7.3. 控制 pod 安全准入同步
您可以为大多数命名空间启用自动 pod 安全准入同步。
当 security.openshift.io/scc.podSecurityLabelSync
字段为空或设置为 false
时,系统默认值不会被强制使用。要进行同步,您必须将标签设置为 true
。
重要
定义为集群有效负载一部分的命名空间会永久禁用 pod 安全准入同步。这些命名空间包括:
-
default
-
kube-node-lease
-
kube-system
-
kube-public
-
openshift
-
所有带有
openshift-
前缀的系统创建命名空间,除了openshift-operators
默认,所有具有openshift-
前缀的命名空间都不会被同步。您可以为任何用户创建的openshift-*
命名空间启用同步。除了openshift-operators
之外,您无法为任何系统创建的openshift-*
命名空间启用同步。
如果 Operator 安装在用户创建的 openshift-*
命名空间中,则在命名空间中创建集群服务版本(CSV)后,默认会开启同步。同步标签继承命名空间中服务帐户的权限。
流程
要在命名空间中启用 pod 安全准入标签同步,请将
security.openshift.io/scc.podSecurityLabelSync
标签的值设置为true
。运行以下命令:
$ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=true
注意
您可以使用 --overwrite 标志在命名空间中反向 pod 安全标签同步的影响。