Openshift：如何创建具有系统锁定功能的scc_Openshift

Openshift：如何创建具有系统锁定功能的scc

openshift

Openshift：如何创建具有系统锁定功能的scc,openshift,Openshift,当我想查看scc详细信息时： $ oc describe scc restricted Name: restricted Priority: <none> Access: Users: <none> Groups: system:authenticated Settin

当我想查看

scc

详细信息时：

$ oc describe scc restricted 
Name:                       restricted
Priority:                   <none>
Access:                     
  Users:                    <none>
  Groups:                   system:authenticated
Settings:                   
  Allow Privileged:                 false
  Default Add Capabilities:         <none>    (1)
  Required Drop Capabilities:       KILL,MKNOD,SETUID,SETGID    (2)
  Allowed Capabilities:             <none>    (3)
...

$oc描述scc限制
名称：受限
优先：
访问：
用户：
组：系统：已验证
设置：
允许特权：false
默认添加功能：（1）
所需的丢弃功能：KILL、MKNOD、SETUID、SETGID（2）
允许的能力：（3）
...

我看到出现了三种功能，

（1）

，

（2）

和

（3）

它们之间的区别是什么

我需要创建一个

scc

设置

IPC\u锁

功能。

IPC\u锁

drop功能

，还是

添加功能

默认情况下，Docker允许使用上述功能

在OpenShift中，您上面列出的

restricted

SCC不允许使用（删除）其中的4个，这就是“所需的删除功能”的用途——您希望限制容器超过容器运行时默认值

SCC还可以通过在“默认添加功能”下列出这些功能，向pod添加更多的默认功能

“允许的功能”类似于“默认添加功能”，只是它不会自动向所有适用的POD提供功能——它们必须请求额外的功能。如果一个pod请求一个功能，并且由一个具有允许它的SCC的用户或组运行，那么它将获得它

我想以上两个问题都可以回答。这就是我要考虑的（你可能已经在考虑这样的事情）：

在新SCC中的“允许能力”中添加

IPC\u锁

将SCC添加到服务帐户以运行pod

请求pod（或pod中的单个容器）的能力

有关更多（更好！）信息，请参见此处的文档：