vim pod-policy.yaml
apiVersion: v1
kind: PodSecurityPolicy
metadata:
name: pod-policy
namespace: default
spec:
privileged: false #不允许特权模式的pod,禁止创建特权模式的pod
seLinux: #设置SELinux参数,可以设置为MustRunAs或RunAsAny
rule: RunAsAny
supplementalGroups: #设置容器可以额外添加的Group ID范围,可以设置为ManyRunAs、MayRunAs、RunAsAny
rule: RunAsAny
runAsUser: #设置运行容器的用户ID范围,可以设置为MustRunAs、MayRunAs、RunAsAny
rule: RunAsAny
fsGroup: #设置允许访问某些Volume的Group ID范围,可以设置为ManyRunAs、MayRunAs、RunAsAny
rule: RunAsAny
volumes:
- "*" #允许pod使用的volume类型为使用任意Volume类型
参数详解:
MustRunAs:要设置范围,要求Pod的设置的值必须属于该范围
RunAsAny:不限制的范围,任何都可以运行
MayRunAs:需要设置的范围,不强制要求Pod设置