4.5. Pod セキュリティーポリシー (非推奨)
Kubernetes 設定ポリシーコントローラーは、Pod セキュリティーポリシーのステータスを監視します。Pod のセキュリティーポリシーを適用して Pod およびコンテナーのセキュリティーを保護します。
以下のセクションでは、Pod セキュリティーポリシーの設定を説明します。
4.5.1. Pod セキュリティーポリシー YAML の設定
apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
name:
namespace:
annotations:
policy.open-cluster-management.io/standards:
policy.open-cluster-management.io/categories:
policy.open-cluster-management.io/controls:
policy.open-cluster-management.io/description:
spec:
remediationAction:
disabled:
policy-templates:
- objectDefinition:
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
name:
spec:
remediationAction:
severity:
namespaceSelector:
exclude:
include:
matchLabels:
matchExpressions:
object-templates:
- complianceType:
objectDefinition:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name:
annotations:
seccomp.security.alpha.kubernetes.io/allowedProfileNames:
spec:
privileged:
allowPrivilegeEscalation:
allowedCapabilities:
volumes:
hostNetwork:
hostPorts:
hostIPC:
hostPID:
runAsUser:
seLinux:
supplementalGroups:
fsGroup:
...4.5.2. Pod セキュリティーポリシーの表
| フィールド | 任意または必須 | 詳細 |
|---|---|---|
|
| 必須 |
この値は |
|
| 必須 |
ポリシーのタイプを指定するには、値を |
|
| 必須 | ポリシーリソースを識別する名前。 |
|
| 必須 | ポリシーの namespace。 |
|
| 任意 |
ポリシーの修正を指定します。パラメーターの値は |
|
| 必須 |
この値は |
|
| 必須 | マネージドクラスターに評価または適用する必要がある Kubernetes オブジェクトを含む設定ポリシーをリスト表示するために使用されます。 |
4.5.3. Pod セキュリティーポリシーの例
Pod セキュリティーポリシーのサポートは、OpenShift Container Platform および Kubernetes v1.25 以降から削除されました。PodSecurityPolicy リソースを適用すると、次の非準拠メッセージを受け取る場合があります。
violation - couldn't find mapping resource with kind PodSecurityPolicy, please check if you have CRD deployed
- 非推奨の通知を含む詳細は、Kubernetes ドキュメント の Pod セキュリティーポリシー を参照してください。
-
サンプルポリシーを確認するには、
policy-psp.yamlを参照してください。詳細は、設定ポリシーの作成 を参照してください。 - ポリシーの YAML 構造の完全な説明は ハブクラスターポリシーフレームワーク ドキュメントを、コントローラーが監視するほかの設定ポリシーは Kubernetes 設定ポリシーコントローラー を参照してください。
