# Дефолтные значения для kyverno-policies Helm chart.
# Переопределите в values-staging.yaml или values-production.yaml.

global:
  # Audit = фиксировать нарушения, Enforce = блокировать
  failureAction: Audit
  excludedNamespaces:
    - kube-system
    - kube-public
    - kube-node-lease
    - kyverno

# --- Политика: resource limits ---
resourceLimits:
  enabled: true
  failureAction: ""        # пусто = использовать global.failureAction
  maxMemory: "4Gi"
  maxCpu: "4"

# --- Политика: запрет latest тега ---
disallowLatestTag:
  enabled: true
  failureAction: ""

# --- Политика: обязательные лейблы ---
requiredLabels:
  enabled: true
  failureAction: ""
  labels:
    - app
    - team
    - environment

# --- Политика: привилегированные контейнеры ---
disallowPrivileged:
  enabled: true
  # security политики всегда Enforce
  failureAction: Enforce

# --- Политика: запрет host namespaces ---
disallowHostNamespaces:
  enabled: true
  failureAction: Enforce

# --- Политика: автодобавление лейблов (mutation) ---
addStandardLabels:
  enabled: true

# --- Политика: генерация NetworkPolicy ---
generateNetworkPolicy:
  enabled: true
  excludedNamespaces:
    - monitoring
    - logging
    - istio-system