检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
k8spspseccomp 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedLocalhostFiles:数组 allowedProfiles:数组 exemptImages:字符串数组 作用 约束PodSecurityPolicy上的“seccomp
k8sallowedrepos 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: repos:字符串数组 作用 容器镜像必须以指定字符串列表中的字符串开头。 策略实例示例 以下策略实例定义容器镜像必须以“openpolicyagent/”开头。 apiVersion:
策略实例分发成功后可在集群中执行符合策略实例的动作,此时该动作可正常执行;若在集群中执行不符合策略实例的动作,该动作将被拒绝掉或者上报告警事件。 修改/删除策略实例 作为平台工程师,您通常需要定期审视和更新策略实例,或者删除一些不再使用的策略实例。要执行这些操作,请参考以下步骤: 登录UCS控制台,在左侧导航栏中选择“策略中心”。
k8sreplicalimits 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:* 参数: ranges: min_replicas: 整型 max_replicas: 整型 作用 要求具有“spec.replicas”字段的对象(Deployments、ReplicaSets等)在定义的范围内。
k8simagedigests 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 容器镜像必须包含digest。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints
k8spspselinuxv2 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSELinuxOptions:对象数组,包含level、role、type、user四个字符串对象 exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
k8spspapparmor 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedProfiles:数组 exemptImages:字符串数组 作用 约束AppArmor字段列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,para
k8sblockloadbalancer 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为LoadBalancer类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1
k8sblockendpointeditdefaultrole 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:ClusterRole 参数:无 作用 默认情况下,许多Kubernetes都预定义了一个名为system:aggregate-to-edit的ClusterR
k8spspvolumetypes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,paramete
k8spsphostfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedHostPaths: readOnly: 布尔值 pathPrefix: 字符串 作用 约束PodSecurityPolicy中的“hostPath”字段的参数。
k8sdisallowedtags 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: tags:字符串数组 exemptImages:字符串数组 作用 约束容器镜像tag。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,pararmeters中表示不允许容器镜像tag为latest。
k8sdisallowanonymous 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:RoleBinding、ClusterRoleBinding 参数: allowedRoles:字符串数组 作用 不允许将白名单以外的ClusterRole和Role关联到system:anonymous
k8spspallowedusers 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 runAsUser: rule: 字符串 ranges: - min: 整型 max: 整型 runAsGroup:
k8spspflexvolumes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedFlexVolumes:数组 作用 约束PodSecurityPolicy中的allowedFlexVolumes字段类型。 策略实例示例 以下策略实例展示了
k8srequiredprobes 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: probes:数组 probeTypes:数组 作用 要求Pod具有Readiness或Liveness Probe。 策略实例示例 以下策略实例展示了策略定义生效的资源类
k8spsphostnetworkingports 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的
k8spspallowprivilegeescalationcontainer 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“allowPrivilegeEscalation”字段为false。
k8sexternalips 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数: allowedIPs:字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务的externalIP仅允许allowedIPs中定义的IP。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
