15.4. 创建安全性上下文约束
您可以使用 OpenShift CLI(oc)创建安全性上下文约束(SCC)。
先决条件
-
安装 OpenShift CLI (
oc) 。 -
以具有
cluster-admin角色的用户身份登录集群。
流程
在名为
scc_admin.yaml的 YAML 文件中定义 SCC:SecurityContextConstraints对象定义kind: SecurityContextConstraints apiVersion: security.openshift.io/v1 metadata: name: scc-admin allowPrivilegedContainer: true runAsUser: type: RunAsAny seLinuxContext: type: RunAsAny fsGroup: type: RunAsAny supplementalGroups: type: RunAsAny users: - my-admin-user groups: - my-admin-group
另外,您可以通过将
requiredDropCapabilities字段设为所需的值来丢弃 SCC 的特定功能。所有指定的功能都会从容器中丢弃。要丢弃所有的能力,请指定ALL。例如,要创建一个丢弃KILL、MKNOD和SYS_CHROOT功能的 SCC,请将以下内容添加到 SCC 对象中:requiredDropCapabilities: - KILL - MKNOD - SYS_CHROOT
注意您不能列出
allowedCapabilities和requiredDropCapabilities中的功能。CRI-O 支持 Docker 文档中找到的相同功能值列表。
通过传递文件来创建 SCC:
$ oc create -f scc_admin.yaml
输出示例
securitycontextconstraints "scc-admin" created
验证
验证 SCC 已创建好:
$ oc get scc scc-admin
输出示例
NAME PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP PRIORITY READONLYROOTFS VOLUMES scc-admin true [] RunAsAny RunAsAny RunAsAny RunAsAny <none> false [awsElasticBlockStore azureDisk azureFile cephFS cinder configMap downwardAPI emptyDir fc flexVolume flocker gcePersistentDisk gitRepo glusterfs iscsi nfs persistentVolumeClaim photonPersistentDisk quobyte rbd secret vsphere]
