Chapitre 8. Politiques de sécurité
Les charges de travail des machines virtuelles (VM) s'exécutent en tant que pods non privilégiés. Pour que les VM puissent utiliser les fonctionnalités de virtualisation d'OpenShift, certains pods bénéficient de politiques de sécurité personnalisées qui ne sont pas disponibles pour les autres propriétaires de pods :
-
Une politique SELinux étendue
container_ts'applique aux podsvirt-launcher. -
Des contraintes de contexte de sécurité (SCC) sont définies pour le compte de service
kubevirt-controller.
8.1. Sécurité de la charge de travail
Par défaut, les charges de travail des machines virtuelles (VM) ne s'exécutent pas avec les privilèges root dans OpenShift Virtualization.
Pour chaque VM, un pod virt-launcher exécute une instance de libvirt dans session mode pour gérer le processus de la VM. En mode session, le démon libvirt s'exécute en tant que compte d'utilisateur non root et n'autorise que les connexions des clients qui s'exécutent sous le même identifiant d'utilisateur (UID). Par conséquent, les VM s'exécutent en tant que pods non privilégiés, conformément au principe de sécurité du moindre privilège.
Il n'y a pas de fonctionnalités OpenShift Virtualization supportées qui requièrent des privilèges root. Si une fonctionnalité nécessite des privilèges root, il se peut qu'elle ne soit pas supportée pour une utilisation avec OpenShift Virtualization.
