2.4.2.4. 策略生成器配置参考表

apiVersion

必需。将值设置为 policy.open-cluster-management.io/v1。

complianceType

可选。决定在将清单与集群上对象进行比较时的策略控制器行为。参数值为 musthave, mustonlyhave, 或 mustnothave.默认值为 musthave。

kind

必需。将值设为 PolicyGenerator 以表示策略类型。

metadata

必需。用于唯一标识配置文件。

metadata.name

必需。用于标识策略资源的名称。

placementBindingDefaults

必需。用于整合 PlacementBinding 中的多个策略，以便生成器能够使用定义的名称创建唯一的 PlacementBinding 名称。

placementBindingDefaults.name

可选。最佳实践是设置要使用的显式放置绑定名称，而不使用默认值。

policyDefaults

必需。对于 policies 数组中的条目，这里列出的任何默认值都会被覆盖，但 namespace 除外。

policyDefaults.categories

可选。policy.open-cluster-management.io/categories 注解中使用的类别数组。默认值为 CM 配置管理。

policyDefaults.controls

可选。policy.open-cluster-management.io/controls 注解中使用的控制数组。默认值为 CM-2 Baseline Configuration。

policyDefaults.consolidateManifests

可选。这决定了是否为策略中包含的所有清单生成单一配置策略。如果设置为 false，则为每个清单生成配置策略。默认值为 true。

policyDefaults.informGatekeeperPolicies

可选。当策略引用违反 gatekeeper 策略清单时，这决定了是否应生成额外的配置策略以便在 Red Hat Advanced Cluster Management 中接收策略违反情况。默认值为 true。

policyDefaults.informKyvernoPolicies

可选。当策略引用 Kyverno 策略清单时，这决定了在 Kyverno 策略被违反时，是否应生成额外的配置策略来接收 Red Hat Advanced Cluster Management 中的策略违反情况。默认值为 true。

policyDefaults.namespace

必需。所有策略的命名空间。

policyDefaults.placement

可选。策略的放置配置。这默认为与所有集群匹配的放置配置。

placement.clusterSelectors

可选。通过以以下格式 key:value 定义集群选择器来指定放置。请参阅 placementRulePath 以指定现有文件。

placement.name

可选。指定一个名称来整合包含相同集群选择器的放置规则。

placement.placementRulePath

可选。要重复使用现有放置规则，请指定相对于 kustomization.yaml 文件的路径。如果提供，则默认所有策略都使用此放置规则。请参阅 clusterSelectors 以生成新 放置。

policyDefaults.remediationAction

可选。策略的补救机制。参数值是 enforce 和 inform。默认值是 inform。

policyDefaults.severity

可选。策略违反的严重性。默认值为 low。

policyDefaults.standards

可选。policy.open-cluster-management.io/standards 注解中使用的一组标准。默认值为 NIST SP 800-53。

policies

必需。要创建的策略列表以及覆盖默认值或 policyDefaults 中设置的值。

policies[ ].manifests

必需。策略中包含的 Kubernetes 对象清单列表。

policies[ ].name

必需。要创建的策略的名称。

policies[ ].manifests[ ].complianceType

可选。决定在将清单与集群上对象进行比较时的策略控制器行为。参数值为 musthave, mustonlyhave, 或 mustnothave.默认值为 musthave。

policies[ ].manifests[ ].path

必需。与 kustomization.yaml 文件相关的单个文件或平面文件目录的路径。

policies[ ].manifests[ ].patches

可选。应用到路径上清单的 Kustomize 补丁程序。如果有多个清单，补丁需要设置 apiVersion、kind、metadata.name 和 metadata.namespace （如果适用）字段，以便 Kustomize 可以识别补丁应用到的清单。如果只有一个清单，则可以修补 metadata.name 和 metadata.namespace 字段。