Модуль включен по умолчанию в наборах модулей: Default, Managed.
Модуль выключен по умолчанию в наборе модулей Minimal.
Чтобы настроить модуль, используйте custom resource ModuleConfig с именем admission-policy-engine (подробнее о настройке Deckhouse…).
Пример ресурса ModuleConfig/admission-policy-engine для настройки модуля:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: admission-policy-engine
spec:
version: 1
enabled: true
settings: # <-- Параметры модуля из раздела "Параметры" ниже.
Параметры
Версия схемы: 1
- denyVulnerableImagesобъект
Настройки trivy-провайдера.
Trivy-провайдер запрещает создание
Pod/Deployment/StatefulSet/DaemonSetс образами, которые имеют уязвимости в пространствах имен с лейбломsecurity.deckhouse.io/trivy-provider: "".Доступно только в enterprise edition.
- denyVulnerableImages.enabledбулевый
Включить trivy-провайдер.
По умолчанию:
false - denyVulnerableImages.registrySecretsмассив объектов
Список дополнительных секретов приватных регистри.
По умолчанию для загрузки образов для сканирования используется секрет
deckhouse-registry.По умолчанию:
[]- denyVulnerableImages.registrySecrets.nameстрока
Обязательный параметр
- denyVulnerableImages.registrySecrets.namespaceстрока
Обязательный параметр
- denyVulnerableImages.registrySecrets.nameстрока
- denyVulnerableImages.enabledбулевый
- podSecurityStandardsобъект
Настройки политик Pod Security Standards (PSS).
- podSecurityStandards.defaultPolicyстрока
Определяет политику Pod Security Standards по умолчанию для всех несистемных пространств имен:
Privileged— политика без ограничений. Данная политика допускает эскалацию привилегий;Baseline— политика с минимальными ограничениями, ограничивающая использование эскалаций привилегий;Restricted— политика с максимальными ограничениями, соотвествущая актуальным рекомендациям по безопасному запуску приложений в кластере.
По умолчанию:
Baseline— при первичной установке Deckhouse версии v1.55 и выше;Privileged— при первичной установке Deckhouse версии ниже v1.55 (обновление Deckhouse в кластере на версию v1.55 и выше не меняет политику по умолчанию наBaseline).
Допустимые значения:
Privileged,Baseline,Restricted - podSecurityStandards.enforcementActionстрока
Действие, которое будет выполнено по результатам проверки ограничений:
- Deny — запрет;
- Dryrun — отсутствие действия. Применяется при отладке. Информацию о событии можно посмотреть в Grafana или консоли с помощью kubectl;
- Warn — аналогично
Dryrun, но дополнительно к информации о событии будет выведена информация о том, из-за какого ограничения (constraint) был бы запрет действия, если бы вместоWarnиспользовалсяDeny.
По умолчанию:
"Deny"Допустимые значения:
Warn,Deny,Dryrun - podSecurityStandards.policiesобъект
Определяет дополнительные парамерты политик
- podSecurityStandards.policies.hostPortsобъект
Настройки ограничения HostPort.
- podSecurityStandards.policies.hostPorts.knownRangesмассив объектов
Список диапазонов портов, которые будут разрешены в привязке hostPort.
- podSecurityStandards.policies.hostPorts.knownRanges.maxцелочисленный
- podSecurityStandards.policies.hostPorts.knownRanges.minцелочисленный
- podSecurityStandards.policies.hostPorts.knownRangesмассив объектов
- podSecurityStandards.policies.hostPortsобъект
- podSecurityStandards.defaultPolicyстрока