我可以在集群级别启用 pod 以使用默认的 secomp 和 apparmor 配置文件,还是我需要制作自己的准入控制器以将注释插入对象?
将其留给用户不是一种选择。
问问题
261 次
1 回答
3
已经有一个PodSecurityPolicy对象,它本质上是一个准入控制器的实现。您可以使用 PodSecurityPolicy 中的注释来控制seccomp和配置文件:apparmor
例如(如文档中所述),请注意注释中的“默认”:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: restricted
annotations:
seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
seccomp.security.alpha.kubernetes.io/defaultProfileName: 'docker/default'
apparmor.security.beta.kubernetes.io/defaultProfileName: 'runtime/default'
spec:
...
于 2018-10-29T22:16:42.610 回答