vnfs/DAaaS/visualization/charts/grafana/templates/podsecuritypolicy.yaml

   1 {{- if .Values.rbac.pspEnabled }}
   2 apiVersion: extensions/v1beta1
   3 kind: PodSecurityPolicy
   4 metadata:
   5   name: {{ template "grafana.fullname" . }}
   6   labels:
   7     app: {{ template "grafana.name" . }}
   8     chart: {{ .Chart.Name }}-{{ .Chart.Version }}
   9     heritage: {{ .Release.Service }}
  10     release: {{ .Release.Name }}
  11   annotations:
  12     seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
  13     seccomp.security.alpha.kubernetes.io/defaultProfileName:  'docker/default'
  14     {{- if .Values.rbac.pspUseAppArmor }}
  15     apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
  16     apparmor.security.beta.kubernetes.io/defaultProfileName:  'runtime/default'
  17     {{- end }}
  18 spec:
  19   privileged: false
  20   allowPrivilegeEscalation: false
  21   requiredDropCapabilities:
  22     # Default set from Docker, without DAC_OVERRIDE or CHOWN
  23     - FOWNER
  24     - FSETID
  25     - KILL
  26     - SETGID
  27     - SETUID
  28     - SETPCAP
  29     - NET_BIND_SERVICE
  30     - NET_RAW
  31     - SYS_CHROOT
  32     - MKNOD
  33     - AUDIT_WRITE
  34     - SETFCAP
  35   volumes:
  36     - 'configMap'
  37     - 'emptyDir'
  38     - 'projected'
  39     - 'secret'
  40     - 'downwardAPI'
  41     - 'persistentVolumeClaim'
  42   hostNetwork: false
  43   hostIPC: false
  44   hostPID: false
  45   runAsUser:
  46     rule: 'RunAsAny'
  47   seLinux:
  48     rule: 'RunAsAny'
  49   supplementalGroups:
  50     rule: 'RunAsAny'
  51   fsGroup:
  52     rule: 'RunAsAny'
  53   readOnlyRootFilesystem: false
  54 {{- end }}