安全沙箱相容性說明 - Container Service for Kubernetes

本文列舉安全沙箱運行時相容的Pod欄位來協助您更高效地使用安全沙箱運行時。

背景資訊

安全沙箱作為一種新的容器運行時，除了在建立安全沙箱（runV）容器時不支援Pod層面的個別欄位之外，其他相容性與runC容器一致，如Pod（Container）網路、Service網路（ClusterIP、NodePort）、鏡像等等。使用者在使用安全沙箱容器運行時，無需改變任何開發模式、鏡像打包等。

Pod相容欄位列表

在Pod API層面，安全沙箱運行時相容的欄位如下所示。

欄位	是否相容
activeDeadlineSecons	相容
affinity	相容
automountServiceAccountToken	相容
containers	相容欄位 args、command、env、envFrom、image、imagePullPolicy、lifecycle、livenessProbe、name、ports、readinessProbe、resources、startupProbe、stdin、stdinOnce、terminationMessagePath、terminationMessagePolicy、tty、volumeDevices、volumeMounts、workingDir、以及securityContext欄位下的allowPrivilegeEscalation、capabilities、procMount、readOnlyRootFilesystem、runAsGroup、runAsNonRoot、runAsUser、seLinuxOptions 不相容欄位 privileged、windowsOptions
dnsConfig	相容
dnsPolicy	相容
enableServiceLinks	相容
hostAliases	相容
hostIPC	不相容
hostNetwork	不相容
hostPID	不相容
hostname	相容
imagePullSecrets	相容
initContainers	相容
nodeName	相容
nodeSelector	相容
priority	相容
priorityClassName	相容
readinessGates	相容
restartPolicy	相容
runtimeClassName	相容
schedulerName	相容
securityContext	相容該欄位下的fsGroup、runAsGroup、runAsNonRoot、runAsUser、seLinuxOptions、supplementalGroups、sysctls欄位也相容。
serviceAccount	相容
serviceAccountName	相容
shareProcessNamespace	不相容
subdomain	相容
terminationGracePeriodSeconds	相容
tolerations	相容
volumes	相容