检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
kind: K8sAllowedRepos metadata: name: repo-is-openpolicyagent spec: match: kinds: - apiGroups: [""] kinds: ["Pod"]
authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: cluster-role-binding-1 roleRef: apiGroup: rbac.authorization.k8s.io kind:
name: example port: number: 80 apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: wildcard-ingress
k8spspseccomp 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedLocalhostFiles:数组 allowedProfiles:数组 exemptImages:字符串数组 作用 约束PodSecurityPolicy上的“seccomp
k8spspflexvolumes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedFlexVolumes:数组 作用 约束PodSecurityPolicy中的allowedFlexVolumes字段类型。 策略实例示例 以下策略实例展示了
k8spspreadonlyrootfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“readOnlyRootFilesystem”字段。 策略实例示例
容器镜像tag不为latest,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: opa-allowed spec: containers: - name: opa image: openpolicyagent/opa:0
"exec"] 符合策略实例的资源定义 Pod中有livenessProbe和readinessProbe,probeType为tcpSocket,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: test-pod1 spec: containers:
kind: K8sPSPHostNamespace metadata: name: psp-host-namespace spec: match: kinds: - apiGroups: [""] kinds: ["Pod"] 符合策略实例的资源定义
metadata: name: karmada-controller-manager:karmada-{clusterName} roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: karm
apiVersion: gateway.networking.k8s.io/v1beta1 kind: HTTPRoute metadata: name: nginx-canary # 网关路由名 namespace: whtest # 网关路由所在的命名空间 spec:
kind: K8sBlockNodePort metadata: name: block-node-port spec: match: kinds: - apiGroups: [""] kinds: ["Service"] 符合策略实例的资源定义
k8spsphostnetworkingports 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的
kinds: ["Pod"] namespaces: - "default" 符合策略实例的资源定义 容器镜像包含digest,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: opa-allowed
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
apiVersion: gateway.networking.k8s.io/v1beta1 kind: HTTPRoute metadata: name: nginx-canary # 网关路由名 namespace: whtest # 网关路由所在的命名空间 spec:
多云集群是指由UCS所提供,在第三方云服务供应商(如AWS)基础设施上运行的Kubernetes集群,其本质是在AWS或Azure基础设施上构建CCE集群。借助多云集群,您可以使用统一的API、工具和配置,将工作负载部署到多个云中,实现多云环境下一致的管理体验。 目前仅支持在AWS基础设施上构建多云集群。
kind: K8sReplicaLimits metadata: name: replica-limits spec: match: kinds: - apiGroups: ["apps"] kinds: ["Deployment"] parameters:
sh/v1beta1 kind: K8sPSPAppArmor metadata: name: psp-apparmor spec: match: kinds: - apiGroups: [""] kinds: ["Pod"] parameters:
apiVersion: v1 kind: Pod metadata: name: opa-allowed labels: owner: me.agilebank.demo spec: containers: - name: opa image:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
您即将访问非华为云网站,请注意账号财产安全
