Я прочитал оригинальный код проекта moby и прочитал код seccomp в папке moby/profiles.Я знаю, что докер использует libseccomp-golang для поддержки этой функции.
Обычно мы используем API libseccomp.NewFilter() для создания фильтра seccomp.Однако я не вижу никакого API в libseccomp, который был задействован в проекте, кроме libseccomp.GetNativeArch(), который можно увидеть в
moby/profiles/seccomp/seccomp.go
Так что мне интересно, как демон docker инициализирует фильтр seccompдля каждого контейнера?Пожалуйста, поправьте меня, если я ошибаюсь.