CRI-O: OCIレジストリーからのseccompプロファイル適用

- Seccompは、ユーザースペースから行われるカーネルコールを制限し、セキュリティを向上させる。 - Kubernetesでseccompプロファイルを分配するのは困難で、すべてのノードでそれらが利用可能である必要があるため。 - CRI-Oランタイムは、新しいアノテーションを導入し、特定のコンテナ、ポッド、コンテナイメージに対するseccompプロファイルを指定できる。 - ユーザーは、OCIアーティファクトとしてseccompプロファイルを参照し、コンテナイメージと一緒にプロファイルを配布できる。 - CRI-Oが設定されている場合は、指定されたOCIアーティファクトをプルし適用する。 - Unconfinedとして実行されるワークロードは、新しいアノテーションを使用できる。 - 特定のコンテナに対するアノテーション、またはPODという予約名を使用してポッド全体に対するアノテーションを適用できる。 - コンテナイメージは、seccompアノテーションを持つことができ、該当のイメージを使用するポッドに適用される。 - 画像アノテーションは、Podアノテーションと似ており、ポッド全体に適用される。 - これらの機能で、コンテナイメージ固有のseccompプロファイルを作成し、レジストリーで画像と一緒にそれらを保存できる。