我可以在集群级别上启用Pod来使用默认的secomp和apparmor配置文件,还是需要使自己的接纳控制器将注释插入对象中?
将其留给用户是不可能的。
答案 0 :(得分:2)
已经有PodSecurityPolicy对象,该对象本质上是准入控制器的实现。您可以使用PodSecurityPolicy中的注释来控制seccomp和apparmor配置文件:
例如(如docs中所述),请注意注释中的“默认”:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: restricted
annotations:
seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
seccomp.security.alpha.kubernetes.io/defaultProfileName: 'docker/default'
apparmor.security.beta.kubernetes.io/defaultProfileName: 'runtime/default'
spec:
...