vnfs/DAaaS/deploy/00-init/rook-ceph/templates/psp.yaml

   1 {{- if .Values.pspEnable }}
   2 # PSP for rook-ceph-operator
   3
   4 # Most of the teams follow the kubernetes docs and have these PSPs.
   5 # * privileged (for kube-system namespace)
   6 # * restricted (for all logged in users)
   7 #
   8 # If we name it as `rook-ceph-operator`, it comes next to `restricted` PSP alphabetically,
   9 # and applies `restricted` capabilities to `rook-system`. Thats reason this is named with `00-rook-ceph-operator`,
  10 # so it stays somewhere close to top and `rook-system` gets the intended PSP.
  11 #
  12 # More info on PSP ordering : https://kubernetes.io/docs/concepts/policy/pod-security-policy/#policy-order
  13
  14 apiVersion: extensions/v1beta1
  15 kind: PodSecurityPolicy
  16 metadata:
  17   name: 00-rook-ceph-operator
  18 spec:
  19   fsGroup:
  20     rule: RunAsAny
  21   privileged: true
  22   runAsUser:
  23     rule: RunAsAny
  24   seLinux:
  25     rule: RunAsAny
  26   supplementalGroups:
  27     rule: RunAsAny
  28   volumes:
  29   - '*'
  30   allowedCapabilities:
  31   - '*'
  32   hostPID: true
  33   hostIPC: true
  34   hostNetwork: true
  35 {{- end }}