4.9. 解析不匹配后验证 pod
使用以下验证步骤,验证两个 Pod 的安全上下文约束(SCC)和 SELinux 标签。
验证
运行以下命令,验证同一 SCC 是否已分配给第一个 pod:
$ oc describe pod <pod_name_a> |grep -i scc 1
- 1
- 将
<pod_name_a> 替换为第一个 pod 的名称。
输出示例
openshift.io/scc: restricted
运行以下命令,验证同一 SCC 是否已分配给第一个第二个 pod:
$ oc describe pod <pod_name_b> |grep -i scc 1
- 1
- 将
<pod_name_b> 替换为第二个 pod 的名称。
输出示例
openshift.io/scc: restricted
运行以下命令,验证同一 SELinux 标签是否已应用到第一个 pod:
$ oc exec <pod_name_a> -- ls -laZ <pvc_mountpoint> 1
- 1
- 将
<pod_name_a> 替换为第一个 pod 的名称,并将<pvc_mountpoint> 替换为第一个 pod 中的挂载点。
输出示例
total 4 drwxrwsrwx. 2 root 1000670000 system_u:object_r:container_file_t:s0:c10,c26 19 Aug 29 18:17 . dr-xr-xr-x. 1 root root system_u:object_r:container_file_t:s0:c10,c26 61 Aug 29 18:16 .. -rw-rw-rw-. 1 1000670000 1000670000 system_u:object_r:container_file_t:s0:c10,c26 29 Aug 29 18:17 test1 [...]
运行以下命令,验证同一 SELinux 标签是否已应用到第二个 pod:
$ oc exec <pod_name_b> -- ls -laZ <pvc_mountpoint> 1
- 1
- 将
<pod_name_b> 替换为第二个 pod 的名称,并将<pvc_mountpoint> 替换为第二个 pod 中的挂载点。
输出示例
total 4 drwxrwsrwx. 2 root 1000670000 system_u:object_r:container_file_t:s0:c10,c26 19 Aug 29 18:17 . dr-xr-xr-x. 1 root root system_u:object_r:container_file_t:s0:c10,c26 61 Aug 29 18:16 .. -rw-rw-rw-. 1 1000670000 1000670000 system_u:object_r:container_file_t:s0:c10,c26 29 Aug 29 18:17 test1 [...]
其他资源
