CRI-O: Применение профилей seccomp из реестров OCI

- Seccomp ограничивает вызовы ядра из пользовательского пространства, тем самым улучшая безопасность. - Распределение профилей seccomp в Kubernetes является сложным из-за необходимости наличия профилей на всех узлах. - Runtime CRI-O вводит новые аннотации, позволяющие указать профили seccomp для конкретных контейнеров, подов или образов контейнеров. - Пользователи могут ссылаться на профили seccomp как на артефакты OCI, что позволяет распределять профили вместе с образами контейнеров. - CRI-O будет загружать и применять указанный артефакт OCI, если runtime настроен для этого. - Нагрузки, работающие как Unconfined, могут использовать новые аннотации. - Аннотация может быть применена к конкретному контейнеру или ко всему поду, используя зарезервированное имя POD. - Образы контейнеров могут иметь аннотации seccomp, которые применяются к подам, использующим такой образ. - Аннотация для образов контейнеров работает аналогично аннотации для пода и применяется ко всему поду. - Эта функция позволяет создавать профили seccomp, специфичные для образов контейнеров, и хранить их рядом с образами в реестре.