第 8 章 安全策略


虚拟机 (VM) 工作负载作为非特权 pod 运行。因此,虚拟机可以使用 OpenShift Virtualization 功能,一些 pod 被赋予其他 pod 所有者不可用的自定义安全策略:

  • 扩展的 container_t SELinux 策略适用于 virt-launcher pod。
  • kubevirt-controller 服务帐户定义了 安全性上下文约束 (SCC)。

8.1. 关于工作负载安全性

默认情况下,虚拟机 (VM) 工作负载不会在 OpenShift Virtualization 中使用 root 权限运行。

对于每个虚拟机,virt-launcher pod 以 会话模式运行一个 libvirt 实例,用于管理虚拟机进程。在会话模式中,libvirt 守护进程以非 root 用户帐户运行,仅允许同一用户标识符 (UID) 下运行的客户端的连接。因此,虚拟机作为非特权 pod 运行,遵循最小特权的安全原则。

不支持需要 root 权限的 OpenShift Virtualization 功能。如果功能需要 root,则可能无法与 OpenShift Virtualization 搭配使用。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.