更新时间:2024-02-01 GMT+08:00

k8sdisallowedtags

基本信息

  • 策略类型:合规
  • 推荐级别:L1
  • 生效资源类型:Pod
  • 参数:

    tags:字符串数组

    exemptImages:字符串数组

作用

约束容器镜像tag。

策略实例示例

以下策略实例展示了策略定义生效的资源类型,pararmeters中表示不允许容器镜像tag为latest。

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sDisallowedTags
metadata:
  name: container-image-must-not-have-latest-tag
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]
    namespaces:
      - "default"
  parameters:
    tags: ["latest"]
    exemptImages: ["openpolicyagent/opa-exp:latest", "openpolicyagent/opa-exp2:latest"] 

符合策略实例的资源定义

容器镜像tag不为latest,符合策略实例。

apiVersion: v1
kind: Pod
metadata:
  name: opa-allowed
spec:
  containers:
    - name: opa
      image: openpolicyagent/opa:0.9.2
      args:
        - "run"
        - "--server"
        - "--addr=localhost:8080"

不符合策略实例的资源定义

容器镜像tag为latest,不符合策略实例。

apiVersion: v1
kind: Pod
metadata:
  name: opa-disallowed-2
spec:
  containers:
    - name: opa
      image: openpolicyagent/opa:latest
      args:
        - "run"
        - "--server"
        - "--addr=localhost:8080"