6장. kubevirt-controller 및 virt-launcher에 부여된 추가 보안 권한
kubevirt-controller 및 virt-launcher Pod에는 일반적인 Pod 소유자 외에 일부 SELinux 정책 및 보안 컨텍스트 제약 조건 권한이 부여됩니다. 가상 머신은 이러한 권한을 통해 OpenShift Virtualization 기능을 사용할 수 있습니다.
6.1. virt-launcher Pod에 대해 확장된 SELinux 정책
virt-launcher Pod에 대한 container_t SELinux 정책은 다음 규칙에 따라 확장됩니다.
-
allow process self (tun_socket (relabelfrom relabelto attach_queue)) -
allow process sysfs_t (file (write)) -
allow process hugetlbfs_t (dir (add_name create write remove_name rmdir setattr)) -
allow process hugetlbfs_t (file (create unlink))
이러한 규칙에서는 다음 가상화 기능을 활성화합니다.
- 자체 TUN 소켓에 큐 라벨을 다시 지정하고 큐를 연결합니다. 이 기능은 네트워크 멀티 큐를 지원하는 데 필요합니다. 멀티 큐를 사용하면 사용 가능한 vCPU 수가 늘어나 네트워크 성능이 확장됩니다.
-
virt-launcher Pod에서 sysfs(
/sys) 파일에 정보를 쓸 수 있습니다. 이 기능은 SR-IOV(단일 루트 I/O 가상화)를 활성화하는 데 필요합니다. -
hugetlbfs항목을 읽고 씁니다. 이 기능은 대규모 페이지를 지원하는 데 필요합니다. 대규모 페이지는 메모리 페이지 크기를 늘려서 대량의 메모리를 관리하는 방법입니다.
