制限された名前空間内のボリューム タイプとして persistentvolumeclaim のみを許可する PSP を作成します。
prevent-volume-policy という名前の新しい PodSecurityPolicy を作成し、persistentvolumeclaim とは別に異なるボリュームがマウントされるポッドを防止します。
制限された名前空間に、psp-sa という名前の新しい ServiceAccount を作成します。
新しく作成したポッドセキュリティポリシー prevent-volume-policy を使用する、psp-role という名前の新しい ClusterRole を作成します。
作成された ClusterRole psp-role を作成された SA psp-sa にバインドする、psp-role-binding という名前の新しい ClusterRoleBinding を作成します。
ヒント:
また、ポッド マニフェストでシークレットをマウントしようとして、構成が機能しているかどうかを確認します。失敗するはずです。
POD マニフェスト:
APIバージョン: v1
種類: ポッド
メタデータ:
名前:
仕様:
コンテナ:
- 名前:
画像:
ボリュームマウント:
- 名前:
マウントパス:
ボリューム:
- 名前:
秘密:
シークレット名:
prevent-volume-policy という名前の新しい PodSecurityPolicy を作成し、persistentvolumeclaim とは別に異なるボリュームがマウントされるポッドを防止します。
制限された名前空間に、psp-sa という名前の新しい ServiceAccount を作成します。
新しく作成したポッドセキュリティポリシー prevent-volume-policy を使用する、psp-role という名前の新しい ClusterRole を作成します。
作成された ClusterRole psp-role を作成された SA psp-sa にバインドする、psp-role-binding という名前の新しい ClusterRoleBinding を作成します。
ヒント:
また、ポッド マニフェストでシークレットをマウントしようとして、構成が機能しているかどうかを確認します。失敗するはずです。
POD マニフェスト:
APIバージョン: v1
種類: ポッド
メタデータ:
名前:
仕様:
コンテナ:
- 名前:
画像:
ボリュームマウント:
- 名前:
マウントパス:
ボリューム:
- 名前:
秘密:
シークレット名:
