建议先关注、点赞、收藏后再阅读。
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: example-pod-security-policy
spec:
privileged: false # 禁止容器使用特权访问权限
allowPrivilegeEscalation: false # 禁止特权升级
requiredDropCapabilities: # 要求容器放弃特定的能力
- SETUID
- SETGID
runAsUser:
rule: MustRunAsNonRoot # 要求容器以非特权用户运行
fsGroup:
rule: RunAsAny # 允许容器使用任何组ID
seLinux:
rule: RunAsAny # 允许容器使用任何SELinux用户标签
supplementalGroups:
rule: RunAsAny # 允许容器使用任何辅助组ID
volumes:
- configMap
- emptyDir
- secret
- downwardAPI
- persistentVolumeClaim
上述示例中,Pod安全策略禁止容器使用特权访问权限和特权升级,要求容器以非特权用户运行,并放弃了一些特定能力。同时,允许容器使用任何组ID、SELinux用户标签和辅助组ID。支持的卷类型包括configMap、emptyDir、secret、downwardAPI和persistentVolumeClaim。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。