检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
match: kinds: - apiGroups: [""] kinds: ["Service"] 符合策略实例的资源定义 Servie类型非Nodeport,符合策略实例。 apiVersion: v1 kind: Service metadata:
namespace: default roleRef: apiGroup: rbac.authorization.k8s.io kind: Role name: list-deploy-role subjects: - apiGroup: rbac.authorization
作用 容器镜像必须以指定字符串列表中的字符串开头。 策略实例示例 以下策略实例定义容器镜像必须以“openpolicyagent/”开头。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sAllowedRepos metadata:
match: kinds: - apiGroups: [""] kinds: ["Pod"] 符合策略实例的资源定义 示例中hostPID和hostIPC均为false,符合策略实例。 apiVersion: v1 kind: Pod metadata:
match: kinds: - apiGroups: [""] kinds: ["Pod"] 符合策略实例的资源定义 示例中readOnlyRootFilesystem字段为true,符合策略实例。 apiVersion: v1 kind: Pod metadata:
策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为LoadBalancer类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sBlockLoadBalancer
Service - apiVersion: v1 kind: Secret - apiVersion: v1 kind: ConfigMap - apiVersion: v1 kind: ResourceQuota - apiVersion: autoscaling/v2
数据规划 防火墙规划 防火墙的规划需符合表1中要求。 表1 防火墙规划 源设备 源IP 源端口 目的设备 目的IP 目的端口(侦听) 协议 端口说明 侦听端口是否可更改 认证方式 加密方式 ucsctl执行机 源设备所在节点IP ALL 所有节点 目的设备所在节点IP 22 TCP
kinds: - apiGroups: [""] kinds: ["Pod"] namespaces: - "default" 符合策略实例的资源定义 容器镜像包含digest,符合策略实例。 apiVersion: v1 kind:
- apiGroups: [""] kinds: ["Pod"] excludedNamespaces: ["kube-system"] 符合策略实例的资源定义 示例中privileged设置为false,符合策略实例。 apiVersion:
rue。 策略实例示例 示例声明了match匹配的对象不能把automountServiceAccountToken字段设为true。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPAutomountServiceAccountTokenPod
约束容器镜像tag。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,pararmeters中表示不允许容器镜像tag为latest。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sDisallowedTags metadata:
kinds: - apiGroups: [""] kinds: ["Pod"] parameters: ratio: "1" cpuRatio: "10" 符合策略实例的资源定义 cpu比例为4,内存比例为1,符合约束。 apiVersion: v1
match: kinds: - apiGroups: [""] kinds: ["Pod"] 符合策略实例的资源定义 示例中allowPrivilegeEscalation的值为false,符合策略实例。 apiVersion: v1 kind: Pod
s”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters的volumes字段定义了允许的类型列表。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPVolumeTypes metadata:
以下策略实例展示了策略定义生效的资源类型,parameters中的forbiddenSysctls定义了sysctls中不能允许的名称。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPForbiddenSysctls
”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中指定了procMount的值为Default。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPProcMount metadata:
限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务的externalIP仅允许allowedIPs中定义的IP。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sExternalIPs metadata:
- apiGroups: ["rbac.authorization.k8s.io"] kinds: ["ClusterRole"] 符合策略实例的资源定义 示例中ClusterRole的生效对象中没有endpoints,符合策略实例。 apiVersion:
以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPFSGroup metadata: name: psp-fsgroup spec: match: kinds: - apiGroups:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
