更新时间:2024-01-05 GMT+08:00
分享

k8sallowedrepos

基本信息

  • 策略类型:合规
  • 推荐级别:L1
  • 生效资源类型:Pod
  • 参数:

    repos:字符串数组

作用

容器镜像必须以指定字符串列表中的字符串开头。

策略实例示例

以下策略实例定义容器镜像必须以“openpolicyagent/”开头。

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sAllowedRepos
metadata:
  name: repo-is-openpolicyagent
spec:
  match:
    kinds:
      - apiGroups: [""]
        kinds: ["Pod"]
    namespaces:
      - "default"
  parameters:
    repos:
      - "openpolicyagent/"

符合策略实例的资源定义

容器镜像以“openpolicyagent/”开头,符合策略实例。

apiVersion: v1
kind: Pod
metadata:
  name: opa-allowed
spec:
  containers:
    - name: opa
      image: openpolicyagent/opa:0.9.2

不符合策略实例的资源定义

容器镜像以nginx开头,不符合策略实例。

apiVersion: v1
kind: Pod
metadata:
  name: nginx-disallowed
spec:
  containers:
    - name: nginx
      image: nginx

相关文档