特权模式下的 Openshift 容器 运行
Openshift containers running in privileged mode
作为 openshift 的新手,我很好奇如何检查是否有任何 运行 容器 运行 处于“特权”模式 (openshift v4.6)。在文档中挖掘并在网上搜索我只能找到关于 SCC 的信息,这很好,但我没有找到任何关于这个的信息(除了旧版本的 openshift,其中 oc get pods (或类似的命令) 用于显示 pod 是否具有 运行 此类特权
一个OpenShift项目默认自带3个服务账号,分别是builder、default、deployer。
您部署到该名称空间的容器将分配给“默认”服务帐户,即具有“受限”scc 角色的帐户。
您可以在这里找到更多信息:https://www.openshift.com/blog/managing-sccs-in-openshift
默认情况下 pods 使用受限 SCC。 pod 的 SCC 由 User/ServiceAccount and/or 组决定。然后,你还要考虑一个SA可能绑定也可能不绑定一个Role,Role可以设置一个可用的SCC列表。
找出 pod 在哪个 SCC 下运行:
oc get pod $POD_NAME -o yaml | grep openshift.io/scc
以下命令也很有用:
# get pod's SA name
oc get pod $POD_NAME -o yaml | grep serviceAccount:
# list service accounts that can use a particular SCC
oc adm policy who-can use scc privileged
# list users added by the oc adm policy command
oc get scc privileged -o yaml
# check roles and role bindings of your SA
# you need to look at rules.apiGroups: security.openshift.io
oc get rolebindings -o wide
oc get role $ROLE_NAME -o yaml
作为 openshift 的新手,我很好奇如何检查是否有任何 运行 容器 运行 处于“特权”模式 (openshift v4.6)。在文档中挖掘并在网上搜索我只能找到关于 SCC 的信息,这很好,但我没有找到任何关于这个的信息(除了旧版本的 openshift,其中 oc get pods (或类似的命令) 用于显示 pod 是否具有 运行 此类特权
一个OpenShift项目默认自带3个服务账号,分别是builder、default、deployer。
您部署到该名称空间的容器将分配给“默认”服务帐户,即具有“受限”scc 角色的帐户。
您可以在这里找到更多信息:https://www.openshift.com/blog/managing-sccs-in-openshift
默认情况下 pods 使用受限 SCC。 pod 的 SCC 由 User/ServiceAccount and/or 组决定。然后,你还要考虑一个SA可能绑定也可能不绑定一个Role,Role可以设置一个可用的SCC列表。
找出 pod 在哪个 SCC 下运行:
oc get pod $POD_NAME -o yaml | grep openshift.io/scc
以下命令也很有用:
# get pod's SA name
oc get pod $POD_NAME -o yaml | grep serviceAccount:
# list service accounts that can use a particular SCC
oc adm policy who-can use scc privileged
# list users added by the oc adm policy command
oc get scc privileged -o yaml
# check roles and role bindings of your SA
# you need to look at rules.apiGroups: security.openshift.io
oc get rolebindings -o wide
oc get role $ROLE_NAME -o yaml