Doc: Add "CRI-O: Applying seccomp profiles from OCI registries" #5

b1gb4by · 2024-03-12T15:50:10Z

No description provided.

ystkfujii · 2024-04-01T12:22:20Z

2024-03-07-cri-o-seccomp-oci-artifacts/2024-03-07-cri-o-seccomp-oci-artifacts.md

+
+- 特定のコンテナ用のseccompプロファイルは、次のように使用されます：
+`seccomp-profile.kubernetes.cri-o.io/<CONTAINER>`（例：`seccomp-profile.kubernetes.cri-o.io/webserver: 'registry.example/example/webserver:v1'`）
+- ポッド内のすべてのコンテナに対するseccompプロファイルは、コンテナ名の接尾辞を使用せず、予約された名前`POD`を使用して次のように使用されます：`seccomp-profile.kubernetes.cri-o.io/POD`


Suggested change

- ポッド内のすべてのコンテナに対するseccompプロファイルは、コンテナ名の接尾辞を使用せず、予約された名前`POD`を使用して次のように使用されます：`seccomp-profile.kubernetes.cri-o.io/POD`

- Pod内のすべてのコンテナに対するseccompプロファイルは、コンテナ名の接尾辞を使用せず、予約された名前`POD`を使用して次のように使用されます：`seccomp-profile.kubernetes.cri-o.io/POD`

ystkfujii · 2024-04-01T12:23:16Z

2024-03-07-cri-o-seccomp-oci-artifacts/2024-03-07-cri-o-seccomp-oci-artifacts.md

+`seccomp-profile.kubernetes.cri-o.io/<CONTAINER>`. Those annotations allow you
+to specify:
+
+Kubernetesのコンテナランタイム[CRI-O](https://github.com/cri-o/cri-o)は、カスタムアノテーションを使用してさまざまな機能を提供しています。v1.30のリリースでは、新しいセットのアノテーションである`seccomp-profile.kubernetes.cri-o.io/POD`と`seccomp-profile.kubernetes.cri-o.io/<CONTAINER>`のサポートが[追加](https://github.com/cri-o/cri-o/pull/7719)されました。これらのアノテーションを使用すると、以下を指定することができます：


アノテーションの新しい集合の方がよい？

https://kubernetes.io/ja/docs/contribute/localization/#%E9%A0%BB%E5%87%BA%E5%8D%98%E8%AA%9E

ystkfujii · 2024-04-01T12:31:57Z

2024-03-07-cri-o-seccomp-oci-artifacts/2024-03-07-cri-o-seccomp-oci-artifacts.md

+```
+
+```shell
+# Inspect the plain manifest of the image


訳した方がいい説

ystkfujii · 2024-04-01T12:33:35Z

2024-03-07-cri-o-seccomp-oci-artifacts/2024-03-07-cri-o-seccomp-oci-artifacts.md

+Now that the cluster is up and running, let's try a pod without the annotation
+running as seccomp `Unconfined`:
+
+これを実証するために、[`local-up-cluster.sh`](https://github.com/cri-o/cri-o?tab=readme-ov-file#running-kubernetes-with-cri-o)を使って単一ノードのKubernetesクラスターをセットアップし、コマンドラインから`crio`バイナリを実行しました。クラスターが稼働しているので、アノテーションのないポッドをseccomp `Unconfined`として実行してみます:


全体的にポッド -> Podにした方がよいかも

b1gb4by · 2024-04-01T12:53:36Z

スタッキング＝積層

b1gb4by · 2024-06-12T02:44:13Z

@ystkfujii
修正済みです。

公式もすでに出ちゃってますがww
https://kubernetes.io/ja/blog/2024/03/07/cri-o-seccomp-oci-artifacts/

Doc: Add "CRI-O: Applying seccomp profiles from OCI registries"

ea88521

b1gb4by self-assigned this Mar 12, 2024

ystkfujii reviewed Apr 1, 2024

View reviewed changes

b1gb4by added 2 commits April 1, 2024 16:45

Doc: Fix

fe81fcd

Doc: Fix

4829bea

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Doc: Add "CRI-O: Applying seccomp profiles from OCI registries" #5

Doc: Add "CRI-O: Applying seccomp profiles from OCI registries" #5

b1gb4by commented Mar 12, 2024

ystkfujii Apr 1, 2024

ystkfujii Apr 1, 2024

ystkfujii Apr 1, 2024

ystkfujii Apr 1, 2024

b1gb4by commented Apr 1, 2024

b1gb4by commented Jun 12, 2024

	- ポッド内のすべてのコンテナに対するseccompプロファイルは、コンテナ名の接尾辞を使用せず、予約された名前`POD`を使用して次のように使用されます：`seccomp-profile.kubernetes.cri-o.io/POD`
	- Pod内のすべてのコンテナに対するseccompプロファイルは、コンテナ名の接尾辞を使用せず、予約された名前`POD`を使用して次のように使用されます：`seccomp-profile.kubernetes.cri-o.io/POD`

Doc: Add "CRI-O: Applying seccomp profiles from OCI registries" #5

Are you sure you want to change the base?

Doc: Add "CRI-O: Applying seccomp profiles from OCI registries" #5

Conversation

b1gb4by commented Mar 12, 2024

ystkfujii Apr 1, 2024

Choose a reason for hiding this comment

ystkfujii Apr 1, 2024

Choose a reason for hiding this comment

ystkfujii Apr 1, 2024

Choose a reason for hiding this comment

ystkfujii Apr 1, 2024

Choose a reason for hiding this comment

b1gb4by commented Apr 1, 2024

b1gb4by commented Jun 12, 2024