Итак, он пока не поддерживается, как Докер согласно это (как указано в комментариях) и это .
Однако, если вы хотите изолировать свои рабочие нагрузки, есть и другие альтернативы (это не то же самое, но варианты довольно хорошие):
Вы можете использовать Pod Политики безопасности и, в частности, вы можете использовать RunAsUser вместе с AllowPrivilegeEscalation = false . Политики безопасности Pod могут быть привязаны к RBAC, так что вы можете ограничить то, как пользователи запускают свои модули.
Другими словами, вы можете заставить своих пользователей запускать модули только как «youruser» и отключить флаг privileged в модуле securityContext. Вы также можете отключить sudo и в ваших изображениях контейнера.
Кроме того, вы можете отказаться от Linux Capabilities , в частности CAP_SETUID. А еще более продвинутый - использовать профиль seccomp , использовать профиль SElinux или Apparmor .
Другие альтернативы для запуска ненадежных рабочих нагрузок (в альфа-версии на момент написания):