Уже существует объект PodSecurityPolicy, который по сути является реализацией контроллера доступа. Вы можете управлять профилями seccomp и apparmor, используя аннотации в PodSecurityPolicy:
Например (как описано в документах ), обратите внимание на «по умолчанию» в аннотации:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: restricted
annotations:
seccomp.security.alpha.kubernetes.io/allowedProfileNames: 'docker/default'
apparmor.security.beta.kubernetes.io/allowedProfileNames: 'runtime/default'
seccomp.security.alpha.kubernetes.io/defaultProfileName: 'docker/default'
apparmor.security.beta.kubernetes.io/defaultProfileName: 'runtime/default'
spec:
...
Обратите внимание, что Seccomp - это альфа, а Apparmor - это бета-версия на момент написания этой статьи.