如果我们在 docker 守护进程上设置 seccomp 或直接在运行时设置 seccomp 有什么区别吗?

问题描述 投票:0回答:1

我看到有两种方法可以在 docker 中设置 seccomp 配置文件,第一种是将其添加到 docker 守护进程的配置文件中:

{
    "seccomp-profile": "/etc/docker/profile.json",
    ...
}

但是我们也可以在使用

docker run
时直接添加它,如下所示:

$ docker run --rm \
             -it \
             --security-opt seccomp=/path/to/seccomp/profile.json \
             hello-world

我真正无法理解的是,有什么区别吗?如果它已经在守护进程配置文件中,是否已经为所有容器设置了? 如何验证?

docker security docker-compose daemon seccomp
1个回答
0
投票

如果您想将该配置文件应用于主机上的所有容器,那么这两个选项应该达到相同的结果。

但是,不建议更改 Docker 的默认 seccomp 配置文件。相反,最好在每个容器的基础上覆盖它,如第二个示例中所示。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.