用于在容器中实施不可变根文件系统的内置策略通过原生排除项提供细粒度控制。该策略通过 Azure Policy Add-on for Kubernetes 实现，作为 Gatekeeper 约束。关键的排除参数包括特定容器名称、镜像前缀以及整个命名空间。这些参数允许进行精确配置，而无需完整的策略豁免。例如，可以排除 kube-system 等系统命名空间。配置可通过 Defender for Cloud 的“采取行动”选项卡或通过安全策略中的环境设置进行管理。如果多个容器确实无法以只读方式运行，建议排除特定容器名称。此方法可确保策略在集群其余部分继续强制执行。完整的策略豁免应保留用于合规性和审计跟踪。基于参数的排除项是处理操作例外时更原生且可维护性更高的解决方案。