8.2. Politiques SELinux étendues pour les pods virt-launcher
La politique SELinux de container_t pour les pods virt-launcher est étendue pour permettre les fonctions essentielles d'OpenShift Virtualization.
La stratégie suivante est requise pour la mise en place d'une file d'attente réseau, ce qui permet d'adapter les performances du réseau à l'augmentation du nombre de vCPU disponibles :
-
allow process self (tun_socket (relabelfrom relabelto attach_queue))
-
La politique suivante autorise
virt-launcherà lire les fichiers du répertoire/proc, y compris/proc/cpuinfoet/proc/uptime:-
allow process proc_type (file (getattr open read))
-
La stratégie suivante autorise
libvirtdà relayer les messages de débogage liés au réseau.allow process self (netlink_audit_socket (nlmsg_relay))NoteSans cette politique, toute tentative de relayer les messages de débogage du réseau est bloquée. Cela pourrait remplir les journaux d'audit du nœud avec des refus SELinux.
Les règles suivantes permettent à
libvirtdd'accéder àhugetblfs, ce qui est nécessaire pour prendre en charge les pages volumineuses :-
allow process hugetlbfs_t (dir (add_name create write remove_name rmdir setattr)) -
allow process hugetlbfs_t (file (create unlink))
-
Les stratégies suivantes permettent à
virtiofsde monter des systèmes de fichiers et d'accéder à NFS :-
allow process nfs_t (dir (mounton)) -
allow process proc_t (dir (mounton)) -
allow process proc_t (filesystem (mount unmount))
-
La politique suivante est héritée de Kubevirt en amont, où elle active le réseau
passt:-
allow process tmpfs_t (filesystem (mount))
-
OpenShift Virtualization ne prend pas en charge passt pour le moment.
