Menu Close

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

15.8.6. 提供额外的功能

在某些情况下,镜像可能需要 Docker 不提供开箱即用的功能。您可以在 Pod 规格中请求其他功能,这些功能将针对 SCC 进行验证。

重要

这样,镜像就可以使用提升的功能运行,并且仅在需要时才使用。您不应该编辑默认 受限 SCC 来启用额外的功能。

与非 root 用户结合使用时,还必须确保使用 setcap 命令赋予需要额外权限的文件。例如,在镜像的 Dockerfile 中:

setcap cap_net_raw,cap_net_admin+p /usr/bin/ping

此外,如果 Docker 中默认提供了一项功能,则您无需修改 pod 规格即可请求该功能。例如,默认情况下会提供 NET_RAW,并且应该已在 ping 上设置功能,因此无需执行特殊步骤来运行 ping

提供额外的功能:

  1. 创建新 SCC
  2. 使用 allowedCapabilities 字段添加允许的能力。
  3. 在创建 pod 时,请求 securityContext.capabilities.add 字段中的功能。