8.2. virt-launcher Pod の拡張 SELinux ポリシー
virt-launcher
Pod の container_t
SELinux ポリシーが拡張され、OpenShift 仮想化の重要な機能が有効になります。
ネットワークマルチキューには次のポリシーが必要です。これにより、使用可能な vCPU の数が増加するにつれてネットワークパフォーマンスを拡張できます。
-
allow process self (tun_socket (relabelfrom relabelto attach_queue))
-
次のポリシーによって、
virt-launcher
が/proc/cpuinfo
および/proc/uptime
を含む/proc
ディレクトリーの下のファイルを読み取ることができます。-
allow process proc_type (file (getattr open read))
-
次のポリシーによって、
libvirtd
がネットワーク関連のデバッグメッセージをリレーできます。allow process self (netlink_audit_socket (nlmsg_relay))
注記このポリシーがない場合、ネットワークデバッグメッセージをリレーしようとする試みはブロックされます。これにより、ノードの監査ログが SELinux 拒否でいっぱいになる可能性があります。
次のポリシーによって、
libvirtd
がhugetblfs
にアクセスできます。これは、巨大なページをサポートするために必要です。-
allow process hugetlbfs_t (dir (add_name create write remove_name rmdir setattr))
-
allow process hugetlbfs_t (file (create unlink))
-
次のポリシーによって、
virtiofs
がファイルシステムをマウントし、NFS にアクセスできます。-
allow process nfs_t (dir (mounton))
-
allow process proc_t (dir (mounton))
-
allow process proc_t (filesystem (mount unmount))
-
次のポリシーは、
passt
ネットワーキングを有効にする上流の Kubevirt から継承されます。-
プロセス tmpfs_t を許可 (ファイルシステム (マウント))
-
OpenShift Virtualization は現時点で passt
をサポートしていません。