6장. kubevirt-controller 및 virt-launcher에 부여된 추가 보안 권한


kubevirt-controller 및 virt-launcher Pod에는 일반적인 Pod 소유자 외에 일부 SELinux 정책 및 보안 컨텍스트 제약 조건 권한이 부여됩니다. 가상 머신은 이러한 권한을 통해 OpenShift Virtualization 기능을 사용할 수 있습니다.

6.1. virt-launcher Pod에 대해 확장된 SELinux 정책

virt-launcher Pod에 대한 container_t SELinux 정책은 다음 규칙에 따라 확장됩니다.

  • allow process self (tun_socket (relabelfrom relabelto attach_queue))
  • allow process sysfs_t (file (write))
  • allow process hugetlbfs_t (dir (add_name create write remove_name rmdir setattr))
  • allow process hugetlbfs_t (file (create unlink))

이러한 규칙에서는 다음 가상화 기능을 활성화합니다.

  • 자체 TUN 소켓에 큐 라벨을 다시 지정하고 큐를 연결합니다. 이 기능은 네트워크 멀티 큐를 지원하는 데 필요합니다. 멀티 큐를 사용하면 사용 가능한 vCPU 수가 늘어나 네트워크 성능이 확장됩니다.
  • virt-launcher Pod에서 sysfs(/sys) 파일에 정보를 쓸 수 있습니다. 이 기능은 SR-IOV(단일 루트 I/O 가상화)를 활성화하는 데 필요합니다.
  • hugetlbfs 항목을 읽고 씁니다. 이 기능은 대규모 페이지를 지원하는 데 필요합니다. 대규모 페이지는 메모리 페이지 크기를 늘려서 대량의 메모리를 관리하는 방법입니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.