我看到有两种方法可以在 docker 中设置 seccomp 配置文件,第一种是将其添加到 docker 守护进程的配置文件中:
{
"seccomp-profile": "/etc/docker/profile.json",
...
}
但是我们也可以在使用
docker run
时直接添加它,如下所示:
$ docker run --rm \
-it \
--security-opt seccomp=/path/to/seccomp/profile.json \
hello-world
我真正无法理解的是,有什么区别吗?如果它已经在守护进程配置文件中,是否已经为所有容器设置了? 如何验证?
如果您想将该配置文件应用于主机上的所有容器,那么这两个选项应该达到相同的结果。
但是,不建议更改 Docker 的默认 seccomp 配置文件。相反,最好在每个容器的基础上覆盖它,如第二个示例中所示。