目录一.系统环境二.前言三.PodSecurityPolicy简介四.为什么需要PodSecurityPolicy五.给客户端授权六.启用PodSecurityPolicy（PSP）七.PSP规则之禁止创建特权用户pod八.PSP规则之数据卷8.1限定数据卷使用某一个目录8.2限定数据卷的类型为emptyDir九.PSP规则之指定使用宿主机网络十

简述KubernetesPodSecurityPolicy机制KubernetesPodSecurityPolicy是为了更精细地控制Pod对资源的使用方式以及提升安全策略。在开启PodSecurityPolicy准入控制器后，Kubernetes默认不允许创建任何Pod，需要创建PodSecurityPolicy策略和相应的RBAC授权策略（AuthorizingPolicies），Pod

PodSecurityPolicy（PSP）是Kubernetes中的一个集群级别的安全机制，它允许管理员为集群中的Pod定义和实施一组详细的准入控制策略。通过PodSecurityPolicy，集群管理员可以精细地控制哪些类型的Pod可以被创建或运行在集群内，以防止不安全的容器配置和潜在的安全威胁。具体来说，PodSecu

PodSecurityPolicy(PSP)在Kubernetes中能够实现以下的安全策略：运行时用户和组限制：确保容器以非root用户身份运行，或者限制容器可以使用的用户或组ID范围。容器能力控制：允许或禁止特定的Linux容器能力（capabilities），从而限制容器内进程的能力范围。主机命名空