引言 在生产环境中应用 Kubernetes 时,出于安全、合规等管控目的,经常需要对工作负载进行审计、校验以及变更,例如下列场景: 为了便于在监控和日志中识别特定应用,我们希望业务应用的 Pod 具备合适的标签结构,标识本 Pod 的业务角色。 根据职责分离的设计原则,只允许 admin 用户在形如 xxx-system 的命名空间创建工作负载。 为了防范供应链攻击,限制仅有来自特定仓库的容器镜像才能运行,并且镜像拉取策略必须设置为 Always。 恶意用户或者应用可以通过加载主机目录...
blog.fleeto.us3 min readNo responses yet.