Red Hat Summit4장. 확인된 문제
이 섹션에서는 OpenShift 샌드박스 컨테이너 1.6의 알려진 문제에 대해 설명합니다.
4.1. 보안
샌드박스 컨테이너는 SELinux 다중 범주 보안 레이블을 지원하지 않음
컨테이너의 보안 컨텍스트에서 SELinux MCS(Multi-Category Security) 레이블을 설정하면 Pod가 시작되지 않습니다. Pod 로그에 다음 오류가 표시됩니다.
Error: CreateContainer failed: EACCES: Permission denied: unknown
샌드박스 컨테이너가 생성될 때 런타임은 컨테이너의 보안 컨텍스트에 액세스할 수 없습니다. 즉 virtiofsd 는 적절한 SELinux 레이블로 실행되지 않으며 컨테이너의 호스트 파일에 액세스할 수 없습니다. 결과적으로 MCS 레이블을 사용하여 컨테이너별로 샌드박스 컨테이너의 파일을 격리할 수 없습니다. 즉, 모든 컨테이너가 샌드박스 컨테이너 내의 모든 파일에 액세스할 수 있습니다. 현재 이 문제에 대한 해결방법이 없습니다.
Jira:KATA-1875
