7.2. 安全性上下文约束与 pod 安全标准同步


MicroShift 包括 Kubernetes pod 安全准入

除了全局 pod 安全准入控制配置外,还存在一个控制器,它根据给定命名空间中的服务帐户的安全上下文约束(SCC)权限将 pod 安全准入控制 warnaudit 标签应用到命名空间。

重要

定义为集群有效负载一部分的命名空间会永久禁用 pod 安全准入同步。您可以根据需要,在其他命名空间中启用 pod 安全准入同步。如果 Operator 安装在用户创建的 openshift-* 命名空间中,则在命名空间中创建集群服务版本(CSV)后,默认会开启同步。

控制器检查 ServiceAccount 对象权限,以便在每个命名空间中使用安全性上下文约束。安全性上下文约束 (SCC) 根据其字段值映射到 Pod 安全配置集,控制器使用这些翻译配置集。Pod 安全准入 warnaudit 标签被设置为命名空间中找到的最特权 pod 安全配置集,以防止在创建 pod 时出现警告和审计日志记录。

命名空间标签基于对命名空间本地服务帐户权限的考虑。

直接应用 pod 可能会使用运行 Pod 的用户的 SCC 特权。但是,在自动标记过程中不会考虑用户权限。

7.2.1. 查看命名空间中的安全性上下文约束

您可以查看给定命名空间中的安全性上下文约束(SCC)权限。

先决条件

  • 已安装 OpenShift CLI(oc)。

流程

  • 要查看命名空间中的安全性上下文约束,请运行以下命令:

    oc get --show-labels namespace <namespace>
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.