特権コンテナを禁止するpspを作成する
APIバージョン: rbac.authorization.k8s.io/v1
種類: ClusterRole
メタデータ:
名前: アクセス拒否ロール
ルール:
- apiGroups: ['ポリシー']
リソース: ['podsecuritypolicies']
動詞: ['使用する']
リソース名:
- 「拒否ポリシー」
k psp-denial-sa -n開発で作成
APIバージョン: rbac.authorization.k8s.io/v1
種類: ClusterRoleBinding
メタデータ:
名前: アクセス制限 Bing
ロールリファレンス:
種類: ClusterRole
名前: アクセス拒否ロール
apiグループ: rbac.authorization.k8s.io
科目:
- 種類: サービスアカウント
名前: psp-denial-sa
名前空間: 開発
説明
マスター1 $ vim psp.yaml
APIバージョン: ポリシー/v1beta1
種類: PodSecurityPolicy
メタデータ:
名前: 拒否ポリシー
仕様:
privileged: false # 特権ポッドを許可しません。
カーネル:
ルール: RunAsAny
補足グループ:
ルール: RunAsAny
実行ユーザー:
ルール: RunAsAny
グループ:
ルール: RunAsAny
ボリューム:
- '*'
マスター1 $ vim cr1.yaml
APIバージョン: rbac.authorization.k8s.io/v1
種類: ClusterRole
メタデータ:
名前: アクセス拒否ロール
ルール:
- apiGroups: ['ポリシー']
リソース: ['podsecuritypolicies']
動詞: ['使用する']
リソース名:
- 「拒否ポリシー」
マスター1 $ k sa psp-denial-sa -n 開発を作成します
マスター1 $ vim cb1.yaml
APIバージョン: rbac.authorization.k8s.io/v1
種類: ClusterRoleBinding
メタデータ:
名前: アクセス制限 Bing
ロールリファレンス:
種類: ClusterRole
名前: アクセス拒否ロール
apiグループ: rbac.authorization.k8s.io
科目:
# 特定のサービス アカウントを承認します。
- 種類: サービスアカウント
名前: psp-denial-sa
名前空間: 開発
master1 $ k apply -f psp.yaml master1 $ k apply -f cr1.yaml master1 $ k apply -f cb1.yaml 参照: https://kubernetes.io/docs/concepts/policy/pod-security-policy/ master1 $ k apply -f cr1.yaml master1 $ k apply -f cb1.yaml master1 $ k apply -f psp.yaml master1 $ k apply -f cr1.yaml master1 $ k apply -f cb1.yaml 参照: https://kubernetes.io/docs/concepts/policy/pod-security-policy/