我需要将自定义seccomp配置文件传递给在Docker群上运行的容器。使用--security-opt选项可以轻松完成此操作,并且可以在独立容器中正常工作。当您尝试将其传递给正在群集中运行的容器时,就会出现问题。 Docker撰写文件第3版文档明确指出,对于群集部署,将忽略--security-opt选项:https://docs.docker.com/compose/compose-file/#security_opt
在群中部署时,如何将自定义seccomp配置文件传递给容器或服务?还有其他方法可以更改容器的系统限制吗? cap_add和/或cap_drop不是一个选项。有任何想法吗?太感谢了!
答案 0 :(得分:1)
现在在Swarm模式下没有选项可以执行此操作。如果您的容器需要这些选项,则需要在Swarm模式之外运行它们。
要跟踪添加此功能的进度:
目标是使自由权利提供一种简单的方法,以简化的用户体验来调整功能,seccomp和其他安全功能。是否首先发生这种情况,还是swarmkit直接实现某些功能,取决于提交PR的人。