstraints 对象定义

    kind: SecurityContextConstraints
apiVersion: security.openshift.io/v1
metadata:
  name: scc-admin
allowPrivilegedContainer: true
runAsUser:
  type: RunAsAny
seLinuxContext:
  type: RunAsAny
fsGroup:
  type: RunAsAny
supplementalGroups:
  type: RunAsAny
users:
- my-admin-user
groups:
- my-admin-group
    Copy to Clipboard Toggle word wrap

    此外,您可以通过将 requiredDropCapabilities 字段设为所需的值,向 SCC 添加丢弃功能。所有指定的功能都将从容器中丢弃。例如,若要创建具有 KILLMKNODSYS_CHROOT 所需丢弃功能的 SCC,请将以下内容添加到 SCC 对象中: 

    requiredDropCapabilities:
- KILL
- MKNOD
- SYS_CHROOT
    Copy to Clipboard Toggle word wrap

    您可以在 Docker 文档中查看可能值的列表。

    提示

    由于功能会传递到 Docker,您可以使用特殊值 ALL 来丢弃所有可能的功能。

  2. 然后,运行 oc create 并传递文件来创建: 

    $ oc create -f scc_admin.yaml
securitycontextconstraints "scc-admin" created
    Copy to Clipboard Toggle word wrap

  3. 验证 SCC 已创建好: 

    $ oc get scc scc-admin
NAME        PRIV      CAPS      SELINUX    RUNASUSER   FSGROUP    SUPGROUP   PRIORITY   READONLYROOTFS   VOLUMES
scc-admin   true      []        RunAsAny   RunAsAny    RunAsAny   RunAsAny   <none>     false            [awsElasticBlockStore azureDisk azureFile cephFS cinder configMap downwardAPI emptyDir fc flexVolume flocker gcePersistentDisk gitRepo glusterfs iscsi nfs persistentVolumeClaim photonPersistentDisk quobyte rbd secret vsphere]
    Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat