Menu Close
Red Hat Training
A Red Hat training course is available for OpenShift Container Platform
32.3. 为 Seccomp 配置 OpenShift Container Platform
seccomp 配置集是一个 json 文件,它提供 syscalls 以及调用 syscall 时要执行的相应操作。
创建 seccomp 配置文件。
在很多情况下,默认配置集 就足够了,但集群管理员必须定义单个系统的安全性限制。
要创建自己的自定义配置集,请在
seccomp-profile-root
目录中的每个节点上创建一个文件。如果您使用默认的 docker/default 配置集,则不需要创建一个。
将节点配置为使用 seccomp-profile-root 目录,通过 kubeletArguments 在适当的 节点配置映射 中存储您的配置集:
kubeletArguments: seccomp-profile-root: - "/your/path"
重启节点服务以应用更改:
# systemctl restart atomic-openshift-node
为了控制可以使用哪些配置文件,若要设置默认配置集,可通过 seccompProfiles 字段 配置 SCC。第一个配置集将用作默认值。
seccompProfiles 字段允许的格式包括:
- docker/default :容器运行时的默认配置文件(不需要配置集)
- unconfined: unconfined profile,并禁用 seccomp
localhost/<profile-name> :安装到节点的本地 seccomp 配置集根目录中的配置集
例如,如果您使用默认的 docker/default 配置集,请将 SCC 配置为:
seccompProfiles: - docker/default