我正在努力为名为“应限制覆盖或禁用容器 AppArmor 配置文件”的 Azure 策略指定正确的参数值-allowedProfiles
参数。
从 k8s 文档中,我可以kubectl exec <POD_NAME> --namespace="<NAMESPACE>" -- cat /proc/1/attr/current
了解启用了哪些配置文件。当针对几个 pod 运行它时,我可以看到大多数情况下启用了以下配置文件:
cri-containerd.apparmor.d
但是,当我尝试将其放入策略参数allowedProfiles
(值 was [ "cri-containerd.apparmor.d" ]
)时,它不会使资源健康。我也在尝试使用参数提示中的值(即[ "runtime/default", "docker/default"]
),但效果是一样的:仍然是不健康的资源。