vnfs/DAaaS/deploy/operator/charts/prometheus-operator/templates/alertmanager/psp.yaml

   1 {{- if and .Values.alertmanager.enabled .Values.global.rbac.create .Values.global.rbac.pspEnabled }}
   2 apiVersion: policy/v1beta1
   3 kind: PodSecurityPolicy
   4 metadata:
   5   name: {{ template "prometheus-operator.fullname" . }}-alertmanager
   6   labels:
   7     app: {{ template "prometheus-operator.name" . }}-alertmanager
   8 {{ include "prometheus-operator.labels" . | indent 4 }}
   9 spec:
  10   privileged: false
  11   # Required to prevent escalations to root.
  12   # allowPrivilegeEscalation: false
  13   # This is redundant with non-root + disallow privilege escalation,
  14   # but we can provide it for defense in depth.
  15   #requiredDropCapabilities:
  16   #  - ALL
  17   # Allow core volume types.
  18   volumes:
  19     - 'configMap'
  20     - 'emptyDir'
  21     - 'projected'
  22     - 'secret'
  23     - 'downwardAPI'
  24     - 'persistentVolumeClaim'
  25   hostNetwork: false
  26   hostIPC: false
  27   hostPID: false
  28   runAsUser:
  29     # Permits the container to run with root privileges as well.
  30     rule: 'RunAsAny'
  31   seLinux:
  32     # This policy assumes the nodes are using AppArmor rather than SELinux.
  33     rule: 'RunAsAny'
  34   supplementalGroups:
  35     rule: 'MustRunAs'
  36     ranges:
  37       # Forbid adding the root group.
  38       - min: 0
  39         max: 65535
  40   fsGroup:
  41     rule: 'MustRunAs'
  42     ranges:
  43       # Forbid adding the root group.
  44       - min: 0
  45         max: 65535
  46   readOnlyRootFilesystem: false
  47 {{- end }}