开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

OpenShift如何确定pod的scc？

OpenShift通过使用Security Context Constraints（SCC）来确定Pod的安全上下文。SCC是一组策略规则，用于定义Pod可以使用的安全功能和权限级别。

要确定Pod的SCC，OpenShift会按照以下步骤进行：

首先，OpenShift会检查Pod的ServiceAccount。每个Pod都会关联一个ServiceAccount，用于管理Pod的身份和访问权限。OpenShift会根据ServiceAccount的名称来查找匹配的SCC。
如果找到匹配的ServiceAccount，OpenShift会检查该ServiceAccount关联的RoleBindings和ClusterRoleBindings。这些绑定定义了ServiceAccount可以访问的资源和操作权限。OpenShift会根据绑定的权限来确定Pod的SCC。
如果没有找到匹配的ServiceAccount，OpenShift会检查Pod的标签。Pod可以使用标签来指定所需的SCC。OpenShift会根据标签来确定Pod的SCC。
如果以上步骤都没有确定Pod的SCC，OpenShift会使用默认的SCC。默认的SCC是在集群级别定义的，适用于没有明确指定SCC的Pod。

确定了Pod的SCC后，OpenShift会根据SCC的规则来限制Pod的安全上下文。SCC可以定义各种安全功能和权限级别，例如容器的用户ID、组ID、访问主机文件系统的权限、使用特权容器的权限等。

在OpenShift中，推荐的相关产品是OpenShift Container Platform（OCP）。OCP是一种基于Kubernetes的容器平台，提供了完整的容器编排、管理和安全功能。您可以通过以下链接了解更多关于OpenShift Container Platform的信息：OpenShift Container Platform

相关搜索:OpenShift中所有SCC的详细描述如何获取pod运行的openshift节点？OpenShift -列出具有特权scc的服务帐户 Openshift -将RunOnlyAs SCC应用于部署中的pods 如何理解OpenShift pod CPU使用指标 Openshift:如何删除或管理特定Pod 如何更改openshift源中的默认Pod地址？pod的Openshift events表为空 Openshift中的Keycloak，从pod调用 openShift pod中的free命令结果如何在OpenShift下使用unrar创建pod？OpenShift tomcat pod上的CloseableHttpClient返回504 如何在openshift cli中根据pod的年龄进行过滤？Openshift - confimap和pod之间的相关性确定kubernetes pod重启的原因如何在openshift 4.0中获得对pod的root访问权限如何控制openshift pod的状态，只有在pod内部的应用实际启动时才能运行？远程运行pod中的shell脚本openshift或kubernetes Openshift:我的springboot应用需要多少个pod？如何配置Openshift服务以将工作分配到连接最少的pod？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

如何确定Pod的内网域名

内网域名解析内网域名解析，顾名思义是通过内网的DNS服务器在局域网内做域名解析。内网域名解析的好处： 1、较高的性能和较低的延迟； 2、能够有效地防范外部攻击，解决劫持问题。...原因也很简单，就是数据包在网络设备上传输的路径短了。另外内网的网络质量是可控的，大多数情况下都比外网好些，即使不好也很容易换个比较好的设备来解决。...如何确定K8s应用的内网域名 K8s应用的内网域名是由K8s集群内部的域名解析服务来进行解析的，整个过程都在K8s集群内。...K8s中应用的全限定域名由三部分组成： 1、应用在K8s中定义的服务名 2、应用在K8s集群中的命名空间 3、集群本地服务名称中使用的可配置集群域后缀。示例：一个Service的YAML定义文件。...定义 kubectl get pod 服务名 -n 命名空间名 - o yaml #查看pod类型的应用yaml定义

1.8K2 0

理解OpenShift（4）：用户及权限管理

当一个 user 申请一个 OAuth token 时，OAuth 使用配置的 identity provider 去确定该申请用户的身份。...它在确定该用户所映射到的 identity后，会为该用户创建一个 token，然后返回该token。 ? 3....image pull secret 是如何挂载到 pod 的，我还没有找到。...比如：要求以任意用户甚至是 root 来运行 pod 中的主进程要求访问宿主机上的文件系统要求访问宿主机上的网络对于这些操作系统资源的访问权限，OpenShift 利用 scc 来进行控制。...所有通过身份认证了的用户都只在 restricted 这个 scc 的用户列表之中，包括 service account。因此，pod 默认使用的是 restricted scc。

2.2K1 0

K8s Pod 安全认知:从OpenShift SCC 到K8s PSP 弃用以及现在的 PSA

讲 K8s 的安全策略，不得不提 openshift 的 SCC Kubernetes 1.0 于 2015 年 7 月 10 日发布，除了 Alpha 阶段的 SecurityContextDeny...SCC)， SCC 出现在 Red Hat OpenShift 容器平台的第一个版本中，甚至在 Kubernetes 1.0 之前。...SCC 熟悉 openshift 的小伙伴，或者参加过红帽 DO280 考试的小伙伴的，对 SCC 一定不陌生，SCC 即 SecurityContextConstraints(容器安全上下文) ,是...openshift 的一直沿用的 Pod 安全策略。...) 查看当前命名空间下的所以的 SSC , OpenShift 有七个 SCC 级别 [root@master student]# oc get scc NAME PRIV

3812 0

openshift scc解析

如果校验失败，则Pod也会启动失败。SCC的策略值设置为RunAsAny表示pod拥有该策略下的所有权限。否则只有pod的SCC设置与SCC策略匹配时才能通过认证。　　...openshift.io/sa.scc.mcs: s0:c1,c0 #在pod或SCC没有定义SELinux时提供默认值 openshift.io/sa.scc.supplemental-groups...可以看到该pod使用了设置的scc和serviceaccount Annotations: openshift.io/scc=new-scc .........的key为openshift.io/scc。...openshift role和clusterrole用于控制pod服务对openshift资源的访问；而SCC用于控制pod的启动和对挂载卷的访问注意：给openshift的默认serviceaccount

1.9K1 0

005.OpenShift访问控制-权限-角色

每个用户在访问OpenShift容器平台之前必须进行身份验证。没有身份验证或身份验证无效的API请求将使用匿名系统用户身份验证来请求服务。身份验证成功后，策略确定用户被授权做什么。...SCC限制从OpenShift中运行的pod到主机环境的访问：运行特权容器请求容器的额外功能使用主机目录作为卷更改容器的SELinux上下文更改用户ID 社区开发的一些容器可能需要放松安全上下文约束...describe scc anyuid #查看某一种SCC详情 OpenShift创建的所有容器都使用restricted类型的SCC，它提供了对OpenShift外部资源的有限访问。...要将容器更改为使用不同的SCC运行，需要创建绑定到pod的服务帐户。...#将服务帐户与SCC关联要确定哪个帐户可以创建需要更高安全性要求的pod，可以使用scc-subject-review子命令。

3.5K2 0

身份验证和权限管理---Openshift3.9学习系列第三篇

OAuth： OpenShift Master节点包含内置OAuth服务器用户获取OAuth访问令牌以对API进行身份验证当用户请求OAuth令牌时，OAuth服务器使用配置的身份提供程序来确定请求者的身份...OAuth服务器：确定用户身份映射的位置为用户创建访问令牌返回令牌以供使用 OAuth客户端 OAuth令牌请求必须指定OAuth客户端才能接收和使用令牌启动OpenShift API时自动创建...四、安全上下文约束 Openshift的scc有两类：Privileged SCC和 Restricted SCC。...我们通常不直接创建pod。而是通过创建dc、rc，触发创建pod的操作。因此，项目中的serviceaccount需要root权限。 OpenShift带有许多安全上下文约束（SCC）。...pod创建成功以后，登录pod： ? 登录新部署好的pod： ? 可以看到，是root用户。

2K6 0

openshiftorigin学习记录（10）——基于已有镜像部署应用

本部分记录如何基于已有的镜像部署应用。...参考的博客为《OpenShift_034：部署 mywebsql docker image 访问 mysql 数据库》（该博主的博客需要访问外国网站浏览）。...# oc new-project imagetest 以root权限运行该项目中的容器。 openshift中有scc概念，即安全上下文，需要对权限进行管理。...如果不配置，可能会出现容器权限的问题。这里由于对scc还未深入学习，暂时配置为以root权限运行容器。...查看pod的日志可以看见服务已经正常启动。

1.4K0 0

OpenShift企业测试环境应用部署实战

--node-selector 就是通过node-selector 后边的条件来指定该项目如何调度....运行命令后, OpenShift会默认创建: deployment configuration (dc, 部署配置) - zentao build configuration (bc, 构建配置) pod...首先解决数据没有持久化的问题. 2-3 持久化应用和数据库数据说明: OpenShift 是一个容器编排调度系统, 理论上来说一个pod在哪儿我们完全不知道, 所以OpenShift推荐的持久化方案是通过...由于OpenShift不允许本地路径持久化, 所以首先要更改配置使其允许. 创建一个名为hostpath的SCC (SCC可以简单的理解为安全限制策略)...., 简单理解就是把pod内的指定接口暴露给OpenShift或K8S集群内部使用的一种方法.

1K4 0

openshiftorigin工作记录（12）——Openshift3.11安装Istio

istioctl 的功能是手工进行 Envoy Sidecar 的注入，以及对路由规则、策略的管理 istio.VERSION 配置文件 istioctl 客户端加入 PATH 环境变量在/etc/profile...，必须满足以下先决条件：最低版本：3.9.0 oc 配置为可以访问集群用户已登录到集群用户在 OpenShift 上具有 cluster-admin 角色缺省情况下，OpenShift 不允许容器使用...下面的命令让 Istio 的 Service account 可以使用 UID 0 来运行容器： $ oc adm policy add-scc-to-user anyuid -z istio-ingress-service-account...playbook 的所有执行都必须在 Istio 的 install/kubernetes/ansible 路径中进行。...在 OpenShift 上部署默认配置的 Istio： # ansible-playbook main.yml ? 确认安装确保所有相应的pod都已被部署且所有的容器都已启动并正在运行： ?

7273 0

openshift 4.3 Istio的搭建(istio 系列一)

openshift 4.3 Istio的搭建本文档覆盖了官方文档的Setup的所有章节目录 openshift 4.3 Istio的搭建安装Istio openshift安装Istio 更新istio...与其他CNI插件的兼容 TIPs: 安装Istio 本次安装的Istio版本为1.5.2，环境为openshift 4.3 注：不建议使用openshift 1.11(即kubernetes 3.11)...add-scc-to-group anyuid system:serviceaccounts: 当清理应用pod后，需要删除添加的权限 $ oc adm policy...remove-scc-from-group privileged system:serviceaccounts: $ oc adm policy remove-scc-from-group...如下内容中不会对具有标签openshift.io/build.name或openshift.io/deployer-pod-for.name的pod注入sidecar。

1.1K4 0

openshiftorigin学习记录（2）——添加Router组件

学习资料来源于官方英文文档与《开源容器云OpenShift》一书，因为刚开始学习，不确定博客的正确性，以下内容仅供参考。...本部分是在openshift/origin学习记录（1）——基于二进制文件的安装（单机版）的基础上进行。 Router是openshift集群中的一个重要组件，它是外部访问集群内容器应用的入口。...# oadm policy add-scc-to-user privileged system:serviceaccount:default:router # oadm router router --...# oc get pod -n default # ss -ltn|egrep -w "80|443" ? 通过检查实验主机上的端口监听状态，可以发现主机的端口80、443正在被Haproxy监听。...当用户通过指定的域名访问应用时，域名会被解析并指向Router所在的计算节点上。Router获取这个请求后，会根据route规则定义转发给与这个域名对应的service后端相关联的Pod容器实例。

1.5K0 0

理解OpenShfit（5）：从 Docker Volume 到 OpenShift Persistent Volume

客户端系统上的 uid 和 gid 通过 RPC 调用传到 NFS 端，然后这些 id 所拥有的权限会被校验，以确定能否访问目标资源。因此，客户端和服务器端上的 uid 和 gid 必须相同。...在 Linux 上，文件系统的用户（user）、组（group）的 ID，连同辅助组（supplementary group）的ID，一起确定对文件系统的操作权限，包括打开（open）、修改所有者（change...的 scc 为 anyuid）： ?...此时，可以基于 restricted scc 创建一个新的 scc，别的配置不变，除了将 RunAsUser 策略修改为 RunAsAny 以外。...此时，就可以在 Pod 中指定 uid 为 65534 了。新的scc： ? pod 中指定 uid： ? pod 的 uid： ? 挂载的文件夹可写。操作成功。

1.5K1 0

20 Nov 2021 cka练习（二）

1 clusterrole/serviceaccount/rolebinding的创建 $ k create clusterrole deployment-clusterrole --verb=create...app-team1 created $ k get ns app-team1 -o yaml apiVersion: v1 kind: Namespace metadata: annotations: openshift.io.../sa.scc.mcs: s0:c27,c4 openshift.io/sa.scc.supplemental-groups: 1000710000/10000 openshift.io.../sa.scc.uid-range: 1000710000/10000 creationTimestamp: "2021-11-20T13:01:12Z" labels: kubernetes.io...kube-system/kube-dns-697dc8fc8b-n5vh8 evicting pod kube-system/konnectivity-agent-7cbdb6d67d-jdjmp pod

1922 0

如何在 OpenShift 中运行 Collabora Office

): oc adm policy add-scc-to-user anyuid system:serviceaccount:myproject:mysvcacct 在 OpenShift 中为容器提供其他...那么你可以在pod的描述文件 specification中请求这些额外的capabilities, 这些capabilities将根据SCC进行验证. ❗️ 注意: 这允许镜像以提权后的功能运行，应该仅在必要时使用...要提供额外的功能: 创建一个新的SCC 使用allowedabilities字段添加允许的功能。...创建pod时，在securityContext.capabilities.add中添加请求该功能的字段。...总结在OpenShift中: 容器需要root用户, 给它对应的deployment添加Service Account, 并添加anyuid的SCC.

1.2K3 0

openshiftorigin工作记录（11）——Openshift3.6向Openshift3.11升级以及CVE

当前运行的Openshift集群版本为v3.6，目标为升级到版本v3.11。这里只记录升级过程中碰到的坑，不记录升级细节。...创建默认的Configmaps openshift_node_labels的值将会被忽略。 [nodes]下需要为每个节点设置openshift_node_group_name。...需要先运行openshift-ansible/playbooks/openshift-master/openshift_node_group.yml来创建默认的Configmaps 恢复默认的SCC 之前在使用...openshift的时候，修改过默认的SCC，这里需要把系统自带的SCC恢复默认设置。...所有pod正确运行。升级成功。

1.2K2 0

在K8SOpenShift上开发应用程序的14种最佳实践

在pod定义中定义资源请求和资源限制由于请求资源的配置不正确，应用程序可能会耗尽内存或导致CPU饥饿。指定请求的内存和CPU资源可以使群集做出适当的调度决策，以确保应用程序具有请求的资源可用。...始终在POD定义中定义liveness 和readiness探针。运行状况检查探针使群集可以为您的应用程序提供基本的弹性。...确保应用程序Pod正常终止终止时，应用程序容器应完成所有进行中的请求并正常终止现有连接。这允许在终端用户不注意的情况下重新启动pod，例如在部署应用程序的新版本时。...) (译者注: 应该是OpenShift特有的安全加固功能) 修改您的容器镜像以允许在受限的SCC(security context constraint简写)下运行。...强制使用OpenShift受限制的SCC可提供最高级别的安全性，以防止在应用程序被破坏的情况下损害集群节点。使用TLS保护应用程序组件之间的通信。应用程序组件可能会传达应受到保护的敏感数据。

9011 0

PodSecurityPolicy：历史背景

PodSecurityPolicy 的诞生 PodSecurityPolicy 源自 OpenShift 的 SecurityContextConstraints (SCC)，它出现在 Red Hat...OpenShift 容器平台的第一个版本中，甚至在 Kubernetes 1.0 之前。...PSP 是 SCC 的精简版。...PodSecurityPolicy 的根源是早期关于安全策略的一个拉取请求[7]，它以 SCC（安全上下文约束）为基础，增加了新的 PSP 对象的设计方案。...这是一个长达 9 个月的漫长讨论，基于 OpenShift 的 SCC 反复讨论，多次变动，并重命名为 PodSecurityPolicy，最终在 2016 年 2 月进入上游 Kubernetes

5163 0

评测Loki日志工具

推荐使用helm方式安装loki，官方推荐的tanka需要使用aws的s3服务。安装helm后直接运行如下命令即可在loki命名空间中部署最简单的loki套件。...如果使用openshift平台，则需要进行scc授权 # oc adm policy add-scc-to-user privileged -z loki # oc adm policy add-scc-to-user...privileged -z loki-promtail 如果promtail pod因为权限问题无法读取hostpath挂载的目录，直接给promtail daemonset使用的serviceaccount...如果grafana是集群外部的，需要配置ingress，以访问Loki。openshift直接创建router即可。配置grafana 参考官方配置文档。...如dashboard对Loki的支持力度远远不够，基于Loki日志的告警目前也很不方便。相信在后续的版本解决和完善这些不便之处后，Loki会成为一个非常好用的工具。

1.9K2 0

在Kubernetes中利用 kubevirt 以容器方式运行虚拟机

本文将详细介绍kubevirt项目如何实现和运行容器化的虚拟机。 2....熟悉openstack的朋友应该也了解nova-compute中如何使用ceph rbd image的，实质上是libvirt使用librbd以network方式将rbd image远程改在给虚拟机。...那么虚拟机是如何拿到pod的ip的呢，virt-launcher实现了简单的单ip dhcp server，就是需要虚拟机中启动dhclient，virt-launcher 服务会分配给虚拟机。 ?...中部署 kubevirt Kubevirt 在 openshift 的部署是类似的，唯一不同的是需要为 kubevirt service account 增加 openshift 权限。...add-scc-to-user privileged system:serviceaccount:kube-system:kubevirt-privilegedoc adm policy add-scc-to-user

15.4K4 1

Openshift容器云安全加固措施70项

默认的SDN--OVS支持三种模式，OVS-subnet、OVS多租户、OVS Network Policy，后两种模式可以做项目之间的pod流量隔离。...四、容器镜像和Build File 1.为容器创建独立的账户 OpenShift默认使用分配的用户标识运行容器，并且还利用由defailt配置的OpenShift安全上下文（scc）来阻止特权容器。...13.不要使用特权选项执行docker exec命令 OpenShift利用SELinux和docker配置，禁止使用docker特权。SCC默认不会开放这个权限。...14.限制容器获取额外的权限 Openshift通过scc实现。...4.使用多租户为Pod和服务提供项目级别/网络隔离 https://docs.openshift.com/container-platform/3.6/architecture/additional_concepts

1.6K7 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭