首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

OpenShift如何确定pod的scc?

OpenShift通过使用Security Context Constraints(SCC)来确定Pod的安全上下文。SCC是一组策略规则,用于定义Pod可以使用的安全功能和权限级别。

要确定Pod的SCC,OpenShift会按照以下步骤进行:

  1. 首先,OpenShift会检查Pod的ServiceAccount。每个Pod都会关联一个ServiceAccount,用于管理Pod的身份和访问权限。OpenShift会根据ServiceAccount的名称来查找匹配的SCC。
  2. 如果找到匹配的ServiceAccount,OpenShift会检查该ServiceAccount关联的RoleBindings和ClusterRoleBindings。这些绑定定义了ServiceAccount可以访问的资源和操作权限。OpenShift会根据绑定的权限来确定Pod的SCC。
  3. 如果没有找到匹配的ServiceAccount,OpenShift会检查Pod的标签。Pod可以使用标签来指定所需的SCC。OpenShift会根据标签来确定Pod的SCC。
  4. 如果以上步骤都没有确定Pod的SCC,OpenShift会使用默认的SCC。默认的SCC是在集群级别定义的,适用于没有明确指定SCC的Pod。

确定了Pod的SCC后,OpenShift会根据SCC的规则来限制Pod的安全上下文。SCC可以定义各种安全功能和权限级别,例如容器的用户ID、组ID、访问主机文件系统的权限、使用特权容器的权限等。

在OpenShift中,推荐的相关产品是OpenShift Container Platform(OCP)。OCP是一种基于Kubernetes的容器平台,提供了完整的容器编排、管理和安全功能。您可以通过以下链接了解更多关于OpenShift Container Platform的信息:OpenShift Container Platform

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

如何确定Pod内网域名

内网域名解析 内网域名解析,顾名思义是通过内网DNS服务器在局域网内做域名解析。 内网域名解析好处: 1、较高性能和较低延迟; 2、能够有效地防范外部攻击,解决劫持问题。...原因也很简单,就是数据包在网络设备上传输路径短了。 另外内网网络质量是可控,大多数情况下都比外网好些,即使不好也很容易换个比较好设备来解决。...如何确定K8s应用内网域名 K8s应用内网域名是由K8s集群内部域名解析服务来进行解析,整个过程都在K8s集群内。...K8s中应用全限定域名由三部分组成: 1、应用在K8s中定义服务名 2、应用在K8s集群中命名空间 3、集群本地服务名称中使用可配置集群域后缀。 示例: 一个ServiceYAML定义文件。...定义 kubectl get pod 服务名 -n 命名空间名 - o yaml #查看pod类型应用yaml定义

1.7K20

005.OpenShift访问控制-权限-角色

每个用户在访问OpenShift容器平台之前必须进行身份验证。没有身份验证或身份验证无效API请求将使用匿名系统用户身份验证来请求服务。身份验证成功后,策略确定用户被授权做什么。...SCC限制从OpenShift中运行pod到主机环境访问: 运行特权容器 请求容器额外功能 使用主机目录作为卷 更改容器SELinux上下文 更改用户ID 社区开发一些容器可能需要放松安全上下文约束...describe scc anyuid #查看某一种SCC详情 OpenShift创建所有容器都使用restricted类型SCC,它提供了对OpenShift外部资源有限访问。...要将容器更改为使用不同SCC运行,需要创建绑定到pod服务帐户。...#将服务帐户与SCC关联 要确定哪个帐户可以创建需要更高安全性要求pod,可以使用scc-subject-review子命令。

3.4K20

身份验证和权限管理---Openshift3.9学习系列第三篇

OAuth: OpenShift Master节点包含内置OAuth服务器 用户获取OAuth访问令牌以对API进行身份验证 当用户请求OAuth令牌时,OAuth服务器使用配置身份提供程序来确定请求者身份...OAuth服务器: 确定用户身份映射位置 为用户创建访问令牌 返回令牌以供使用 OAuth客户端 OAuth令牌请求必须指定OAuth客户端才能接收和使用令牌 启动OpenShift API时自动创建...四、安全上下文约束 Openshiftscc有两类:Privileged SCC和 Restricted SCC。...我们通常不直接创建pod。 而是通过创建dc、rc,触发创建pod操作。 因此,项目中serviceaccount需要root权限。 OpenShift带有许多安全上下文约束(SCC)。...pod创建成功以后,登录pod: ? 登录新部署好pod: ? 可以看到,是root用户。

1.9K60

openshiftorigin工作记录(12)——Openshift3.11安装Istio

istioctl 功能是手工进行 Envoy Sidecar 注入,以及对路由规则、策略管理 istio.VERSION 配置文件 istioctl 客户端加入 PATH 环境变量 在/etc/profile...,必须满足以下先决条件: 最低版本:3.9.0 oc 配置为可以访问集群 用户已登录到集群 用户在 OpenShift 上具有 cluster-admin 角色 缺省情况下,OpenShift 不允许容器使用...下面的命令让 Istio Service account 可以使用 UID 0 来运行容器: $ oc adm policy add-scc-to-user anyuid -z istio-ingress-service-account...playbook 所有执行都必须在 Istio install/kubernetes/ansible 路径中进行。...在 OpenShift 上部署默认配置 Istio: # ansible-playbook main.yml ? 确认安装 确保所有相应pod都已被部署且所有的容器都已启动并正在运行: ?

69830

openshiftorigin学习记录(2)——添加Router组件

学习资料来源于官方英文文档与《开源容器云OpenShift》一书,因为刚开始学习,不确定博客正确性,以下内容仅供参考。...本部分是在openshift/origin学习记录(1)——基于二进制文件安装(单机版)基础上进行。 Router是openshift集群中一个重要组件,它是外部访问集群内容器应用入口。...# oadm policy add-scc-to-user privileged system:serviceaccount:default:router # oadm router router --...# oc get pod -n default # ss -ltn|egrep -w "80|443" ? 通过检查实验主机上端口监听状态,可以发现主机端口80、443正在被Haproxy监听。...当用户通过指定域名访问应用时,域名会被解析并指向Router所在计算节点上。Router获取这个请求后,会根据route规则定义转发给与这个域名对应service后端相关联Pod容器实例。

1.5K00

理解OpenShfit(5):从 Docker Volume 到 OpenShift Persistent Volume

客户端系统上 uid 和 gid 通过 RPC 调用传到 NFS 端,然后这些 id 所拥有的权限会被校验,以确定能否访问目标资源。因此,客户端和服务器端上 uid 和 gid 必须相同。...在 Linux 上,文件系统用户(user)、组(group) ID,连同辅助组(supplementary group)ID,一起确定对文件系统操作权限,包括打开(open)、修改所有者(change... scc 为 anyuid): ?...此时,可以基于 restricted scc 创建一个新 scc,别的配置不变,除了将 RunAsUser 策略修改为 RunAsAny 以外。...此时,就可以在 Pod 中指定 uid 为 65534 了。 新scc: ? pod 中指定 uid: ? pod uid: ? 挂载文件夹可写。操作成功。

1.5K10

在K8SOpenShift上开发应用程序14种最佳实践

pod定义中定义资源请求和资源限制 由于请求资源配置不正确,应用程序可能会耗尽内存或导致CPU饥饿。指定请求内存和CPU资源可以使群集做出适当调度决策,以确保应用程序具有请求资源可用。...始终在POD定义中定义liveness 和readiness探针。 运行状况检查探针使群集可以为您应用程序提供基本弹性。...确保应用程序Pod正常终止 终止时,应用程序容器应完成所有进行中请求并正常终止现有连接。这允许在终端用户不注意情况下重新启动pod,例如在部署应用程序新版本时。...) (译者注: 应该是OpenShift特有的安全加固功能) 修改您容器镜像以允许在受限SCC(security context constraint简写)下运行。...强制使用OpenShift受限制SCC可提供最高级别的安全性,以防止在应用程序被破坏情况下损害集群节点。 使用TLS保护应用程序组件之间通信。 应用程序组件可能会传达应受到保护敏感数据。

85810

评测Loki日志工具

推荐使用helm方式安装loki,官方推荐tanka需要使用awss3服务。安装helm后直接运行如下命令即可在loki命名空间中部署最简单loki套件。...如果使用openshift平台,则需要进行scc授权 # oc adm policy add-scc-to-user privileged -z loki # oc adm policy add-scc-to-user...privileged -z loki-promtail 如果promtail pod因为权限问题无法读取hostpath挂载目录,直接给promtail daemonset使用serviceaccount...如果grafana是集群外部,需要配置ingress,以访问Loki。openshift直接创建router即可。 配置grafana 参考官方配置文档。...如dashboard对Loki支持力度远远不够,基于Loki日志告警目前也很不方便。 相信在后续版本解决和完善这些不便之处后,Loki会成为一个非常好用工具。

1.8K20
领券