我可以在集群级别上启用Pod以使用默认的secomp和apparmor配置文件,还是需要自己创建一个接纳 Controller 才能将注释插入对象?

将其留给用户不是一种选择。

最佳答案

已经存在 PodSecurityPolicy 对象,该对象实质上是准入 Controller 的实现。您可以使用PodSecurityPolicy中的注释来控制 seccomp apparmor 配置文件:

例如(如docs中所述),请注意注释中的“默认”:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted
  annotations:
    seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
    apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
    seccomp.security.alpha.kubernetes.io/defaultProfileName:  'docker/default'
    apparmor.security.beta.kubernetes.io/defaultProfileName:  'runtime/default'
spec:
...

请注意,在撰写本文时,Seccomp是alpha,而Apparmor是beta。

关于kubernetes - 启用默认的secomp和apparmor配置文件,集群级别,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/53053263/

10-11 17:48