开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

OpenShift中所有SCC的详细描述

OpenShift是由Red Hat（现在是IBM的一部分）开发和维护的一个基于Kubernetes的容器应用平台。它提供了一种简化的方式来部署、管理和扩展应用程序。

在OpenShift中，SCC（Security Context Constraints）是一种用于定义和限制容器中运行的进程的安全策略的机制。它可以确保容器的运行环境具有最低权限，并防止容器越权访问主机系统。

以下是OpenShift中常用的几种SCC及其详细描述：

anyuid：
- 概念：该SCC允许容器以任何用户ID运行。
- 优势：提供了在容器中执行一些需要特权访问的任务的灵活性。
- 应用场景：适用于需要访问主机系统资源的容器，如需要使用特权端口或需要读取主机文件系统的容器。
- 腾讯云产品推荐：腾讯云容器服务 TKE（https://cloud.tencent.com/product/tke）

privileged：
- 概念：该SCC允许容器拥有主机系统上的特权权限。
- 优势：允许容器完全访问主机系统资源，如设备节点和系统目录。
- 应用场景：适用于需要高度特权访问的容器，如运行需要加载内核模块或修改主机网络配置的容器。
- 腾讯云产品推荐：腾讯云容器服务 TKE（https://cloud.tencent.com/product/tke）
restricted：
- 概念：该SCC是默认的OpenShift安全策略，它限制了容器的权限，并使用安全策略保护主机系统。
- 优势：提供了最小化的容器权限，以减少潜在的安全风险。
- 应用场景：适用于大多数容器应用程序，不需要特权访问主机资源的情况。
- 腾讯云产品推荐：腾讯云容器服务 TKE（https://cloud.tencent.com/product/tke）

总结：OpenShift中的SCC提供了对容器的安全限制和策略控制，以确保容器的运行环境具有最低权限，并减少潜在的安全风险。不同的SCC适用于不同的容器应用场景，腾讯云的容器服务TKE是一个推荐的云计算产品，它提供了完善的容器化解决方案和强大的容器管理能力。

相关搜索:OpenShift如何确定pod的scc？Openshift -将RunOnlyAs SCC应用于部署中的pods OpenShift -列出具有特权scc的服务帐户 into的详细描述融入到简要描述中 OpenShift中的WAR部署 Openshift源容器中的Elastalert OpenShift远程访问中的postgreSQL 如何在openshift中读取所有使用keycloak和spring的用户？Openshift中的Keycloak，从pod调用 openShift pod中的free命令结果如何限制OpenShift中的默认权限 openshift v3中的路由 openshift apache中的Logrotation -不工作 openshift服务发现中的意外值如何在OpenShift中配置最新的nodejs？无法将hostPath添加到自定义SCC中的卷下 OpenShift + Istio中的mTLS (客户端证书)如何更改openshift源中的默认Pod地址？openshift不支持Dockerfile中的USER指令如何在OpenShift中调试崩溃循环的pods？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

005.OpenShift访问控制-权限-角色

description是项目的更详细描述，并且在web控制台中也可见。...role groupname 为集群中的所有项目将指定的角色绑定到指定的组 oc adm policy remove-cluster-role-from-group role groupname 从集群中所有项目的指定组中移除给定角色...默认角色描述 cluster-admin 此角色中的所有用户都可以管理OpenShift集群。 cluster-status 此角色中的所有用户都提供对集群信息的只读访问。...SCC限制从OpenShift中运行的pod到主机环境的访问：运行特权容器请求容器的额外功能使用主机目录作为卷更改容器的SELinux上下文更改用户ID 社区开发的一些容器可能需要放松安全上下文约束...describe scc anyuid #查看某一种SCC详情 OpenShift创建的所有容器都使用restricted类型的SCC，它提供了对OpenShift外部资源的有限访问。

3.4K2 0

理解OpenShift（4）：用户及权限管理

我试着把一个OpenShift 环境中的所有用户分为三大类：应用用户：部署在集群之中的应用自己的用户。一般来说每个应用都有自己的用户管理系统，与平台无关。...下图是项目 stage 中的 rolebinding： ? 用户组 system:serviceaccounts:stage 中包括该项目中的所有 sa 用户。...比如：要求以任意用户甚至是 root 来运行 pod 中的主进程要求访问宿主机上的文件系统要求访问宿主机上的网络对于这些操作系统资源的访问权限，OpenShift 利用 scc 来进行控制。...所有通过身份认证了的用户都只在 restricted 这个 scc 的用户列表之中，包括 service account。因此，pod 默认使用的是 restricted scc。...以 restricted 为例，所有通过身份验证的用户都在列表中；而 anyuid，只有 cluster-admins 用户组中的用户在里面。 ? ?

2.2K1 0

openshift scc解析

SCC的策略值设置为RunAsAny表示pod拥有该策略下的所有权限。否则只有pod的SCC设置与SCC策略匹配时才能通过认证。　　...SCC可能会给出所允许的策略的值的范围(如Must RunAsRange)，如果pod中没有指定对应策略的值，则默认使用该pod所在的project中的最小值。...OpenShift容器中挂载的卷和目标存储拥有相同的权限。如目标存储的UID为1234，groupID为5678，则mount到node和容器中的卷同样拥有这些ID值。...的key为openshift.io/scc。...openshift role和clusterrole用于控制pod服务对openshift资源的访问；而SCC用于控制pod的启动和对挂载卷的访问注意：给openshift的默认serviceaccount

1.9K1 0

OpenShift中的持续交付 | 洞见

比如只有QA才能操作sys project中的资源，运维工程师才能操作prod project中的资源。...既然OpenShift是个容器化的管理平台，那么我们完全也可以将Jenkins作为一个应用纳入到OpenShift中来托管，这样Jenkins的Master和Slave都是容器化的。...OpenShift官方提供了一个Jenkins2.0的镜像，其预装了OpenShift pipeline插件，可以很方便地进行构建、部署等操作。...每次部署时，它会启动一个新的Replica Controller，部署一个pod，然后削减旧的Replica Controller的pod，如此往复，直到旧的Replica Controller中的所有...pod都被销毁，新的Replica Controller的所有pod都在线。

1.1K8 0

openshiftorigin工作记录（12）——Openshift3.11安装Istio

+Centos7.5+Istio1.0.5 下载 Istio 发布包 Istio 会被安装到自己的 istio-system 命名空间，并且能够对所有其他命名空间的服务进行管理。...：在 install/ 目录中包含了 Kubernetes 安装所需的 .yaml 文件 samples/ 目录中是示例应用 istioctl 客户端文件保存在 bin/ 目录之中。...，必须满足以下先决条件：最低版本：3.9.0 oc 配置为可以访问集群用户已登录到集群用户在 OpenShift 上具有 cluster-admin 角色缺省情况下，OpenShift 不允许容器使用...playbook 的所有执行都必须在 Istio 的 install/kubernetes/ansible 路径中进行。...在 OpenShift 上部署默认配置的 Istio： # ansible-playbook main.yml ? 确认安装确保所有相应的pod都已被部署且所有的容器都已启动并正在运行： ?

7233 0

openshiftorigin工作记录（11）——Openshift3.6向Openshift3.11升级以及CVE

当前运行的Openshift集群版本为v3.6，目标为升级到版本v3.11。这里只记录升级过程中碰到的坑，不记录升级细节。...需要先运行openshift-ansible/playbooks/openshift-master/openshift_node_group.yml来创建默认的Configmaps 恢复默认的SCC 之前在使用...openshift的时候，修改过默认的SCC，这里需要把系统自带的SCC恢复默认设置。...代码中可以看出，假如没有设置openshift_upgrade_nodes_label，etcd所在的节点默认不在升级范围内。...验证升级所有节点信息如下： ? 所有pod正确运行。升级成功。

1.1K2 0

K8s Pod 安全认知:从OpenShift SCC 到K8s PSP 弃用以及现在的 PSA

SCC)， SCC 出现在 Red Hat OpenShift 容器平台的第一个版本中，甚至在 Kubernetes 1.0 之前。...SCC 熟悉 openshift 的小伙伴，或者参加过红帽 DO280 考试的小伙伴的，对 SCC 一定不陌生，SCC 即 SecurityContextConstraints(容器安全上下文) ,是...) 查看当前命名空间下的所以的 SSC , OpenShift 有七个 SCC 级别 [root@master student]# oc get scc NAME PRIV...它限制了 pod 对主机文件系统和网络的访问。对应的7中 SCC 限制说明： restricted：这个 SCC 是最严格的，适用于以非root 权限运行的 pod。...它限制了 pod 对主机文件系统和网络的访问。 privileged：这个 SCC 允许 pod 以完整的 root 权限运行，并访问所有主机资源。它适用于需要访问敏感主机资源的 pod。

3512 0

身份验证和权限管理---Openshift3.9学习系列第三篇

一、Openshift的认证在OCP中，有用户和组的概念。...OpenShift中的用户：可以向OpenShift API发出请求通常表示与OpenShift交互的开发人员或管理员的帐户 Openshift的组由多个用户组成，用于管理授权策略以一次向多个用户授予权限...四、安全上下文约束 Openshift的scc有两类：Privileged SCC和 Restricted SCC。...默认情况下，cluster administrators, nodes, and build controller被授权访问Privileged SCC 所有经过身份验证的用户都可以访问 Restricted...anyuid SCC可以允许运行特权容器。在此步骤中，修改SCC允许paymentapp-prod项目中的sa运行与root用户一起运行的映像/容器。

2K6 0

OpenShift企业测试环境应用部署实战

中的概念, project可以理解为对应K8S的namespace....本次为测试环境, 禅道的所有组件统统打进一个docker镜像里了, 所以就只有一个应用 - zentao....(OpenShift默认不允许本地路径(即: hostPath)实现方式) 本例中, 为了避免一切不必要的资源申请流程(当前OpenShift测试环境没有现成的nfs这类公有存储), 所以就直接用本地路径来实现持久化...由于OpenShift不允许本地路径持久化, 所以首先要更改配置使其允许. 创建一个名为hostpath的SCC (SCC可以简单的理解为安全限制策略)....}' 把hostpath这个SCC赋权给所有用户: (system:authenticated 就是所有用户) oc adm policy add-scc-to-group hostpath system

1K4 0

openshiftorigin学习记录（10）——基于已有镜像部署应用

参考的博客为《OpenShift_034：部署 mywebsql docker image 访问 mysql 数据库》（该博主的博客需要访问外国网站浏览）。...基于已有镜像部署应用以账号为dev密码为dev的用户登录openshift集群。 # oc login -u dev -p dev 创建一个名为imagetest的项目。...# oc new-project imagetest 以root权限运行该项目中的容器。 openshift中有scc概念，即安全上下文，需要对权限进行管理。...如果不配置，可能会出现容器权限的问题。这里由于对scc还未深入学习，暂时配置为以root权限运行容器。...这里已将之前生成的镜像push到了本地镜像仓库中。

1.4K0 0

如何在 OpenShift 中运行 Collabora Office

前言近期在尝试 office 文档在线编辑和预览的一些解决方案, 目前在使用Collabora Office, 但是Collabora的docker镜像在OpenShift中运行不起来, 一直提示Operation...的docker镜像在OpenShift中运行不起来, 一直提示Operation not permitted....其实原因权限不允许, 它需要做的一些操作在OpenShift中是被禁止的(出于企业级安全的考虑). 所以我们将它需要的权限一项一项加上就好了....): oc adm policy add-scc-to-user anyuid system:serviceaccount:myproject:mysvcacct 在 OpenShift 中为容器提供其他...总结在OpenShift中: 容器需要root用户, 给它对应的deployment添加Service Account, 并添加anyuid的SCC.

1.2K3 0

将Coolstore微服务引入服务网格：第1部分 - 探索自动注入

它将添加必要的“sidecar”容器，以透明地拦截所有网络流量和所有入站/出站应用流量。接下来，让我们创建一个包含示例应用程序的测试项目。...privileged -z default,deployer % oc adm policy add-scc-to-user anyuid -z default,deployer 要在红帽OpenShift...然而，红帽OpenShift需要进行一些微调，以便在整个红帽OpenShift的应用程序生命周期功能中充分利用它来构建和部署应用程序。...然而，目前尚不清楚这将如何影响在红帽OpenShift中构建或部署的应用程序创建的特殊构建器和部署器窗格。这个解决方案应该在Red Hat OpenShift 3.10中实现。...这是Go语言级错误，已在Kubernetes中解决，并将出现在Red Hat OpenShift的下一个版本中。目前，除了使用手动注入之外，没有任何解决方法，我们将在本系列文章的下一部分介绍。

1.6K5 0

PaaS、DevOps、OpenShift与业务中台的实现

而IT界优秀的企业级容器云平台——OpenShift，又成为DevOps和微服务落地的新一代平台。...企业业务中台的建设近两年，很多国内的企业都在谈业务中台建设。那么，什么是业务中台？实际上，业务中台是相对于“前台”和“后台”而言的。前台由各类业务系统前端平台组成。...▲图1-3 业务中台的实现方式整个业务中台的全景图，将包含PaaS平台、DevOps、微服务治理以及微服务API管理、分布式集成与流程自动化，如图1-4所示。 ?...本文摘编自《OpenShift在企业中的实践：PaaS DevOps微服务》，经出版方授权发布。...延伸阅读《OpenShift在企业中的实践》推荐语：多位全球知名企业IT负责人联名推荐，两位红帽和AWS云计算和微服务资深架构师和技术专家合著，从实战角度全面剖析OpenShift和DevOps和微服务技术

1.2K6 0

openshiftorigin工作记录（9）——openshift结合jenkins实现持续集成

集成jenkins 参考《openshift/origin学习记录（7）——集成Jenkins服务》，集成jenkins（博客里记录的是非持久化的jenkins，选用jenkins-persistent-template...关于PV和PVC可以参考《openshift/origin工作记录（7）——持久化openshift内部镜像仓库》。...这里的初步解决方案记录如下（核心思路是采用volume挂载）：修改jenkins的环境变量 ? OPENSHIFT_ENABLE_OAUTH:false。...设置不采用openshift的登录认证。 JENKINS_PASSWORD:test。设置admin的初始密码为test。...hostPath挂载需要修改scc权限 java操作jenkins 采用github开源项目，https://github.com/jenkinsci/java-client-api，最后初步实现了所有功能

9895 0

openshift 4.3 Istio的搭建(istio 系列一)

openshift 4.3 Istio的搭建本文档覆盖了官方文档的Setup的所有章节目录 openshift 4.3 Istio的搭建安装Istio openshift安装Istio 更新istio...$ istioctl verify-install -f generated-manifest.yaml istio会使用UID为1337的用户将sidecar注入到应用中，openshift默认不允许使用该用户...的网格中。...如下内容中不会对具有标签openshift.io/build.name或openshift.io/deployer-pod-for.name的pod注入sidecar。...proxy容器执行所有init容器，并成功运行结束启动pod中的istio sidecar proxy和其他容器由于init容器会在sidecar proxy容器之前运行，因此可能导致应用本身的

1.1K4 0

Openshift容器云安全加固措施70项

在Openshift中，可以设置独立的磁盘做docker-vg 2. 宿主机使用最新的Linux内核 Openshift宿主机使用RHEL7，其内核不低于3.10。...Red Hat为OpenShift和RHEL用户维护Docker运行时，这包括相关的错误修正和安全更新。目前红帽的Openshift最新版本中的Docker和K8S是社区最新版本的次新版本。...四、容器镜像和Build File 1.为容器创建独立的账户 OpenShift默认使用分配的用户标识运行容器，并且还利用由defailt配置的OpenShift安全上下文（scc）来阻止特权容器。...这也可用于在修补映像并将这些更新部署到正在运行的容器中，而这个过程是自动完成的。五、容器运行时 1.不要使用特权容器 Openshift中，特权容器只能在Master或Infra节点上运行。...14.限制容器获取额外的权限 Openshift通过scc实现。

1.6K7 0

在K8SOpenShift上开发应用程序的14种最佳实践

确保应用程序Pod正常终止终止时，应用程序容器应完成所有进行中的请求并正常终止现有连接。这允许在终端用户不注意的情况下重新启动pod，例如在部署应用程序的新版本时。...断路器超时重试速率限制应用程序安全性本节包括5个最佳实践，它们将提高应用程序的安全性。我强烈建议您考虑在您的环境中实施所有这些实践。使用受信任的基础镜像尽可能使用供应商提供的容器镜像。...) (译者注: 应该是OpenShift特有的安全加固功能) 修改您的容器镜像以允许在受限的SCC(security context constraint简写)下运行。...强制使用OpenShift受限制的SCC可提供最高级别的安全性，以防止在应用程序被破坏的情况下损害集群节点。使用TLS保护应用程序组件之间的通信。应用程序组件可能会传达应受到保护的敏感数据。...总结在此博客中，我们回顾了14种最佳实践，可以帮助您在K8S/OpenShift上构建更可靠，更安全的应用程序。开发人员可以使用此列表导出自己的强制性实践列表，所有团队成员都必须遵循该列表.

8861 0

评测Loki日志工具

如果使用openshift平台，则需要进行scc授权 # oc adm policy add-scc-to-user privileged -z loki # oc adm policy add-scc-to-user...如果grafana是集群外部的，需要配置ingress，以访问Loki。openshift直接创建router即可。配置grafana 参考官方配置文档。...部署好Loki之后，在grafana中配置Loki的datasource ? 在exporter中就可以通过Loki自动生成的标签查看日志信息。 ?...如dashboard对Loki的支持力度远远不够，基于Loki日志的告警目前也很不方便。相信在后续的版本解决和完善这些不便之处后，Loki会成为一个非常好用的工具。...此外，在官方的explore介绍中可以看到，grafana还对Tracing进行了集成，由此看到，grafana最终的目标可能是实现log，metric和tracing的大统一。

1.9K2 0

20 Nov 2021 cka练习（二）

1 clusterrole/serviceaccount/rolebinding的创建 $ k create clusterrole deployment-clusterrole --verb=create...app-team1 created $ k get ns app-team1 -o yaml apiVersion: v1 kind: Namespace metadata: annotations: openshift.io.../sa.scc.mcs: s0:c27,c4 openshift.io/sa.scc.supplemental-groups: 1000710000/10000 openshift.io.../sa.scc.uid-range: 1000710000/10000 creationTimestamp: "2021-11-20T13:01:12Z" labels: kubernetes.io

1892 0

PodSecurityPolicy：历史背景

PodSecurityPolicy 的诞生 PodSecurityPolicy 源自 OpenShift 的 SecurityContextConstraints (SCC)，它出现在 Red Hat...OpenShift 容器平台的第一个版本中，甚至在 Kubernetes 1.0 之前。...PSP 是 SCC 的精简版。...这是一个长达 9 个月的漫长讨论，基于 OpenShift 的 SCC 反复讨论，多次变动，并重命名为 PodSecurityPolicy，最终在 2016 年 2 月进入上游 Kubernetes...也就是说，在没有策略的情况下，所有 Pod 都会被拒绝。

5063 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭