0

当我custom-scc在我的Openshift集群上应用我的服务时,我有权正确serviceAccount : My-service-name检索它。

但是,如果另一个服务中的 pod 重新启动,defaultserviceAccount也会得到我的custom-scc

我检查了我的 scc,我只添加了:

users:
- system:serviceaccount:dev:my-service-name-serviceaccount

有没有人遇到过这个问题?

4

1 回答 1

0

谁在启动其他 pod?

显然,该用户有权使用 SCC,否则不会。所以,问题是这些权限来自哪里。

大概您已经检查过 SCC(在此处包括它的副本将允许多只眼睛仔细检查它)。另一个主要的地方是允许“使用”该 SCC 的集群角色。也许您有一个带有“*”的集群角色,它被应用于默认 SA?

最后的想法 - 如果您在全新的集群安装上复制新的 SCC,您会继续看到问题吗?如果是这样,问题可能出在您的 SCC 中。如果不是,则问题可能出在正在运行的系统中的另一个 RBAC 组件中。

于 2022-01-18T11:25:54.210 回答