我可以在集群级别启用pod使用默认的secomp和apparmor配置文件吗?还是我需要自己制作一个准入控制器来将innation插入对象?
将其留给用户不是一种选择。
已经有了PodSecurityPolicy对象,它本质上是准入控制器的实现。您可以使用PodSecurityPolicy:中的注释来控制seccomp和apparmor配置文件
例如(如文档中所述(,请注意注释中的"默认":
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: restricted
annotations:
seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
seccomp.security.alpha.kubernetes.io/defaultProfileName: 'docker/default'
apparmor.security.beta.kubernetes.io/defaultProfileName: 'runtime/default'
spec:
...
请注意,截至本文撰写之时,Seccomp是alpha,Apparmor是beta。