第 8 章 安全策略

了解 OpenShift Virtualization 安全和授权。

关键点

  • OpenShift Virtualization 遵循 restricted Kubernetes pod 安全标准配置集,旨在强制实施 Pod 安全性的当前最佳实践。
  • 虚拟机 (VM) 工作负载作为非特权 pod 运行。
  • kubevirt-controller 服务帐户定义了 安全性上下文约束 (SCC)。

8.1. 关于工作负载安全性

默认情况下,虚拟机 (VM) 工作负载不会在 OpenShift Virtualization 中使用 root 权限运行,且不支持的 OpenShift Virtualization 功能需要 root 权限。

对于每个虚拟机,virt-launcher pod 以 会话模式运行一个 libvirt 实例,用于管理虚拟机进程。在会话模式中,libvirt 守护进程以非 root 用户帐户运行,仅允许同一用户标识符 (UID) 下运行的客户端的连接。因此,虚拟机作为非特权 pod 运行,遵循最小特权的安全原则。