24.2. SecurityContextConstraints [security.openshift.io/v1]
- 描述
- SecurityContextConstraints 监管向容器发出影响 SecurityContext 的请求的功能。出于历史原因,SCC 在核心 Kubernetes API 组下公开。该公开已弃用,并将在以后的发行版本中删除 - 用户应使用 security.openshift.io 组来管理 SecurityContextConstraints。兼容性级别 1:在主发行版本中至少提供 12 个月或 3 个次版本(以更长的时间为准)。
- 类型
-
object - 必填
-
allowHostDirVolumePlugin -
allowHostIPC -
allowHostNetwork -
allowHostPID -
allowHostPorts -
allowPrivilegedContainer -
readOnlyRootFilesystem
-
24.2.1. 规格
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| allowHostDirVolumePlugin 决定策略是否允许容器使用 HostDir 卷插件 |
|
|
| allowHostIPC 决定策略是否允许容器中的主机 ipc。 |
|
|
| allowHostNetwork 决定策略是否允许在 pod spec 中使用 HostNetwork。 |
|
|
| allowHostPID 确定策略是否允许容器中的主机 pid。 |
|
|
| allowHostPorts 确定策略是否允许容器中的主机端口。 |
|
| `` | allowPrivilegeEscalation 决定 pod 是否可以请求允许特权升级。如果未指定,则默认为 true。 |
|
|
| allowPrivilegedContainer 确定容器是否可以请求以特权方式运行。 |
|
| `` | allowedCapabilities 是可请求添加到容器的功能列表。此字段中的功能可能会由 pod 作者自行决定添加。您不能列出 AllowedCapabilities 和 RequiredDropCapabilities 中的功能。要允许所有功能,您可以使用 '*'。 |
|
| `` | AllowedFlexVolumes 是允许 Flexvolumes 的白名单。空或 nil 表示可以使用所有 Flexvolumes。只有在"Volumes"字段中允许使用 Flexvolumes 时,这个参数才有效。 |
|
| `` | allowedUnsafeSysctls 是明确允许的不安全 sysctl 列表,默认为 none。每个条目可以是普通 sysctl 名称,或者在 "" 中结束,在这种情况下,它被视为允许的 sysctl 的前缀。单个 * 表示允许所有不安全 sysctl。kubelet 必须明确将所有允许的不安全 sysctl 列入白名单,以避免拒绝。例如:如 "foo/" 允许 "foo/bar", "foo/baz", 等。例如 "foo regarding" allow "foo.bar", "foo.baz" 等。 |
|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
| `` | defaultAddCapabilities 是将添加到容器的默认功能集,除非 pod 规格特别丢弃该功能。您不能在 DefaultAddCapabilities 和 RequiredDropCapabilities 中列出功能性。 |
|
| `` | defaultAllowPrivilegeEscalation 控制进程是否可以比其父进程获得更多权限的默认设置。 |
|
| `` | forbiddenSysctls 是明确禁止的 sysctl 列表,默认为 none。每个条目可以是普通 sysctl 名称,或者在 "" 中结束,在这种情况下,它被视为禁止的 sysctl 的前缀。单个 * 表示所有 sysctl 都被禁止。例如:例如:如 "foo/" forbids "foo/bar", "foo/baz" 等,如 "foo targeted" forbids "foo.bar", "foo.baz", "foo.baz" 等。 |
|
| `` | fsGroup 是指明 SecurityContext 使用的 fs 组的策略。 |
|
| `` | 有权使用此安全性上下文约束的组 |
|
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 标准对象元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
| `` | 根据 Users and Groups 字段中的访问,优先级会影响在评估哪些 SCC 时,首先尝试给定 pod 请求的排序顺序。int 越高,优先级越高。unset 值被视为 0 优先级。如果多个 SCC 的分数相等,则它们会根据限制性最强到最弱排序。如果优先级和限制性都相等,则 SCC 按照名称排序。 |
|
|
| 设置为 true 时 readOnlyRootFileSystem 将强制容器使用只读根文件系统运行。如果容器特别使用非只读 root 文件系统运行的请求,则 SCC 应该拒绝该 pod。如果设置为 false,则容器可能会以只读 root 文件系统运行(如果该容器希望但不会被强制使用)。 |
|
| `` | requiredDropCapabilities 是将要从容器中丢弃的功能。这些需要丢弃且无法添加。 |
|
| `` | runAsUser 是策略,它将指定 SecurityContext 中使用什么 RunAsUser。 |
|
| `` | seLinuxContext 是策略,它将指定 SecurityContext 中将设置哪些标签。 |
|
| `` | seccompProfiles 列出了可以为 pod 或容器的 seccomp 注解设置的允许的配置集。取消设置(nil)或空值意味着 pod 或容器没有指定配置集。通配符 '*' 可用于允许所有配置集。用于为 pod 生成值时,第一个非通配符配置集将用作默认值。 |
|
| `` | supplementalGroups 是指明 SecurityContext 使用了哪些补充组的策略。 |
|
| `` | 有权使用此安全性上下文约束的用户 |
|
| `` | 卷是允许的卷插件的白名单。fstype 与 VolumeSource 的字段名称(azureFile, configMap, emptyDir)对应。要允许所有卷,您可以使用 "*"。要允许卷,设置为 ["none"]。 |
24.2.2. API 端点
可用的 API 端点如下:
/apis/security.openshift.io/v1/securitycontextconstraints-
DELETE:删除 SecurityContextConstraints 集合 -
GET: 列出类型为 SecurityContextConstraints 的对象 -
POST: 创建 SecurityContextConstraints
-
/apis/security.openshift.io/v1/securitycontextconstraints/{name}-
DELETE: 删除 SecurityContextConstraints -
GET:读取指定的 SecurityContextConstraints -
PATCH: 部分更新指定的 SecurityContextConstraints -
PUT:替换指定的 SecurityContextConstraints
-
24.2.2.1. /apis/security.openshift.io/v1/securitycontextconstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 如果为 'true',则输出会经过 pretty print 处理。 |
- HTTP 方法
-
DELETE - 描述
- 删除 SecurityContextConstraints 集合
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签,由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回,也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视,则忽略此字段。 |
|
|
| 从服务器检索更多结果时,应设置 continue 选项。由于这个值是定义的服务器,因此客户端只能使用之前查询结果中的 continue 值,并带有相同的查询参数(除 continue 值除外),因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效,无论是因为过期时间(通常为 5 到十五分钟)还是服务器上的配置更改,服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表,它必须重启其列表,而无需 continue 字段。否则,客户端可能会发送另一个带有 410 错误接收的令牌的列表请求,服务器将以从下一个密钥开始开始的列表响应,但从最新的快照开始,这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中,只要它们的密钥位于 "next key" 后。 当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视,而不丢失任何修改。 |
|
|
| 一个选择器,用于限制其字段返回的对象列表。默认为任何内容。 |
|
|
| 一个选择器,用于限制其标签返回的对象列表。默认为任何内容。 |
|
|
| limit 是列表调用返回的最大响应数。如果存在更多项目,服务器会将列表元数据上的"continue"字段设为可用于同一初始查询的值,以检索下一组结果。如果过滤所有请求的对象,则设置限制可能会返回少于请求项目数量(最多为零项),并且客户端只应使用 continue 字段的存在,以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数,并返回所有可用的结果。如果指定了 limit,并且 continue 字段为空,客户端可能会假定没有更多结果可用。如果 watch 为 true,则不支持此字段。 服务器保证,在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说,在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照,并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象,则返回第一个列表结果时存在的对象版本。 |
|
|
| resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置 |
|
|
| resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。 默认为未设置 |
|
|
| 'sendInitialEvents=true' 可以与 'watch=true' 一起设置。在这种情况下,观察流将以复合事件开头,以生成集合中对象的当前状态。发送完所有这些事件后,将发送合成"Bookmark"事件。书签将报告与对象集合对应的 ResourceVersion (RV),并使用 '"k8s.io/initial-events-end": "true" 注解进行标记。之后,监视流将照常进行,从而向监视的对象发送与更改对应的监视事件(按 RV 排序)。 当设置 'sendInitialEvents' 选项时,我们还需要设置 'resourceVersionMatch' 选项。watch 请求的语义如下: - 'resourceVersionMatch' = NotOlderThan 被解释为"data"作为提供的 'resourceVersion'",当状态同步到 'resourceVersion' 时,书签 事件至少作为 ListOptions 提供的 "resourceVersion'。如果未设置 'resourceVersion',这会被解释为 "consistent read",当请求开始处理时至少会发送书签事件。- 'resourceVersionMatch' 设置为任何其他值或未设置 Invalid 错误。 如果 'resourceVersion=""' 或 'resourceVersion="0"' (出于向后兼容原因)和 false,则默认为 true。 |
|
|
| 列表/watch 调用的超时。这限制了调用的持续时间,无论任何活动或不活跃。 |
|
|
| 观察对所描述资源的更改,并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。 |
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空 |
- HTTP 方法
-
GET - 描述
- 列出 SecurityContextConstraints 类型的对象
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| allowWatchBookmarks请求类型为“BOOKMARK”的监视事件。没有实现书签的服务器可能会忽略这个标志和书签,由服务器自由裁量发送。客户端不应假设书签在任何特定间隔返回,也不会假定服务器在会话期间发送任何 BOOKMARK 事件。如果这不是监视,则忽略此字段。 |
|
|
| 从服务器检索更多结果时,应设置 continue 选项。由于这个值是定义的服务器,因此客户端只能使用之前查询结果中的 continue 值,并带有相同的查询参数(除 continue 值除外),因此服务器可能会拒绝它无法识别的值。如果指定的 continue 值不再有效,无论是因为过期时间(通常为 5 到十五分钟)还是服务器上的配置更改,服务器将会与继续令牌一起响应 410 ResourceExpired 错误。如果客户端需要一致的列表,它必须重启其列表,而无需 continue 字段。否则,客户端可能会发送另一个带有 410 错误接收的令牌的列表请求,服务器将以从下一个密钥开始开始的列表响应,但从最新的快照开始,这与上一个列表结果中不一致 - 在第一个列表请求后将包含在响应中,只要它们的密钥位于 "next key" 后。 当 watch 为 true 时不支持此字段。客户端可以从服务器返回的最后一个 resourceVersion 值开始监视,而不丢失任何修改。 |
|
|
| 一个选择器,用于限制其字段返回的对象列表。默认为任何内容。 |
|
|
| 一个选择器,用于限制其标签返回的对象列表。默认为任何内容。 |
|
|
| limit 是列表调用返回的最大响应数。如果存在更多项目,服务器会将列表元数据上的"continue"字段设为可用于同一初始查询的值,以检索下一组结果。如果过滤所有请求的对象,则设置限制可能会返回少于请求项目数量(最多为零项),并且客户端只应使用 continue 字段的存在,以确定是否有更多结果可用。服务器可能会选择不支持 limit 参数,并返回所有可用的结果。如果指定了 limit,并且 continue 字段为空,客户端可能会假定没有更多结果可用。如果 watch 为 true,则不支持此字段。 服务器保证,在使用时返回的对象将与在没有限制限制的情况下发出单个列表调用相同 - 也就是说,在发出第一个请求后没有创建、修改或删除对象。这有时被称为一致的快照,并确保使用限制来接收非常大结果的较小的块的客户端可确保它们看到所有可能的对象。如果在块列表中更新对象,则返回第一个列表结果时存在的对象版本。 |
|
|
| resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置 |
|
|
| resourceVersionMatch 决定如何将 resourceVersion 应用到列表调用。强烈建议您为设置 resourceVersion 的 list 调用设置 resourceVersionMatch。详情请参阅 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions。 默认为未设置 |
|
|
| 'sendInitialEvents=true' 可以与 'watch=true' 一起设置。在这种情况下,观察流将以复合事件开头,以生成集合中对象的当前状态。发送完所有这些事件后,将发送合成"Bookmark"事件。书签将报告与对象集合对应的 ResourceVersion (RV),并使用 '"k8s.io/initial-events-end": "true" 注解进行标记。之后,监视流将照常进行,从而向监视的对象发送与更改对应的监视事件(按 RV 排序)。 当设置 'sendInitialEvents' 选项时,我们还需要设置 'resourceVersionMatch' 选项。watch 请求的语义如下: - 'resourceVersionMatch' = NotOlderThan 被解释为"data"作为提供的 'resourceVersion'",当状态同步到 'resourceVersion' 时,书签 事件至少作为 ListOptions 提供的 "resourceVersion'。如果未设置 'resourceVersion',这会被解释为 "consistent read",当请求开始处理时至少会发送书签事件。- 'resourceVersionMatch' 设置为任何其他值或未设置 Invalid 错误。 如果 'resourceVersion=""' 或 'resourceVersion="0"' (出于向后兼容原因)和 false,则默认为 true。 |
|
|
| 列表/watch 调用的超时。这限制了调用的持续时间,无论任何活动或不活跃。 |
|
|
| 观察对所描述资源的更改,并将它们作为添加、更新和删除通知的流返回。指定 resourceVersion。 |
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空 |
- HTTP 方法
-
POST - 描述
- 创建 SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 出现时,表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应,且请求不会被进一步处理。有效值为: - All: 所有预演阶段都将被处理 |
|
|
| fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长,且仅包含可打印的字符,如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。 |
|
|
| fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为: - Ignore :忽略从对象中静默丢弃的未知字段,并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段,发送警告。如果没有其他错误,请求仍会成功,且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段,或者存在任何重复字段,请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的,以及重复的字段。 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 202 - Accepted | |
| 401 - Unauthorized | 空 |
24.2.2.2. /apis/security.openshift.io/v1/securitycontextconstraints/{name}
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| SecurityContextConstraints 的名称 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 如果为 'true',则输出会经过 pretty print 处理。 |
- HTTP 方法
-
DELETE - 描述
- 删除 SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 出现时,表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应,且请求不会被进一步处理。有效值为: - All: 所有预演阶段都将被处理 |
|
|
| 应该删除对象前的持续时间(以秒为单位)。值必须是非负整数。值为零表示立即删除。如果这个值是 nil,则会使用指定类型的默认宽限期。如果没有指定,则默认为每个对象值。零表示立即删除。 |
|
|
| 弃用:请使用 PropagationPolicy,此字段将在 1.7 中弃用。如果依赖对象是孤立的。如果为 true/false,则 "orphan" finalizer 将添加到对象的终结器列表中。可以设置此字段或 PropagationPolicy,但不能同时设置。 |
|
|
| 是否执行垃圾回收。可以设置此字段或 OrphanDependents,但不能同时设置两者。默认策略由 metadata.finalizers 和特定于资源的默认策略中设置的现有终结器决定。可接受的值有: 'Orphan' - 孤立的依赖项; 'Background' - 允许垃圾收集器删除依赖项,"Foreground' - 删除前台所有依赖的级联策略。 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空 |
- HTTP 方法
-
GET - 描述
- 阅读指定的 SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| resourceVersion 对可能给请求提供服务的资源版本设置一个约束。详情请查看 https://kubernetes.io/docs/reference/using-api/api-concepts/#resource-versions 默认为未设置 |
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空 |
- HTTP 方法
-
PATCH - 描述
- 部分更新指定的 SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 出现时,表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应,且请求不会被进一步处理。有效值为: - All: 所有预演阶段都将被处理 |
|
|
| fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长,且仅包含可打印的字符,如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。应用请求(application/apply-patch)需要此字段,但对非应用补丁类型(JsonPatch、MergePatch、MergePatch)是可选的。 |
|
|
| fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为: - Ignore :忽略从对象中静默丢弃的未知字段,并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段,发送警告。如果没有其他错误,请求仍会成功,且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段,或者存在任何重复字段,请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的,以及重复的字段。 |
|
|
| 强制要"强制"应用请求。这意味着用户将重新分配由其他人员拥有的冲突字段。对于非应用补丁请求,必须取消设置 force 标志。 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
|
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空 |
- HTTP 方法
-
PUT - 描述
- 替换指定的 SecurityContextConstraints
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| 出现时,表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应,且请求不会被进一步处理。有效值为: - All: 所有预演阶段都将被处理 |
|
|
| fieldmanager 是与进行这些更改的参与者或实体相关联的名称。该值必须小于或是 128 个字符长,且仅包含可打印的字符,如 https://golang.org/pkg/unicode/#IsPrint 所定义的那样。 |
|
|
| fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为: - Ignore :忽略从对象中静默丢弃的未知字段,并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段,发送警告。如果没有其他错误,请求仍会成功,且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段,或者存在任何重复字段,请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的,以及重复的字段。 |
| 参数 | 类型 | 描述 |
|---|---|---|
|
|
| HTTP 代码 | 响应正文 |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空 |
