k8spspprocmount
作用
约束PodSecurityPolicy中的“allowedProcMountTypes”字段。
策略实例示例
以下策略实例展示了策略定义生效的资源类型,parameters中指定了procMount的值为Default。
apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPProcMount metadata: name: psp-proc-mount spec: match: kinds: - apiGroups: [""] kinds: ["Pod"] parameters: procMount: Default
符合策略实例的资源定义
示例中securityContext字段中的procMount为Default,符合策略实例。
apiVersion: v1 kind: Pod metadata: name: nginx-proc-mount-disallowed labels: app: nginx-proc-mount spec: containers: - name: nginx image: nginx securityContext: procMount: Default
不符合策略实例的资源定义
示例中securityContext字段中的procMount为Unmasked,不符合策略实例。
apiVersion: v1 kind: Pod metadata: name: nginx-proc-mount-disallowed labels: app: nginx-proc-mount spec: containers: - name: nginx image: nginx securityContext: procMount: Unmasked