更新时间:2024-02-01 GMT+08:00
k8sdisallowedtags
作用
约束容器镜像tag。
策略实例示例
以下策略实例展示了策略定义生效的资源类型,pararmeters中表示不允许容器镜像tag为latest。
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sDisallowedTags
metadata:
name: container-image-must-not-have-latest-tag
spec:
match:
kinds:
- apiGroups: [""]
kinds: ["Pod"]
namespaces:
- "default"
parameters:
tags: ["latest"]
exemptImages: ["openpolicyagent/opa-exp:latest", "openpolicyagent/opa-exp2:latest"]
符合策略实例的资源定义
容器镜像tag不为latest,符合策略实例。
apiVersion: v1
kind: Pod
metadata:
name: opa-allowed
spec:
containers:
- name: opa
image: openpolicyagent/opa:0.9.2
args:
- "run"
- "--server"
- "--addr=localhost:8080"
不符合策略实例的资源定义
容器镜像tag为latest,不符合策略实例。
apiVersion: v1
kind: Pod
metadata:
name: opa-disallowed-2
spec:
containers:
- name: opa
image: openpolicyagent/opa:latest
args:
- "run"
- "--server"
- "--addr=localhost:8080"
父主题: 使用策略定义库
