Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我想限制一个进程(在 docker 容器中运行)执行某些功能 - 我有 2 个选项,要么限制它的功能,要么我使用 seccomp 配置文件。
我的问题是在什么情况下选择哪个选项?我对这个领域比较陌生,所以非常欢迎简单的解释。
基本上,seccomp提供比 Linux 更细粒度的控制capabilities。
seccomp
capabilities
如果您计划旋转多个容器并且希望避免复制添加/删除功能,seccomp则可以是一个更快的解决方案(DRY原则)。
虽然,如果您只需要(原文如此)绑定到主机网络,您可以使用这些NET_ADMIN功能而无需写下整个seccomp配置文件。
NET_ADMIN