Модуль включен по умолчанию в наборах модулей: Default
, Managed
.
Модуль выключен по умолчанию в наборе модулей Minimal
.
Чтобы настроить модуль используйте custom resource ModuleConfig
с именем admission-policy-engine
(подробнее о настройке Deckhouse…).
Пример ресурса ModuleConfig/admission-policy-engine
для настройки модуля:
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: admission-policy-engine
spec:
version: 1
enabled: true
settings: # <-- Параметры модуля из раздела "Параметры" ниже.
Параметры
Версия схемы: 1
- podSecurityStandardsобъект
Настройки политик Pod Security Standards.
- podSecurityStandards.enforcementActionстрока
Действие, которое будет выполнено по результатам проверки ограничений.
- Deny — Запрет.
- Dryrun — Отсутствие действия. Применяется при отладке. Информацию о событии можно посмотреть в Grafana или в консоли с помощью kubectl.
- Warn — Аналогично
Dryrun
, но дополнительно к информации о событии будет выведена информация о том, из-за какого ограничения (constraint) был бы запрет действия, если бы вместоWarn
использовалсяDeny
.
По умолчанию:
"Deny"
Допустимые значения:
Warn
,Deny
,Dryrun
- podSecurityStandards.policiesобъект
- podSecurityStandards.policies.hostPortsобъект
Настройки ограничения HostPort.
- podSecurityStandards.policies.hostPorts.knownRangesмассив объектов
Список диапазонов портов, которые будут разрешены в привязке hostPort.
- podSecurityStandards.policies.hostPorts.knownRanges.maxцелочисленный
- podSecurityStandards.policies.hostPorts.knownRanges.minцелочисленный
- podSecurityStandards.policies.hostPorts.knownRangesмассив объектов
- podSecurityStandards.policies.hostPortsобъект
- podSecurityStandards.enforcementActionстрока