1.4. 已知问题

如果使用 OpenShift 沙盒容器，您可能会在访问 OpenShift Container Platform 集群中从 hostPath 卷挂载的文件或目录时收到 SELinux 拒绝。即使运行特权沙盒容器，这些拒绝也会发生，因为特权沙盒容器不会禁用 SELinux 检查。

在默认情况下，主机上的 SELinux 策略会保证主机文件系统完全与沙盒工作负载隔离，并提供对 virtiofsd 或 QEMU 中潜在的安全漏洞的更强的保护。

如果挂载的文件或目录在主机上没有特定的 SELinux 要求，您可以使用本地持久性卷作为替代方案。文件会自动重新标记为 container_file_t，遵循 SELinux 容器运行时。如需更多信息，请参阅使用本地卷的持久性存储。

挂载文件或目录时，自动重新标记不是选项，则主机上应该具有特定的 SELinux 标签。相反，您可以在主机上设置自定义 SELinux 规则，以允许 virtiofsd 访问这些特定标签。（BZ#1904609）