容器运行时安全（Seccomp、AppArmor、Capabilities 与验证）

容器运行时安全（Seccomp、AppArmor、Capabilities 与验证）关键实践与参数Seccomp：过滤系统调用；使用 `RuntimeDefault` 或自定义配置。AppArmor：为容器进程设定访问控制策略，限制文件与网络操作。Capabilities：移除不必要能力（如 `NET_ADMIN`），仅保留需要的最小集合。验证方法运行安全测试与故障演练；检查被拒绝操作与日志。观察应用功能是否受限；调整白名单与策略。结合 PSS 与 Admission 校验，形成多层防护。注意事项策略需版本化与审计；避免放宽与漂移。与镜像与运行时选择兼容；不同发行版差异。性能影响评估；过度限制可能造成功能异常。