27.18. 卷安全性

本主题为 pod 安全性提供了常规指南，因为它与卷安全性相关。有关 pod 级别安全性的信息，请参阅管理安全性上下文约束(SCC)和安全性上下文约束(SCC) 和 安全性上下文约束 概念。有关 OpenShift Container Platform 持久性卷(PV)框架的信息，请参阅持久性存储概念主题。

访问持久性存储需要集群和/或存储管理员与最终开发人员之间的协调。集群管理员创建 PV，提取底层物理存储。开发人员会创建 pod，以及可选的 PVC，它根据匹配标准（如容量）绑定到 PV。

同一项目中的多个持久性卷声明 (PVC) 可以绑定到同一 PV。但是，当一个 PVC 绑定到 PV 后，这个 PV 不能被第一个声明的项目之外的声明绑定。如果需要多个项目访问底层存储，则每个项目需要自己的 PV，这可能指向同一物理存储。因此，绑定 PV 已绑定到项目。如需详细的 PV 和 PVC 示例，请参阅 使用持久性卷 部署 WordPress 和 MySQL 的示例。

对于集群管理员，授予对 PV 的 pod 访问权限涉及：

组 ID、用户 ID 和 SELinux 值在 Pod 定义中的 SecurityContext 部分中定义。组 ID 是 pod 的全局性，适用于 pod 中定义的所有容器。用户 ID 也可以全局，或者特定于每个容器。四个部分控制对卷的访问：