Menu Close

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

第 32 章 使用 Seccomp 限制应用程序功能

32.1. 概述

seccomp(安全计算模式)用于限制一组系统调用应用程序,让集群管理员能够更好地控制 OpenShift 容器平台中运行的工作负载的安全性。

seccomp 支持通过 pod 配置中的两个注解来实现:

  • seccomp.security.alpha.kubernetes.io/pod: profile 适用于 pod 中不覆盖的所有容器
  • container.seccomp.security.alpha.kubernetes.io/<container_name>: 特定于容器的配置集覆盖
重要

默认情况下,容器使用 unconfined seccomp 设置运行。

有关详细的设计信息,请参阅 seccomp 设计文档