[zh-cn]improve docs pod-security-admission pod-security-standards
Signed-off-by: xin.li <xin.li@daocloud.io>pull/39155/head
xin.li
parent
8568c2da1d
commit
27ba48a99b
|
|
@ -167,10 +167,10 @@ applied to workload resources, only to the resulting pod objects.
|
|||
Pod 通常是通过创建 {{< glossary_tooltip term_id="deployment" >}} 或
|
||||
{{< glossary_tooltip term_id="job">}}
|
||||
这类[工作负载对象](/zh-cn/docs/concepts/workloads/controllers/)
|
||||
来间接创建的。工作负载对象为工作负载资源定义一个 **Pod 模板**
|
||||
和一个对应的负责基于该模板来创建 Pod 的{{< glossary_tooltip term_id="controller" text="控制器" >}}。
|
||||
来间接创建的。工作负载对象为工作负载资源定义一个 **Pod 模板**和一个对应的负责基于该模板来创建
|
||||
Pod 的{{< glossary_tooltip term_id="controller" text="控制器" >}}。
|
||||
为了尽早地捕获违例状况,`audit` 和 `warn` 模式都应用到负载资源。
|
||||
不过,`enforce` 模式并 **不** 应用到工作负载资源,仅应用到所生成的 Pod 对象上。
|
||||
不过,`enforce` 模式并**不**应用到工作负载资源,仅应用到所生成的 Pod 对象上。
|
||||
|
||||
<!--
|
||||
## Exemptions
|
||||
|
|
@ -182,7 +182,7 @@ Exemptions can be statically configured in the
|
|||
-->
|
||||
## 豁免 {#exemptions}
|
||||
|
||||
你可以为 Pod 安全性的实施设置 **豁免(Exemptions)** 规则,
|
||||
你可以为 Pod 安全性的实施设置**豁免(Exemptions)**规则,
|
||||
从而允许创建一些本来会被与给定名字空间相关的策略所禁止的 Pod。
|
||||
豁免规则可以在[准入控制器配置](/zh-cn/docs/tasks/configure-pod-container/enforce-standards-admission-controller/#configure-the-admission-controller)
|
||||
中静态配置。
|
||||
|
|
@ -191,7 +191,7 @@ Exemptions can be statically configured in the
|
|||
Exemptions must be explicitly enumerated. Requests meeting exemption criteria are _ignored_ by the
|
||||
Admission Controller (all `enforce`, `audit` and `warn` behaviors are skipped). Exemption dimensions include:
|
||||
-->
|
||||
豁免规则可以显式枚举。满足豁免标准的请求会被准入控制器 **忽略**
|
||||
豁免规则必须显式枚举。满足豁免标准的请求会被准入控制器**忽略**
|
||||
(所有 `enforce`、`audit` 和 `warn` 行为都会被略过)。
|
||||
豁免的维度包括:
|
||||
|
||||
|
|
|
|||
|
|
@ -22,8 +22,8 @@ The Pod Security Standards define three different _policies_ to broadly cover th
|
|||
spectrum. These policies are _cumulative_ and range from highly-permissive to highly-restrictive.
|
||||
This guide outlines the requirements of each policy.
|
||||
-->
|
||||
Pod 安全性标准定义了三种不同的 **策略(Policy)**,以广泛覆盖安全应用场景。
|
||||
这些策略是 **叠加式的(Cumulative)**,安全级别从高度宽松至高度受限。
|
||||
Pod 安全性标准定义了三种不同的**策略(Policy)**,以广泛覆盖安全应用场景。
|
||||
这些策略是**叠加式的(Cumulative)**,安全级别从高度宽松至高度受限。
|
||||
本指南概述了每个策略的要求。
|
||||
|
||||
<!--
|
||||
|
|
@ -84,7 +84,7 @@ containers_. If any of the listed containers fails to meet the requirements, the
|
|||
fail validation.
|
||||
-->
|
||||
在下述表格中,通配符(`*`)意味着一个列表中的所有元素。
|
||||
例如 `spec.containers[*].securityContext` 表示 _所定义的所有容器_ 的安全性上下文对象。
|
||||
例如 `spec.containers[*].securityContext` 表示**所定义的所有容器**的安全性上下文对象。
|
||||
如果所列出的任一容器不能满足要求,整个 Pod 将无法通过校验。
|
||||
{{< /note >}}
|
||||
|
||||
|
|
@ -575,7 +575,7 @@ to a particular OS can be relaxed for the other OS.
|
|||
-->
|
||||
### 限制性的 Pod Security Standard 变更 {#restricted-pod-security-standard-changes}
|
||||
|
||||
Kubernetes v1.25 中的另一个重要变化是 **限制性的(Restricted)** Pod 安全性已更新,
|
||||
Kubernetes v1.25 中的另一个重要变化是**限制性的(Restricted)** Pod 安全性已更新,
|
||||
能够处理 `pod.spec.os.name` 字段。根据 OS 名称,专用于特定 OS 的某些策略对其他 OS 可以放宽限制。
|
||||
|
||||
<!--
|
||||
|
|
|
|||
Loading…
Reference in New Issue