3

我需要将自定义 seccomp 配置文件传递给在 Docker swarm 上运行的容器。它可以很容易地完成,并且可以使用 --security-opt 选项与独立容器一起正常工作。当您尝试将其传递给在 swarm 上运行的容器时,就会出现问题。Docker compose file ver 3 文档明确指出,集群部署忽略了 --security-opt 选项:https ://docs.docker.com/compose/compose-file/#security_opt

在集群上部署时,如何将自定义 seccomp 配置文件传递给容器或服务?有没有其他方法可以改变容器的系统限制?cap_add 和/或 cap_drop 不是一个选项。有任何想法吗?太感谢了!

4

1 回答 1

2

目前在 Swarm 模式下没有选项可以执行此操作。如果您有需要这些选项的容器,则需要在 Swarm 模式之外运行它们。

要跟踪添加此功能的进度:

目标是让 libentitlement 提供一种简单的方法来调整功能、seccomp 和其他安全功能,同时简化用户体验。是先发生这种情况,还是 swarmkit 直接实现某些东西,取决于提交 PR 的人。

于 2018-08-07T11:55:56.807 回答