7.2. 控制 pod 安全准入同步
您可以为大多数命名空间启用自动 pod 安全准入同步。
当 security.openshift.io/scc.podSecurityLabelSync 字段为空或设置为 false 时,不会强制系统默认值。您必须将标签设置为 true,才能进行同步。
重要
定义为集群有效负载一部分的命名空间会永久禁用 pod 安全准入同步。这些命名空间包括:
-
default -
kube-node-lease -
kube-system -
kube-public -
openshift -
所有带有
openshift-前缀的系统创建命名空间(默认为openshift-operators除外),所有具有openshift-前缀的命名空间不会被同步。您可以为任何用户创建的openshift-*命名空间启用同步。除了openshift-operators之外,您无法为任何系统创建的openshift-*命名空间启用同步。
如果 Operator 安装在用户创建的 openshift-* 命名空间中,则在命名空间中创建集群服务版本(CSV)后,默认会开启同步。同步标签继承命名空间中服务帐户的权限。
流程
要在命名空间中启用 pod 安全准入标签同步,请将
security.openshift.io/scc.podSecurityLabelSync标签的值设置为true。运行以下命令:
$ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=true
注意
您可以使用 --overwrite 标志来反转命名空间中 pod 安全标签同步的影响。
