k8spspforbiddensysctls 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数： allowedSysctls：数组 forbiddenSysctls：数组 作用 约束PodSecurityPolicy中的“sysctls”字段不能使用的name。

查看更多 →

k8srequiredlabels 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：* 参数： labels: 键值对数组，key/ allowedRegex key: a8r.io/owner # Matches email address or github

查看更多 →

UniAgent接入自建K8S 本章节指导您将UniAgent接入自建K8S。 远程安装步骤 登录MAS控制台。 单击“混沌工程>探针管理”，进入“探针管理”页面。 在“我的应用”栏下选择所需安装的应用。 单击右上角的“UniAgent安装”，进入UniAgent安装页面。 选择“ 弹性云服务器

查看更多 →

k8spsphostnetworkingports 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数： exemptImages: 字符串数组 hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的

查看更多 →

探针接入自建K8S 本章节指导您将探针接入自建K8S。 操作步骤 登录MAS控制台。 单击“混沌工程>探针管理”，进入“探针管理”页面。 在“我的应用”栏下选择所需安装的应用，该应用已纳管自建K8S资源。 选择“云服务-自建K8S”页签。 单击操作列“安装探针”。 等待探针状态从

查看更多 →

K8S静态采集器（app-discovery-k8s） 用于采集k8s集群中的ingress，service，configMap等信息。参数配置说明参见表1。 表1 k8s静态采集器参数配置说明 参数 必填 配置说明 output_path 否 自定义采集结果（app-discovery-k8s-xxx

查看更多 →

K8S上部署ABI 说明：采用K8S部署abi531时，pod数只能是1个。 有管理平台 此处以华宇容器云平台作为部署工具，华宇容器云平台是为在生产环境中管理Docker和K8s设计的全栈化容器部署与管理平台。它以Docker及K8s为底层，以应用为发布单元的企业级容器云平台。

查看更多 →

k8sexternalips 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：Service 参数： allowedIPs：字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务的externalIP仅允许allowedIPs中定义的IP。

查看更多 →

k8sreplicalimits 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：* 参数： ranges: min_replicas: 整型 max_replicas: 整型 作用 要求具有“spec.replicas”字段的对象（Deployments、ReplicaSets等）在定义的范围内。

查看更多 →

k8simagedigests 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：Pod 参数： exemptImages：字符串数组 作用 容器镜像必须包含digest。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints

查看更多 →

k8scontainerratios 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：Pod 参数： ratio：字符串 cpuRatio：字符串 exemptImages：字符串数组 作用 限制容器的limit对request比例的最大值。 策略实例示例 限制容器的li

查看更多 →

k8scontainerrequests 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：Pod 参数： cpu：字符串 memory：字符串 exemptImages：字符串数组 作用 限制CPU和内存的Request必须设置且小于配置的最大值。 策略实例示例 示例配置了CPU和内存的最大Request。

查看更多 →

k8scontainerlimits 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：Pod 参数： cpu：字符串 memory：字符串 exemptImages：字符串数组 作用 限制容器必须设置CPU和内存Limit，并且小于设定的最大值。 策略实例示例 示例展示了

查看更多 →

["extensions", "networking.k8s.io"] kinds: ["Ingress"] 符合策略实例的资源定义 ingress配置的hostname不是空白或通配符类型，符合策略实例。 apiVersion: networking.k8s.io/v1 kind: Ingress

查看更多 →

K8s事件转告警规则 容器智能分析支持配置规则将事件转为告警。 登录U CS 控制台，在左侧导航栏中选择“容器智能分析”。 单击上方导航栏中的实例名称，切换至目标实例，并选择“告警中心”页签。 单击右上角的“K8s事件转告警规则”按钮。 在“转告警规则”页签，展示了可以转告警的K8s

查看更多 →

K8S.PodSecurityContext 字段说明 表1 字段说明 属性 是否必选 参数类型 描述 runAsUser 否 integer 用户 取值约束：{u'in_range': [0, 2147483647]} supplementalGroups 否 integer Supplement组

查看更多 →

k8spspcapabilities 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数： allowedCapabilities：数组 exemptImages：字符串数组 requiredDropCapabilities：数组 作用 限制PodSecurit

查看更多 →

k8spspautomountserviceaccounttokenpod 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：Pod 参数：无 作用 约束容器不能设置automountServiceAccountToken为true。 策略实例示例 示例声明了match匹配

查看更多 →

k8spspallowprivilegeescalationcontainer 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数： exemptImages：字符串数组 作用 约束PodSecurityPolicy中的“allowPrivilegeEscalation”字段为false。

查看更多 →

K8s废弃资源检查异常处理 检查项内容 检查集群是否存在对应版本已经废弃的资源。 解决方案 问题场景一： 1.25及以上集群中的service存在废弃的annotation：tolerate-unready-endpoints 报错日志信息如下： some check failed

查看更多 →

K8s废弃API检查异常处理 检查项内容 系统会扫描过去一天的审计日志，检查用户是否调用目标K8s版本已废弃的API。 由于审计日志的时间范围有限，该检查项仅作为辅助手段，集群中可能已使用即将废弃的API，但未在过去一天的审计日志中体现，请您充分排查。 解决方案 检查说明 根据检

查看更多 →