启用默认的 secomp 和 apparmor 配置文件,集群级别
Enable default secomp and apparmor profiles , cluster level
我能否在集群级别启用 pods 使用默认的 secomp 和 apparmor 配置文件,或者我是否需要制作自己的准入控制器以将注释插入到对象中?
将其留给用户不是一种选择。
PodSecurityPolicy 中已经有 PodSecurityPolicy object which essentially is an implementation of an admission controller. You can control the seccomp and apparmor 个使用注解的配置文件:
例如(如docs中所述),注意注解中的'default':
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: restricted
annotations:
seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
seccomp.security.alpha.kubernetes.io/defaultProfileName: 'docker/default'
apparmor.security.beta.kubernetes.io/defaultProfileName: 'runtime/default'
spec:
...
我能否在集群级别启用 pods 使用默认的 secomp 和 apparmor 配置文件,或者我是否需要制作自己的准入控制器以将注释插入到对象中?
将其留给用户不是一种选择。
PodSecurityPolicy 中已经有 PodSecurityPolicy object which essentially is an implementation of an admission controller. You can control the seccomp and apparmor 个使用注解的配置文件:
例如(如docs中所述),注意注解中的'default':
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: restricted
annotations:
seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
seccomp.security.alpha.kubernetes.io/defaultProfileName: 'docker/default'
apparmor.security.beta.kubernetes.io/defaultProfileName: 'runtime/default'
spec:
...