Модуль включен по умолчанию в наборах модулей: Default, Managed. Модуль выключен по умолчанию в наборе модулей Minimal.

Как явно включить или отключить модуль…

Обратите внимание, что при установке Deckhouse для явного включения/отключения и настройки модуля используется параметр configOverrides ресурса InitConfiguration, а не ModuleConfig.

Чтобы явно включить или выключить модуль admission-policy-engine при установке Deckhouse, укажите admissionPolicyEngineEnabled: true или admissionPolicyEngineEnabled: false в секции configOverrides.

Чтобы задать настройки модуля при установке Deckhouse, используйте секцию admissionPolicyEngine параметра configOverrides.

Чтобы явно включить или выключить модуль admission-policy-engine, установите spec.enabled в true или false в ModuleConfig/admission-policy-engine.

Пример включения модуля admission-policy-engine:

apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: admission-policy-engine
spec:
  enabled: true

Пример выключения модуля admission-policy-engine:

apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: admission-policy-engine
spec:
  enabled: false

Чтобы настроить модуль используйте custom resource ModuleConfig с именем admission-policy-engine (подробнее о настройке Deckhouse…).

Пример ресурса ModuleConfig/admission-policy-engine для настройки модуля:

apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: admission-policy-engine
spec:
  version: 1
  enabled: true
  settings: # <-- Параметры модуля из раздела "Параметры" ниже.

Параметры

Версия схемы: 1

  • podSecurityStandardsобъект

    Настройки политик Pod Security Standards.

    • podSecurityStandards.enforcementActionстрока

      Действие, которое будет выполнено по результатам проверки ограничений.

      • Deny — Запрет.
      • Dryrun — Отсутствие действия. Применяется при отладке. Информацию о событии можно посмотреть в Grafana или в консоли с помощью kubectl.
      • Warn — Аналогично Dryrun, но дополнительно к информации о событии будет выведена информация о том, из-за какого ограничения (constraint) был бы запрет действия, если бы вместо Warn использовался Deny.

      По умолчанию: "Deny"

      Допустимые значения: Warn, Deny, Dryrun

    • podSecurityStandards.policiesобъект
      • podSecurityStandards.policies.hostPortsобъект

        Настройки ограничения HostPort.

        • podSecurityStandards.policies.hostPorts.knownRangesмассив объектов

          Список диапазонов портов, которые будут разрешены в привязке hostPort.

          • podSecurityStandards.policies.hostPorts.knownRanges.maxцелочисленный
          • podSecurityStandards.policies.hostPorts.knownRanges.minцелочисленный