Объяснение настройки SCC в OpenShift?

Question

[The3fon]

Добрый день, прошу помочь в объяснении сути SCC для OpenShift. Если для всех инструкций SCC описание в доках понятное, то как настраиваются политики SeLinux и SecComp с помощью SCC я так и не вкурил.
Если с настройкой Capabilities всё понятно, есть инструкции для добавления или удаления Capabilities для Pod, также в руководстве есть список стандартных Caps, которые импортируются в контейнер и список всех Caps которые поддерживаются, то для SeLinux присутствует инструкция:

seLinuxContext:
  type: RunAsAny

или MustRunAs

Как это интерпретировать и настраивать?

Для SecComp тоже самое, я не нашел примера yaml файла где указывался настроенный профиль с запретом или разрешением тех или иных системных вызовов. Как это настраивается?

Answer 1

[Saboteur]

Это относится от имени какого юзера запускаются поды. Может быть четыре варианта

MustRunAs, при этом все контейнеры должны быть настроены для запуска как сконфигурированный юзер в runAsUser

MustRunAsRange - в контейнерах можно использовать юзеров с UID в указанном диапазоне. Если юзер не указан, автоматически берется первый UID из диапазона, полезно для разграничения прав доступа, например, между проектами (неймспейсами)

MustRunAsNonRoot - можно использовать любых юзеров, кроме рута (uid 0)

RunAsAny - можно запускать контейнеры от имени любого юзера

А вообще, тут подробнее:
https://docs.openshift.com/container-platform/4.1/...