16.3. Pod 보안 승인 동기화 제어
대부분의 네임스페이스에 대해 자동 Pod 보안 승인 동기화를 활성화하거나 비활성화할 수 있습니다.
클러스터 페이로드의 일부로 정의된 네임스페이스에는 Pod 보안 승인 동기화가 영구적으로 비활성화됩니다. 다음과 같은 네임스페이스는 다음과 같습니다.
-
default -
kube-node-lease -
kube-system -
kube-public -
openshift -
openshift-operators를 제외한openshift-- 접두사가 있는 모든 시스템 생성 네임스페이스
기본적으로 openshift- 접두사가 있는 모든 네임스페이스는 동기화되지 않습니다. 사용자 생성 openshift-* 네임스페이스에 동기화를 활성화할 수 있습니다. openshift-operators 를 제외하고 시스템 생성 openshift-* 네임스페이스에 대한 동기화를 활성화할 수 없습니다.
사용자가 생성한 openshift-* 네임스페이스에 Operator가 설치된 경우 네임스페이스에 CSV(클러스터 서비스 버전)가 생성된 후 기본적으로 동기화가 설정됩니다. 동기화된 레이블은 네임스페이스에서 서비스 계정의 권한을 상속합니다.
절차
구성할 각 네임스페이스에 대해
security.openshift.io/scc.podSecurityLabelSync레이블의 값을 설정합니다.네임스페이스에서 Pod 보안 승인 레이블 동기화를 비활성화하려면
security.openshift.io/scc.podSecurityLabelSync레이블 값을false로 설정합니다.다음 명령을 실행합니다.
$ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=false
네임스페이스에서 Pod 보안 승인 레이블 동기화를 활성화하려면
security.openshift.io/scc.podSecurityLabelSync레이블 값을true로 설정합니다.다음 명령을 실행합니다.
$ oc label namespace <namespace> security.openshift.io/scc.podSecurityLabelSync=true
