32.3. 为 Seccomp 配置 OpenShift Container Platform
seccomp 配置集是一个 json 文件,提供 syscalls 以及调用 syscall 时要采取的适当操作。
创建 seccomp 配置集。
在很多情况下,默认配置集 已经足够了,但集群管理员必须定义单个系统的安全限制。
要创建自己的自定义配置集,请在
seccomp-profile-root目录中的每个节点创建一个文件。如果您使用默认的 docker/default 配置集,则不需要创建一个。
将节点配置为使用 seccomp-profile-root 目录,在适当的节点 配置映射中 使用 kubeletArguments 存储您的配置集:
kubeletArguments: seccomp-profile-root: - "/your/path"重启节点服务以应用更改:
# systemctl restart atomic-openshift-node
为了控制可以使用了哪些配置集以及设置默认配置集,请通过 seccompProfiles 字段配置您的 SCC。第一个配置集将用作默认值。
seccompProfiles 字段的允许格式包括:
- docker/default :容器运行时的默认配置文件(不需要配置集)
- unconfined: unconfined 配置集,禁用 seccomp
localhost/<profile-name > :安装到节点的本地 seccomp 配置集根目录
例如,如果您使用默认的 docker/default 配置集,请将 SCC 配置为:
seccompProfiles: - docker/default
