云容器引擎 CCE-PodSecurityPolicy配置:修改全局默认Pod安全策略
下载云容器引擎 CCE用户手册完整版
修改全局默认Pod安全策略
修改全局默认Pod安全策略前,请确保已创建CCE集群,并且通过kubectl连接集群成功。
- 执行如下命令:
kubectl edit psp psp-global
- 修改所需的参数,如表1。
表1 Pod安全策略配置 配置项
描述
privileged
启动特权容器。
hostPID
hostIPC
使用主机命名空间。
hostNetwork
hostPorts
使用主机网络和端口。
volumes
允许使用的挂载卷类型。
allowedHostPaths
允许hostPath类型挂载卷在主机上挂载的路径,通过pathPrefix字段声明允许挂载的主机路径前缀组。
allowedFlexVolumes
允许使用的指定FlexVolume驱动。
fsGroup
配置Pod中挂载卷使用的辅组ID。
readOnlyRootFilesystem
约束启动Pod使用只读的root文件系统。
runAsUser
runAsGroup
supplementalGroups
指定Pod中容器启动的用户ID以及主组和辅组ID。
allowPrivilegeEscalation
defaultAllowPrivilegeEscalation
约束Pod中是否允许配置allowPrivilegeEscalation=true,该配置会控制Setuid的使用,同时控制程序是否可以使用额外的特权系统调用。
defaultAddCapabilities
requiredDropCapabilities
allowedCapabilities
控制Pod中使用的Linux Capabilities。
seLinux
控制Pod使用seLinux配置。
allowedProcMountTypes
控制Pod允许使用的ProcMountTypes。
annotations
配置Pod中容器使用的AppArmor或Seccomp。
forbiddenSysctls
allowedUnsafeSysctls
控制Pod中容器使用的Sysctl配置。
