10.2.2. カスタム seccomp プロファイルのワークロードへの適用

前提条件

  • クラスター管理者はカスタム seccomp プロファイルを設定している。詳細は、「カスタム seccomp プロファイルの設定」を参照してください。

手順

  • securityContext.seccompProfile.typeフィールドを次のように設定して、seccompプロファイルをワークロードに適用します。

    spec:
      securityContext:
        seccompProfile:
          type: Localhost
          localhostProfile: <custom-name>.json 1

    1
    カスタムseccompプロファイルの名前を入力します。

    または、Pod アノテーション seccomp.security.alpha.kubernetes.io/pod: localhost/<custom-name>.json を使用できます。ただし、この方法は OpenShift Container Platform 4.7 では非推奨になりました。

デプロイメント時に、受付コントローラーは以下を検証します。

  • 現在の SCC に対するアノテーションがユーザーロールで許可されている。
  • seccomp プロファイルを含む SCC が Pod で許可されている。

SCC が Pod で許可される場合には、kubelet は指定された seccomp プロファイルで Pod を実行します。

重要

seccomp プロファイルがすべてのワーカーノードにデプロイされていることを確認します。

注記

カスタム SCC は、Pod に適切な優先順位で自動的に割り当てられるか、または CAP_NET_ADMIN を許可するなど、Pod で必要な他の条件を満たす必要があります。