32.3. OpenShift Container Platform での seccomp の設定
seccomp プロファイルは json ファイルであり、システムコールを提供し、システムコールの呼び出し時に取るべき適切なアクションを実行します。
seccomp プロファイルを作成します。
多くの場合は、デフォルトのプロファイル だけで十分ですが、クラスター管理者は個別システムのセキュリティー制約を定義する必要があります。
独自のカスタムプロファイルを作成するには、
seccomp-profile-rootディレクトリーですべてのノードのファイルを作成します。デフォルトの docker/default プロファイルを使用している場合は、これを作成する必要はありません。
適切な ノード設定マップ で、kubeletArguments を使用し、プロファイルを保存するために seccomp-profile-root ディレクトリーを使用するようにノードを設定します。
kubeletArguments: seccomp-profile-root: - "/your/path"変更を適用するためにノードサービスを再起動します。
# systemctl restart atomic-openshift-node
使用できるプロファイルを制御し、デフォルトプロファイルを設定するために、seccompProfiles フィールドで、SCC を設定 します。最初のプロファイルがデフォルトとして使用されます。
seccompProfiles フィールドで使用できる形式には以下が含まれます。
- docker/default: コンテナーランタイムのデフォルトプロファイルです (いずれのプロファイルも不要です)。
- unconfined: 拘束のないプロファイルで、seccomp を無効にします。
localhost/<profile-name>: ノードのローカル seccomp プロファイルの root にインストールされるプロファイルです。
たとえば、デフォルトの docker/default プロファイルを使用している場合、以下で SCC を設定します。
seccompProfiles: - docker/default
