https://docs.docker.com/engine/security/seccomp/

seccomp 选项可以控制容器内可以执行的系统调用。可以用 --security-opt seccomp=/path/to/seccomp/profile.json，也可以用 --security-opt seccomp=unconfined 表示不受限。

This feature is available only if Docker has been built with seccomp and the kernel is configured with CONFIG_SECCOMP enabled.

之所以用这个选项，是前段时间有个要跑的服务启动失败了，和其他同类服务比较发现没有加 seccomp 选项。