更新时间:2024-02-01 GMT+08:00
k8spspapparmor
作用
约束AppArmor字段列表。
策略实例示例
以下策略实例展示了策略定义生效的资源类型,parameters的allowedProfiles字段定义了允许的值列表。
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sPSPAppArmor
metadata:
name: psp-apparmor
spec:
match:
kinds:
- apiGroups: [""]
kinds: ["Pod"]
parameters:
allowedProfiles:
- runtime/default
符合策略实例的资源定义
示例中apparmor的值在上述定义的允许范围内,符合策略实例。
apiVersion: v1
kind: Pod
metadata:
name: nginx-apparmor-allowed
annotations:
# apparmor.security.beta.kubernetes.io/pod: unconfined # runtime/default
container.apparmor.security.beta.kubernetes.io/nginx: runtime/default
labels:
app: nginx-apparmor
spec:
containers:
- name: nginx
image: nginx
不符合策略实例的资源定义
示例中apparmor的值不在上述定义的允许范围内,不符合策略实例。
apiVersion: v1
kind: Pod
metadata:
name: nginx-apparmor-disallowed
annotations:
# apparmor.security.beta.kubernetes.io/pod: unconfined # runtime/default
container.apparmor.security.beta.kubernetes.io/nginx: unconfined
labels:
app: nginx-apparmor
spec:
containers:
- name: nginx
image: nginx
父主题: 使用策略定义库
