某不知名博客
carsaid
2023-12-05
目录

容器AppArmor注释

学习更多

官方文档-使用 AppArmor 限制容器对资源的访问 (opens new window)

# 容器 AppArmor 设置

AppArmor 配置文件是按逐个容器的形式来设置的。要指定用来运行 Pod 容器的 AppArmor 配置文件,请向 Pod 的 metadata 添加注释:

container.apparmor.security.beta.kubernetes.io/<container_name>: <profile_ref>
1

<container_name>的值是配置文件所针对的容器名称,<profile_def>设置要应用的配置文件。 <profile_ref>可以是以下取值之一:

  • runtime/default应用运行时的默认配置
  • localhost/<profile_name>应用在主机上加载的名为<profile_name>的配置文件
  • unconfined表示不加载配置文件

# 验证 AppArmor 设置

要验证是否应用了配置文件,可以在容器创建事件中查找所列出的 AppArmor 安全选项:

kubectl get events | grep Created
1

另一种验证方式,你还可以通过检查容器的 proc attr,直接验证容器的根进程是否以正确的配置文件运行:

kubectl exec <pod_name> -- cat /proc/1/attr/current
1
编辑 (opens new window)
节点角色标签
前言

前言

最近更新
01
API测试笔记
04-30
02
msfvenom
03-29
03
Metasploit
03-29
更多文章>
Theme by Vdoing | Copyright © 2023-2024 Carsaid | MIT License