3.3. 使用自定义 SCC 和自定义服务帐户运行管道运行和任务

流程

1. 定义自定义 SCC，并将 fsGroup.type 参数设置为 RunAsAny ：

   示例：自定义 SCC

   apiVersion: security.openshift.io/v1
   kind: SecurityContextConstraints
   metadata:
     annotations:
       kubernetes.io/description: my-scc is a close replica of anyuid scc. pipelines-scc has fsGroup - RunAsAny.
     name: my-scc
   allowHostDirVolumePlugin: false
   allowHostIPC: false
   allowHostNetwork: false
   allowHostPID: false
   allowHostPorts: false
   allowPrivilegeEscalation: true
   allowPrivilegedContainer: false
   allowedCapabilities: null
   defaultAddCapabilities: null
   fsGroup:
     type: RunAsAny
   groups:
   - system:cluster-admins
   priority: 10
   readOnlyRootFilesystem: false
   requiredDropCapabilities:
   - MKNOD
   runAsUser:
     type: RunAsAny
   seLinuxContext:
     type: MustRunAs
   supplementalGroups:
     type: RunAsAny
   volumes:
   - configMap
   - downwardAPI
   - emptyDir
   - persistentVolumeClaim
   - projected
   - secret

2. 创建自定义 SCC：

   示例：创建 my-scc SCC

   $ oc create -f my-scc.yaml

3. 创建自定义服务帐户：

   示例：创建一个 fsgroup-runasany 服务帐户

   $ oc create serviceaccount fsgroup-runasany

4. 将自定义 SCC 与自定义服务帐户关联：

   示例：将 my-scc SCC 与 fsgroup-runasany 服务帐户关联

   $ oc adm policy add-scc-to-user my-scc -z fsgroup-runasany

   如果要将自定义服务帐户用于特权任务，您可以通过运行以下命令将 privileged SCC 与自定义服务帐户关联：

   示例：将 privileged SCC 与 fsgroup-runasany 服务帐户关联

   $ oc adm policy add-scc-to-user privileged -z fsgroup-runasany

5. 在管道运行和任务运行中使用自定义服务帐户：

   示例：Pipeline 使用 fsgroup-runasany 自定义服务帐户运行 YAML

   apiVersion: tekton.dev/v1
   kind: PipelineRun
   metadata:
     name: <pipeline-run-name>
   spec:
     pipelineRef:
       name: <pipeline-cluster-task-name>
     taskRunTemplate:
       serviceAccountName: 'fsgroup-runasany'

   示例：任务使用 fsgroup-runasany 自定义服务帐户运行 YAML

   apiVersion: tekton.dev/v1
   kind: TaskRun
   metadata:
     name: <task-run-name>
   spec:
     taskRef:
       name: <cluster-task-name>
     taskRunTemplate:
       serviceAccountName: 'fsgroup-runasany'