8.2. virt-launcher Pod の拡張 SELinux ポリシー


virt-launcher Pod の container_t SELinux ポリシーが拡張され、OpenShift 仮想化の重要な機能が有効になります。

  • ネットワークマルチキューには次のポリシーが必要です。これにより、使用可能な vCPU の数が増加するにつれてネットワークパフォーマンスを拡張できます。

    • allow process self (tun_socket (relabelfrom relabelto attach_queue))
  • 次のポリシーによって、virt-launcher/proc/cpuinfo および /proc/uptime を含む /proc ディレクトリーの下のファイルを読み取ることができます。

    • allow process proc_type (file (getattr open read))
  • 次のポリシーによって、libvirtd がネットワーク関連のデバッグメッセージをリレーできます。

    • allow process self (netlink_audit_socket (nlmsg_relay))

      注記

      このポリシーがない場合、ネットワークデバッグメッセージをリレーしようとする試みはブロックされます。これにより、ノードの監査ログが SELinux 拒否でいっぱいになる可能性があります。

  • 次のポリシーによって、libvirtdhugetblfs にアクセスできます。これは、巨大なページをサポートするために必要です。

    • allow process hugetlbfs_t (dir (add_name create write remove_name rmdir setattr))
    • allow process hugetlbfs_t (file (create unlink))
  • 次のポリシーによって、virtiofs がファイルシステムをマウントし、NFS にアクセスできます。

    • allow process nfs_t (dir (mounton))
    • allow process proc_t (dir (mounton))
    • allow process proc_t (filesystem (mount unmount))
  • 次のポリシーは、passt ネットワーキングを有効にする上流の Kubevirt から継承されます。

    • プロセス tmpfs_t を許可 (ファイルシステム (マウント))
注記

OpenShift Virtualization は現時点で passt をサポートしていません。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.