32.3. Seccomp용 OpenShift Container Platform 구성
seccomp 프로필은 syscall을 제공하고 syscall을 호출할 때 수행할 적절한 작업을 제공하는 json 파일입니다.
seccomp 프로필을 생성합니다.
기본 프로필 은 대부분의 경우 충분하지만 클러스터 관리자는 개별 시스템의 보안 제한 조건을 정의해야 합니다.
고유한 사용자 지정 프로필을 만들려면
seccomp-profile-root디렉터리의 모든 노드에 파일을 생성합니다.기본 docker/default 프로필을 사용하는 경우 이를 생성할 필요가 없습니다.
적절한 노드 구성 맵에 kubeletArguments 를 사용하여 프로필을 저장하도록 seccomp-profile-root 디렉토리를 사용하도록 노드를 설정합니다.
kubeletArguments: seccomp-profile-root: - "/your/path"노드 서비스를 다시 시작하여 변경 사항을 적용합니다.
# systemctl restart atomic-openshift-node
사용할 수 있는 프로필을 제어하고 기본 프로필을 설정하려면 seccompProfiles 필드를 통해 SCC를 구성합니다. 첫 번째 프로필은 기본값으로 사용됩니다.
seccompProfiles 필드의 허용 가능한 형식은 다음과 같습니다.
- docker/default: 컨테이너 런타임의 기본 프로필(프로필 필요 없음)
- unconfined: 제한되지 않은 프로파일, seccomp를 비활성화합니다.
localhost/<profile-name>: 노드의 로컬 seccomp 프로필 루트에 설치된 프로파일
예를 들어 기본 docker/default 프로필을 사용하는 경우 다음을 사용하여 SCC를 구성합니다.
seccompProfiles: - docker/default
