k8s中PodSecurityPolicy的创建模板

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: example-pod-security-policy
spec:
  privileged: false  # 是否允许特权模式，一般设置为 false
  allowPrivilegeEscalation: false  # 是否允许权限提升，一般设置为 false
  requiredDropCapabilities:
    - ALL  # 限制容器的能力
  volumes:
    - '*'
  hostNetwork: false  # 是否允许使用宿主机的网络命名空间，一般设置为 false
  hostIPC: false  # 是否允许使用宿主机的 IPC 命名空间，一般设置为 false
  hostPID: false  # 是否允许使用宿主机的 PID 命名空间，一般设置为 false
  runAsUser:
    rule: 'RunAsAny'  # 允许的用户标识规则，可以是 'RunAsAny'、'MustRunAs' 或 'MustRunAsNonRoot'
  seLinux:
    rule: 'RunAsAny'  # 允许的 SELinux 上下文规则，可以是 'RunAsAny'、'MustRunAs' 或 'MustRunAsNonRoot'
  supplementalGroups:
    rule: 'RunAsAny'  # 允许的附加组规则，可以是 'RunAsAny'、'MustRunAs' 或 'MustRunAsNonRoot'
  fsGroup:
    rule: 'RunAsAny'  # 允许的文件系统组规则，可以是 'RunAsAny'、'MustRunAs' 或 'MustRunAsNonRoot'
  readOnlyRootFilesystem: false  # 是否允许容器以只读方式挂载根文件系统，一般设置为 false

注意：这个特性，1.21+弃用了，1.25+之后，就不可用了。

Warning: policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+

posted @ 2023-07-21 14:53 Zhai_David 阅读(82) 评论(0) 编辑收藏举报

刷新页面返回顶部

翟大卫(Zhai David)

you are value enoug. no fails, all just test. 轻松赚钱，潇洒生活。

k8s中PodSecurityPolicy的创建模板

公告