Модуль включен по умолчанию в наборах модулей: Default, Managed.
Модуль выключен по умолчанию в наборе модулей Minimal.
Модуль настраивается с помощью custom resource ModuleConfig с именем admission-policy-engine (подробнее о настройке Deckhouse…).
Пример ресурса ModuleConfig/admission-policy-engine для настройки модуля:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: admission-policy-engine
spec:
version: 1
enabled: true
settings: # <-- Параметры модуля из раздела "Параметры" ниже.
Параметры
Версия схемы: 1
- podSecurityStandardsобъект
Настройки политик Pod Security Standards.
- podSecurityStandards.enforcementActionстрока
Действие, которое будет выполнено по результатам проверки ограничений.
- Deny — Запрет.
- Dryrun — Отсутствие действия. Применяется при отладке. Информацию о событии можно посмотреть в Grafana или в консоли с помощью kubectl.
- Warn — Аналогично
Dryrun, но дополнительно к информации о событии будет выведена информация о том, из-за какого ограничения (constraint) был бы запрет действия, если бы вместоWarnиспользовалсяDeny.
По умолчанию:
"Deny"Допустимые значения:
Warn,Deny,Dryrun - podSecurityStandards.policiesобъект
- podSecurityStandards.policies.hostPortsобъект
Настройки ограничения HostPort.
- podSecurityStandards.policies.hostPorts.knownRangesмассив объектов
Список диапазонов портов, которые будут разрешены в привязке hostPort.
- podSecurityStandards.policies.hostPorts.knownRanges.maxцелочисленный
- podSecurityStandards.policies.hostPorts.knownRanges.minцелочисленный
- podSecurityStandards.policies.hostPorts.knownRangesмассив объектов
- podSecurityStandards.policies.hostPortsобъект
- podSecurityStandards.enforcementActionстрока