ZOZOでSREをしている @calorie です。よろしくお願いします。 この記事について seccompとInspektor Gadgetを使いPodのシェルへのアクセスを制限する様子を紹介します。 seccomp seccompはシステムコールを制限するためのカーネルの機能です。以下のスライドが詳しいです。 Kubernetesではノードにseccomp profileをロードし、Podから参照することで使えます。 seccomp profileを書いてシステムコールを制限できればセキュアなPodが手に入りますが、 人の手でシステムコールを取捨選択するのは大抵の場合難しいはずです。 なので、seccomp profileを自動生成したいです。 有名なものであればdocker-slimが挙げられますが、ドキュメントを見る限りはイメージからseccomp profileを生成しているので