Как ограничить привилегии подов через SecurityContext?

SecurityContext на уровне pod и container. runAsNonRoot: true запрещает root. runAsUser: 1000 задаёт UID. readOnlyRootFilesystem: true делает filesystem read-only. allowPrivilegeEscalation: false запрещает получение дополнительных прав. capabilities: drop: ["ALL"] убирает все Linux capabilities. Pod Security Standards (Restricted, Baseline, Privileged) задают наборы этих политик на уровне namespace.