如何在 Kubernetes / openShift 中使用自定义 SCC

Question

我想在我的 deployment.yaml 上使用自定义的安全内容上下文。 所以我的一位同事创建了一个自定义 SCC 并应用了它。

$oc get scc 
restricted-plus  false <no value>  MustRunAs  MustRunAsRange  MustRunAs  RunAsAny  <no value>  false      ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]

在kubernetes documentation 上，他们展示了如何将 scc 与 .json 文件一起使用，但没有展示如何调用已加载到集群上的 scc。

没关系，所以我在我的 deployment.yaml

上尝试了这个

template:
  metadata: 
    creationTimestamp: null 
    labels:
      app: test-app
  spec:
    securityContext:
      seccomProfiles:
        localhostProfile: restricted-plus:
    containers:
    - args: 

不幸的是它不起作用:(

如何在我的 deployment.yaml 上使用我的自定义 scc restricted-plus？

Answer 1

首先，SCC 是特定于 OpenShift 的。它们在 Kubernetes 中不存在（SCC 与 seccomp 配置文件不同）。

您不会“使用您的自定义 SCC”。相反，您创建 SCC，然后创建角色/角色绑定以允许给定用户访问“使用”它。

现在，当该用户尝试创建 pod 时，将使用允许该 pod 的最严格的 SCC 来执行此操作。由于用户现在有更多可用的 SCC，因此可以允许更多许可的 pod 加入集群。

https://docs.openshift.com/container-platform/4.9/authentication/managing-security-context-constraints.html 有更多详细信息。