第 16 章 了解并管理 pod 安全准入
Pod 安全准入是 Kubernetes pod 安全标准的实现。使用 pod 安全准入来限制 pod 的行为。
16.1. 安全性上下文约束与 pod 安全标准同步
OpenShift Container Platform 包括 Kubernetes pod 安全准入。在全局范围内,会强制 privileged 配置集,restricted 配置集用于警告和审核。
除了全局 pod 安全准入控制配置外,还存在一个控制器,它会根据给定命名空间中的服务帐户的 SCC 权限将 pod 安全准入控制 warn 和 audit 标签应用到命名空间。
重要
定义为集群有效负载一部分的命名空间会永久禁用 pod 安全准入同步。您可以根据需要,在其他命名空间中启用 pod 安全准入同步。
控制器检查 ServiceAccount 对象权限,以便在每个命名空间中使用安全性上下文约束。安全性上下文约束 (SCC) 根据其字段值映射到 Pod 安全配置集,控制器使用这些翻译配置集。Pod 安全准入 warn 和 audit 标签被设置为命名空间中找到的最特权 pod 安全配置集,以防止在创建 pod 时出现警告和审计日志记录。
命名空间标签基于对命名空间本地服务帐户权限的考虑。
直接应用 pod 可能会使用运行 Pod 的用户的 SCC 特权。但是,在自动标记过程中不会考虑用户权限。
