27.18. 卷安全性
27.18.1. 概述
本主题为 pod 安全性提供了常规指南,因为它与卷安全性相关。有关 pod 级别安全性的信息,请参阅管理安全性上下文约束(SCC)和安全性上下文约束(SCC) 和 安全性上下文约束 概念。有关 OpenShift Container Platform 持久性卷(PV)框架的信息,请参阅持久性存储概念主题。
访问持久性存储需要集群和/或存储管理员与最终开发人员之间的协调。集群管理员创建 PV,提取底层物理存储。开发人员会创建 pod,以及可选的 PVC,它根据匹配标准(如容量)绑定到 PV。
同一项目中的多个持久性卷声明 (PVC) 可以绑定到同一 PV。但是,当一个 PVC 绑定到 PV 后,这个 PV 不能被第一个声明的项目之外的声明绑定。如果需要多个项目访问底层存储,则每个项目需要自己的 PV,这可能指向同一物理存储。因此,绑定 PV 已绑定到项目。如需详细的 PV 和 PVC 示例,请参阅 使用持久性卷 部署 WordPress 和 MySQL 的示例。
对于集群管理员,授予对 PV 的 pod 访问权限涉及:
- 知道分配给实际存储的组 ID 和/或用户 ID,
- 了解 SELinux 的注意事项,以及
- 确保在为项目定义的法律 ID 范围内允许这些 ID,并且/或与 Pod 要求匹配的 SCC。
组 ID、用户 ID 和 SELinux 值在 Pod 定义中的 SecurityContext
部分中定义。组 ID 是 pod 的全局性,适用于 pod 中定义的所有容器。用户 ID 也可以全局,或者特定于每个容器。四个部分控制对卷的访问: