名前空間のボリュームタイプが制限されているため、persistentvolumeclaimのみを許可するPSPを作成します。
異なるボリュームを持つポッドがpersistentvolumeclaimとは別にマウントされるのを防ぐ、prevent-volume-policyという名前の新しいPodSecurityPolicyを作成します。
制限された名前空間にpsp-saという名前の新しいServiceAccountを作成します。
新しく作成されたポッドセキュリティポリシーprevent-volume-policyを使用するpsp-roleという名前の新しいClusterRoleを作成します
psp-role-bindingという名前の新しいClusterRoleBindingを作成します。これにより、作成されたClusterRolepsp-roleが作成されたSApsp-saにバインドされます。
ヒント:
また、ポッドmaifestにシークレットをマウントしようとして、構成が機能しているかどうかを確認すると、失敗するはずです。
PODマニフェスト:
apiVersion:v1
種類:ポッド
メタデータ:
名前:
仕様:
コンテナ:
- 名前:
画像:
volumeMounts:
- 名前:
mountPath:
ボリューム:
- 名前:
秘密の:
secretName:
異なるボリュームを持つポッドがpersistentvolumeclaimとは別にマウントされるのを防ぐ、prevent-volume-policyという名前の新しいPodSecurityPolicyを作成します。
制限された名前空間にpsp-saという名前の新しいServiceAccountを作成します。
新しく作成されたポッドセキュリティポリシーprevent-volume-policyを使用するpsp-roleという名前の新しいClusterRoleを作成します
psp-role-bindingという名前の新しいClusterRoleBindingを作成します。これにより、作成されたClusterRolepsp-roleが作成されたSApsp-saにバインドされます。
ヒント:
また、ポッドmaifestにシークレットをマウントしようとして、構成が機能しているかどうかを確認すると、失敗するはずです。
PODマニフェスト:
apiVersion:v1
種類:ポッド
メタデータ:
名前:
仕様:
コンテナ:
- 名前:
画像:
volumeMounts:
- 名前:
mountPath:
ボリューム:
- 名前:
秘密の:
secretName:
