CRI-O: OCI 레지스트리에서 seccomp 프로필 적용

- Seccomp는 사용자 공간에서 만들어진 커널 호출을 제한하여 보안을 강화합니다. - Kubernetes에서 seccomp 프로필을 분산하는 것은 모든 노드에 프로필이 있어야 하므로 어려움이 있습니다. - CRI-O 런타임은 특정 컨테이너, 파드 또는 컨테이너 이미지에 대한 seccomp 프로필을 지정할 수 있는 새로운 주석을 도입합니다. - 사용자는 OCI 아티팩트로 seccomp 프로필을 참조할 수 있으며, 컨테이너 이미지와 함께 프로필을 배포할 수 있습니다. - CRI-O는 런타임이 허용하는 경우 지정된 OCI 아티팩트를 가져와 적용합니다. - Unconfined로 실행되는 워크로드는 새로운 주석을 사용할 수 있습니다. - 특정 컨테이너에 주석을 적용하거나 POD라는 예약된 이름을 사용하여 파드 전체에 적용할 수 있습니다. - 컨테이너 이미지는 파드가 사용하는 이미지에 대한 seccomp 주석을 가질 수 있습니다. - 컨테이너 이미지에 대한 주석은 파드 주석과 유사하게 작동하고 파드 전체에 적용됩니다. - 이 기능은 컨테이너 이미지에 특정 seccomp 프로필을 생성하고 레지스트리에서 이미지를 함께 저장할 수 있도록 허용합니다.