7.3. 控制 pod 安全准入同步


您可以为大多数命名空间启用自动 pod 安全准入同步。

security.openshift.io/scc.podSecurityLabelSync 字段为空或设置为 false 时,系统默认值不会被强制使用。要进行同步,您必须将标签设置为 true

重要

定义为集群有效负载一部分的命名空间会永久禁用 pod 安全准入同步。这些命名空间包括:

  • default
  • kube-node-lease
  • kube-system
  • kube-public
  • openshift
  • 所有带有 openshift- 前缀的系统创建命名空间,除了 openshift-operators 默认,所有具有 openshift- 前缀的命名空间都不会被同步。您可以为任何用户创建的 openshift-* 命名空间启用同步。除了 openshift-operators 之外,您无法为任何系统创建的 openshift-* 命名空间启用同步。

如果 Operator 安装在用户创建的 openshift-* 命名空间中,则在命名空间中创建集群服务版本(CSV)后,默认会开启同步。同步标签继承命名空间中服务帐户的权限。

流程

  • 要在命名空间中启用 pod 安全准入标签同步,请将 security.openshift.io/scc.podSecurityLabelSync 标签的值设置为 true

    运行以下命令:

    $ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=true
注意

您可以使用 --overwrite 标志在命名空间中反向 pod 安全标签同步的影响。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.