安全沙箱兼容性说明

本文列举安全沙箱运行时兼容的Pod字段来帮助您更高效地使用安全沙箱运行时。

背景信息

安全沙箱作为一种新的容器运行时,除了在创建安全沙箱(runV)容器时不支持Pod层面的个别字段之外,其他兼容性与runC容器一致,如Pod(Container) 网络、Service网络(ClusterIP、NodePort)、镜像等等。用户在使用安全沙箱容器运行时,无需改变任何开发模式、镜像打包等。

Pod兼容字段列表

在Pod API层面,安全沙箱运行时兼容的字段如下所示。

字段

是否兼容

activeDeadlineSecons

兼容

affinity

兼容

automountServiceAccountToken

兼容

containers

  • 兼容字段

    args、command、env、envFrom、image、imagePullPolicy、lifecycle、livenessProbe、name、ports、readinessProbe、resources、startupProbe、stdin、stdinOnce、terminationMessagePath、terminationMessagePolicy、tty、volumeDevices、volumeMounts、workingDir、以及securityContext字段下的allowPrivilegeEscalation、capabilities、procMount、readOnlyRootFilesystem、runAsGroup、runAsNonRoot、runAsUser、seLinuxOptions

  • 不兼容字段

    privileged、windowsOptions

dnsConfig

兼容

dnsPolicy

兼容

enableServiceLinks

兼容

hostAliases

兼容

hostIPC

不兼容

hostNetwork

不兼容

hostPID

不兼容

hostname

兼容

imagePullSecrets

兼容

initContainers

兼容

nodeName

兼容

nodeSelector

兼容

priority

兼容

priorityClassName

兼容

readinessGates

兼容

restartPolicy

兼容

runtimeClassName

兼容

schedulerName

兼容

securityContext

兼容

该字段下的fsGroup、runAsGroup、runAsNonRoot、runAsUser、seLinuxOptions、supplementalGroups、sysctls字段也兼容。

serviceAccount

兼容

serviceAccountName

兼容

shareProcessNamespace

不兼容

subdomain

兼容

terminationGracePeriodSeconds

兼容

tolerations

兼容

volumes

兼容