第10章 seccomp プロファイルの設定

OpenShift Container Platform コンテナーまたは Pod は、1 つ以上の明確に定義されたタスクを実行するアプリケーションを1つ実行します。アプリケーションには通常、基礎となるオペレーティングシステムカーネル API の小規模なサブセットのみが必要です。seccomp のセキュアコンピューティングモードは Linux カーネル機能で、これを使用して、コンテナーで実行されているプロセスを制限して、利用可能なシステム呼び出しのサブセットだけが呼び出されるようにできます。これらのシステム呼び出しは、コンテナーまたは Pod に適用されるプロファイルを作成して設定できます。seccomp プロファイルは、ディスクに JSON ファイルとして保存されます。

重要

seccomp プロファイルが適用されていない場合は、OpenShift ワークロードはデフォルトでは制限なしに実行されます。

重要

seccomp プロファイルは特権付きコンテナーに適用できません。

10.1. デフォルトの seccomp プロファイルの設定

OpenShift には、デフォルトの seccomp プロファイルが同梱されており、runtime/default として参照されます。RuntimeDefault を以下のように設定して、Pod またはコンテナーのワークロードのデフォルトの seccomp プロファイルを有効にできます。

spec:
  securityContext:
    seccompProfile:
      type: RuntimeDefault

または、seccomp.security.alpha.kubernetes.io/pod: runtime/default および container.seccomp.security.alpha.kubernetes.io/<container_name>: runtime/default の Pod アノテーションを使用することもできます。ただし、この方法は OpenShift Container Platform 4.6 では非推奨になりました。