1.3. 安全策略
OpenShift Virtualization 提供内置的安全功能和授权策略来保护虚拟机工作负载,并确保您的环境中的安全集群操作。
关键点
-
OpenShift Virtualization 遵循
受限的Kubernetes pod 安全标准配置集,它旨在强制执行 Pod 安全性的当前最佳实践。 - 虚拟机 (VM) 工作负载作为非特权 pod 运行。
-
为
kubevirt-controller服务帐户定义了安全性上下文约束(SCC)。有关 SSCs 的更多信息,请参阅"添加资源"。 - OpenShift Virtualization 组件的 TLS 证书会被自动更新并轮转。
1.3.1. 关于工作负载安全性 复制链接链接已复制到粘贴板!
复制链接链接已复制到粘贴板!
默认情况下,虚拟机 (VM) 工作负载在 OpenShift Virtualization 中不会使用 root 权限运行,且支持的 OpenShift Virtualization 功能都不需要 root 权限。
对于每个虚拟机,都会有一个 virt-launcher pod,它以会话模式(session mode)运行一个 libvirt 实例,用于管理 VM 进程。在会话模式中,libvirt 守护进程是以非 root 用户帐户运行的,它只允许来自使用同一用户标识符 (UID) 运行的客户端的连接。这样,虚拟机就可以作为非特权 pod 运行,遵循了最小特权的安全原则。