4.5. Pod 보안 정책(더 이상 사용되지 않음)
Kubernetes 구성 정책 컨트롤러는 Pod 보안 정책의 상태를 모니터링합니다. Pod 보안 정책을 적용하여 Pod 및 컨테이너를 보호합니다.
다음 섹션에서 Pod 보안 정책 구조에 대한 자세한 내용을 확인하십시오.
4.5.1. Pod 보안 정책 YAML 구조
apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
name:
namespace:
annotations:
policy.open-cluster-management.io/standards:
policy.open-cluster-management.io/categories:
policy.open-cluster-management.io/controls:
policy.open-cluster-management.io/description:
spec:
remediationAction:
disabled:
policy-templates:
- objectDefinition:
apiVersion: policy.open-cluster-management.io/v1
kind: ConfigurationPolicy
metadata:
name:
spec:
remediationAction:
severity:
namespaceSelector:
exclude:
include:
matchLabels:
matchExpressions:
object-templates:
- complianceType:
objectDefinition:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name:
annotations:
seccomp.security.alpha.kubernetes.io/allowedProfileNames:
spec:
privileged:
allowPrivilegeEscalation:
allowedCapabilities:
volumes:
hostNetwork:
hostPorts:
hostIPC:
hostPID:
runAsUser:
seLinux:
supplementalGroups:
fsGroup:
...4.5.2. Pod 보안 정책 테이블
| 필드 | 선택 사항 또는 필수 | 설명 |
|---|---|---|
|
| 필수 항목 |
값을 |
|
| 필수 항목 |
정책 유형을 나타내려면 값을 |
|
| 필수 항목 | 정책 리소스를 식별하는 이름입니다. |
|
| 필수 항목 | 정책의 네임스페이스입니다. |
|
| 선택 사항 |
정책 수정을 지정합니다. 매개변수 값은 |
|
| 필수 항목 |
값을 |
|
| 필수 항목 | 관리 클러스터에 평가하거나 적용해야 하는 Kubernetes 오브젝트가 포함된 구성 정책을 나열하는 데 사용됩니다. |
4.5.3. Pod 보안 정책 샘플
Pod 보안 정책 지원은 OpenShift Container Platform 및 Kubernetes v1.25 이상에서 제거됩니다. PodSecurityPolicy 리소스를 적용하면 다음과 같은 비호환 메시지가 표시될 수 있습니다.
violation - couldn't find mapping resource with kind PodSecurityPolicy, please check if you have CRD deployed
- 사용 중단 알림을 포함한 자세한 내용은 Kubernetes 문서의 Pod 보안 정책을 참조하십시오.
-
샘플 정책을 보려면
policy-psp.yaml을 참조하십시오. 자세한 내용은 구성 정책 생성 을 참조하십시오. - 컨트롤러에서 모니터링하는 다른 구성 정책을 보려면 정책 YAML 구조 및 Kubernetes 구성 정책 컨트롤러에 대한 전체 설명은 Hub 클러스터 정책 프레임워크 설명서를 참조하십시오.
