Openshift:如何创建具有系统锁定功能的scc
当我想查看Openshift:如何创建具有系统锁定功能的scc,openshift,Openshift,当我想查看scc详细信息时: $ oc describe scc restricted Name: restricted Priority: <none> Access: Users: <none> Groups: system:authenticated Settin
scc
详细信息时:
$ oc describe scc restricted
Name: restricted
Priority: <none>
Access:
Users: <none>
Groups: system:authenticated
Settings:
Allow Privileged: false
Default Add Capabilities: <none> (1)
Required Drop Capabilities: KILL,MKNOD,SETUID,SETGID (2)
Allowed Capabilities: <none> (3)
...
$oc描述scc限制
名称:受限
优先:
访问:
用户:
组:系统:已验证
设置:
允许特权:false
默认添加功能:(1)
所需的丢弃功能:KILL、MKNOD、SETUID、SETGID(2)
允许的能力:(3)
...
我看到出现了三种功能,(1)
,(2)
和(3)
scc
设置IPC\u锁
功能。IPC\u锁
adrop功能
,还是添加功能
默认情况下,Docker允许使用上述功能 在OpenShift中,您上面列出的
restricted
SCC不允许使用(删除)其中的4个,这就是“所需的删除功能”的用途——您希望限制容器超过容器运行时默认值
SCC还可以通过在“默认添加功能”下列出这些功能,向pod添加更多的默认功能
“允许的功能”类似于“默认添加功能”,只是它不会自动向所有适用的POD提供功能——它们必须请求额外的功能。如果一个pod请求一个功能,并且由一个具有允许它的SCC的用户或组运行,那么它将获得它
我想以上两个问题都可以回答。这就是我要考虑的(你可能已经在考虑这样的事情):
IPC\u锁