system:authenticated命令能够使root用户拥有真正的root权限但上面的命令能够使当前ns下的所有登入用户都使用anyuid,这样做会令系统有安全性问题故不推荐使用该模式。必要时为我们仍需为个别容器提供root权限但应该仅于限指定的容器而不是所有,结合openshift特性提出解决方法
2 结合SCC安全机制的解决方案
SCC是openshift平台提供的控制操作系统资源的訪问权限的具体的安全控制机制,结合serviceAccount(sa)进行身份认证和权限控制使用SCC能够管控的是具体容器可以或不可以执行哪些操作或调用,它是OpenShift规范用户运行容器行为的一个有效途径
从上图可以看到集群默认定义了一组具有不同权限的SCC组不同的SCC组有不同的权限配置。
这些配置控制叻容器运行用户的UID、访问、支持卷的类型、是否能访问宿主机的文件、PID及网络等权限在这些系统默认定义的SCC组中,privileged SCC组的权限最大restricted SCC组的權限最小。普通用户及其创建项目的Service Account默认都归属于restricted组
注:如果误删了一个默认的SCC,它将在重新启动后重新生成