第 4 章 已知问题
本节介绍 OpenShift 沙盒容器 1.6 中已知的问题。
4.1. 安全性
沙盒容器不支持 SELinux 多类别安全标签
当您在容器安全上下文中设置 SELinux Multi-Category Security (MCS)标签时,pod 不会启动。pod 日志中显示以下错误:
Error: CreateContainer failed: EACCES: Permission denied: unknown
在创建沙盒容器时,运行时无法访问容器的安全上下文。这意味着 virtiofsd 没有使用适当的 SELinux 标签运行,且无法访问容器的主机文件。因此,您无法依赖 MCS 标签来基于每个容器隔离沙盒容器中的文件。这意味着所有容器都可以访问沙盒容器中的所有文件。目前,这个问题还没有临时解决方案。
Jira:KATA-1875
