Giriş
PodSecurityPolicy yazısı namespace seviyesinde Pod Security ataması yapmak için
Bu yazı ise Cluster seviyesinde Pod Security ataması yapmak için
Örnek
Açıklaması şöyle
Suppose, we want to apply a policy that will enforce the “baseline” pod security standards on the whole cluster except the “default” namespace. In addition to that, we want to apply “restricted” pod security standards in warn mode.
Şöyle yaparız. kube-apiserver'u bu ayarla başlatmak gerekir.
#/etc/kubernetes/admission/PodSecurityConfiguration.yamlapiVersion: apiserver.config.k8s.io/v1kind: AdmissionConfigurationplugins:- name: PodSecurityconfiguration:apiVersion: pod-security.admission.config.k8s.io/v1kind: PodSecurityConfigurationdefaults:enforce: "baseline"enforce-version: "latest"warn: "restricted"warn-version: "latest"exemptions:# Array of authenticated usernames to exempt.usernames: []# Array of runtime class names to exempt.runtimeClasses: []# Array of namespaces to exempt.namespaces: ["default"]
Elimizde şöyle bir pod olsun. Bu pod default isim alanında çalışır ancak başka bir isim alanında çalışmaz
# demo-pod.yaml
apiVersion: v1
kind: Pod
metadata:
labels:
run: demo-pod
name: demo-pod
spec:
containers:
- image: httpd
name: httpd-container
securityContext:
privileged: trueElimizde şöyle bir pod olsun. Bu pod runAsUser kullandığı için restricted standardına dahildir ve restricted standardı da warn olduğundan her hangi bir isim alanında çalışır
# nginx-pod.yaml
apiVersion: v1
kind: Pod
metadata:
name: nginx-pod
spec:
containers:
- name: nginx-container
image: nginx
securityContext:
runAsUser: 0
Hiç yorum yok:
Yorum Gönder