Menu Close

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

32.3. 为 Seccomp 配置 OpenShift Container Platform

seccomp 配置集是一个 json 文件,它提供 syscalls 以及调用 syscall 时要执行的相应操作。

  1. 创建 seccomp 配置文件。

    在很多情况下,默认配置集 就足够了,但集群管理员必须定义单个系统的安全性限制。

    要创建自己的自定义配置集,请在 seccomp-profile-root 目录中的每个节点上创建一个文件。

    如果您使用默认的 docker/default 配置集,则不需要创建一个。

  2. 将节点配置为使用 seccomp-profile-root 目录,通过 kubeletArguments 在适当的 节点配置映射 中存储您的配置集:

    kubeletArguments:
      seccomp-profile-root:
        - "/your/path"
  3. 重启节点服务以应用更改:

    # systemctl restart atomic-openshift-node
  4. 为了控制可以使用哪些配置文件,若要设置默认配置集,可通过 seccompProfiles 字段 配置 SCC。第一个配置集将用作默认值。

    seccompProfiles 字段允许的格式包括:

    • docker/default :容器运行时的默认配置文件(不需要配置集)
    • unconfined: unconfined profile,并禁用 seccomp
    • localhost/<profile-name> :安装到节点的本地 seccomp 配置集根目录中的配置集

      例如,如果您使用默认的 docker/default 配置集,请将 SCC 配置为:

      seccompProfiles:
      - docker/default