apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: example-pod-security-policy spec: privileged: false # 是否允许特权模式,一般设置为 false allowPrivilegeEscalation: false # 是否允许权限提升,一般设置为 false requiredDropCapabilities: - ALL # 限制容器的能力 volumes: - '*' hostNetwork: false # 是否允许使用宿主机的网络命名空间,一般设置为 false hostIPC: false # 是否允许使用宿主机的 IPC 命名空间,一般设置为 false hostPID: false # 是否允许使用宿主机的 PID 命名空间,一般设置为 false runAsUser: rule: 'RunAsAny' # 允许的用户标识规则,可以是 'RunAsAny'、'MustRunAs' 或 'MustRunAsNonRoot' seLinux: rule: 'RunAsAny' # 允许的 SELinux 上下文规则,可以是 'RunAsAny'、'MustRunAs' 或 'MustRunAsNonRoot' supplementalGroups: rule: 'RunAsAny' # 允许的附加组规则,可以是 'RunAsAny'、'MustRunAs' 或 'MustRunAsNonRoot' fsGroup: rule: 'RunAsAny' # 允许的文件系统组规则,可以是 'RunAsAny'、'MustRunAs' 或 'MustRunAsNonRoot' readOnlyRootFilesystem: false # 是否允许容器以只读方式挂载根文件系统,一般设置为 false
注意:这个特性,1.21+弃用了,1.25+之后,就不可用了。
Warning: policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+