k8s PodSecurityPolicy 的 Helm 模板

【问题标题】:Helm template for k8s PodSecurityPolicyk8s PodSecurityPolicy 的 Helm 模板
【发布时间】:2020-04-24 20:10:43
【问题描述】:

我的 Helm 图表中有一个 PodSecurityPolicy,并希望动态更改 runAsUser 上的 rule

{{- if .Values.global.psp.enabled }} 被启用并且相应的values.yaml 包含类似:

runAsUnprivilegedUser: true

我希望模板像这样呈现:

runAsUser:
    # Require the container to run without root privileges.
    rule: 'MustRunAsNonRoot'

并且另外为默认的非root用户提供UID 1000。

另一方面,如果 runAsUnprivilegedUser 设置为 false,我希望有 

runAsUser:
    rule: 'RunAsAny'

受雇。

【问题讨论】:

  • 这似乎是合理的;到目前为止,您尝试了什么,遇到了什么问题?
  • @DavidMaze,谢谢。 Acutally 我对如何进行条件分支,特别是如何启用非 root 用户的默认设置感到很困惑

标签: kubernetes kubernetes-helm


【解决方案1】:

我认为你可以用条件语句做到这一点

kind: PodSecurityPolicy
apiVersion: policy/v1beta1
metadata:
  name: allow-flex-volumes
spec:
  runAsUser:
    # Require the container to run without root privileges.
    {{- if and .Values.global.psp .Values.podSecurityContext}}
    rule: 'MustRunAsNonRoot'
    {{else }}
    rule: 'RunAsAny'
    {{end}}

【讨论】:

  • 谢谢,@hoque。当使用MustRunAsNonRoot 时,我是否可以另外使用默认的非根UID,例如。 G。喜欢rule MustRunAsNonRoot | default runAsUser: 1000 ?
  • 你能用ranges: - max: 1000 min: 1000检查一下吗?我没有看到任何其他字段可以直接提供。
猜你喜欢
  • 2019-06-08
  • 2021-09-14
  • 2020-11-26
  • 1970-01-01
  • 2019-03-24
  • 1970-01-01
  • 2020-01-12
  • 2020-10-16
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode