从 PodSecurityPolicy 映射到 Pod 安全性标准

    对于每个可应用的参数,表格中给出了 Baseline 和 配置下可接受的取值。 对这两种配置而言不可接受的取值均归入 Privileged 配置下。“无意见”意味着对所有 Pod 安全性标准而言所有取值都可接受。

    如果想要了解如何一步步完成迁移,可参阅。

    下面表格中所列举的字段是 PodSecurityPolicySpec 的一部分,是通过 .spec 字段路径来设置的。

    PodSecurityPolicy 注解

    下面表格中所列举的注解可以通过 .metadata.annotations 设置到 PodSecurityPolicy 对象之上。

    将 PodSecurityPolicy 注解映射到 Pod 安全性标准
    PSP 注解类型Pod 安全性标准中对应设置
    seccomp.security.alpha.kubernetes.io
    /defaultProfileName    		变更性质无意见
    seccomp.security.alpha.kubernetes.io
    /allowedProfileNames    		检查性质

    Baseline“runtime/default,” (其中尾部的逗号允许取消设置)

    Restricted“runtime/default” (没有尾部逗号)

    localhost/ 取值对于 Baseline 和 Restricted 都是可接受的

    apparmor.security.beta.kubernetes.io
    /defaultProfileName    		变更性质无意见
    apparmor.security.beta.kubernetes.io
    /allowedProfileNames    		检查性质

    Baseline“runtime/default,” (其中尾部的逗号允许取消设置)

    取值对于 Baseline 和 Restricted 都是可接受的