更新时间:2024-01-05 GMT+08:00
k8spspreadonlyrootfilesystem
作用
约束PodSecurityPolicy中的“readOnlyRootFilesystem”字段。
策略实例示例
以下策略实例展示了策略定义生效的资源类型。
apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPReadOnlyRootFilesystem metadata: name: psp-readonlyrootfilesystem spec: match: kinds: - apiGroups: [""] kinds: ["Pod"]
符合策略实例的资源定义
示例中readOnlyRootFilesystem字段为true,符合策略实例。
apiVersion: v1 kind: Pod metadata: name: nginx-readonlyrootfilesystem-allowed labels: app: nginx-readonlyrootfilesystem spec: containers: - name: nginx image: nginx securityContext: readOnlyRootFilesystem: true
不符合策略实例的资源定义
示例中readOnlyRootFilesystem字段为false,不符合策略实例。
apiVersion: v1 kind: Pod metadata: name: nginx-readonlyrootfilesystem-disallowed labels: app: nginx-readonlyrootfilesystem spec: containers: - name: nginx image: nginx securityContext: readOnlyRootFilesystem: false
父主题: 使用策略定义库