我可以在集群级别上启用Pod以使用默认的secomp和apparmor配置文件,还是需要自己创建一个接纳 Controller 才能将注释插入对象?
将其留给用户不是一种选择。
最佳答案
已经存在 PodSecurityPolicy 对象,该对象实质上是准入 Controller 的实现。您可以使用PodSecurityPolicy中的注释来控制 seccomp 和 apparmor 配置文件:
例如(如docs中所述),请注意注释中的“默认”:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: restricted
annotations:
seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
seccomp.security.alpha.kubernetes.io/defaultProfileName: 'docker/default'
apparmor.security.beta.kubernetes.io/defaultProfileName: 'runtime/default'
spec:
...
请注意,在撰写本文时,Seccomp是alpha,而Apparmor是beta。
关于kubernetes - 启用默认的secomp和apparmor配置文件,集群级别,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/53053263/