OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的所在地)访问。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

安全策略

了解 OpenShift 虚拟化安全性和授权。

要点

  • OpenShift 虚拟化遵循restricted Kubernetes Pod 安全标准 配置文件,旨在强制执行当前 Pod 安全的最佳实践。

  • 虚拟机 (VM) 工作负载作为非特权 Pod 运行。

  • 安全上下文约束 (SCC) 为kubevirt-controller 服务帐户定义。

  • OpenShift 虚拟化组件的 TLS 证书会自动更新和轮换。

关于工作负载安全

默认情况下,虚拟机 (VM) 工作负载在 OpenShift 虚拟化中不会以 root 权限运行,并且没有需要 root 权限的支持的 OpenShift 虚拟化功能。

对于每个虚拟机,virt-launcher Pod 会运行一个会话模式下的libvirt 实例来管理虚拟机进程。在会话模式下,libvirt 守护进程作为非 root 用户帐户运行,并且只允许来自以相同用户标识符 (UID) 运行的客户端的连接。因此,虚拟机作为非特权 Pod 运行,遵循最小权限的安全原则。

TLS 证书

OpenShift 虚拟化组件的 TLS 证书会自动更新和轮换。无需手动刷新。

自动续期计划

TLS 证书将根据以下计划自动删除和替换

  • KubeVirt 证书每天更新一次。

  • 容器化数据导入控制器 (CDI) 证书每 15 天更新一次。

  • MAC 池证书每年更新一次。

自动 TLS 证书轮换不会中断任何操作。例如,以下操作将继续运行而不会中断

  • 迁移

  • 镜像上传

  • VNC 和控制台连接

授权

OpenShift 虚拟化使用基于角色的访问控制 (RBAC) 来定义人员用户和服务帐户的权限。为服务帐户定义的权限控制 OpenShift 虚拟化组件可以执行的操作。

您还可以使用RBAC角色来管理用户对虚拟化功能的访问权限。例如,管理员可以创建一个RBAC角色,该角色提供启动虚拟机的所需权限。然后,管理员可以通过将该角色绑定到特定用户来限制访问权限。

OpenShift Virtualization的默认集群角色

通过使用集群角色聚合,OpenShift Virtualization扩展了默认的OpenShift Container Platform集群角色,以包含访问虚拟化对象的权限。

表1. OpenShift Virtualization集群角色
默认集群角色 OpenShift Virtualization集群角色 OpenShift Virtualization集群角色描述

查看

kubevirt.io:view

可以查看集群中所有OpenShift Virtualization资源但无法创建、删除、修改或访问它们的用户的角色。例如,用户可以看到虚拟机 (VM) 正在运行,但无法将其关闭或访问其控制台。

编辑

kubevirt.io:edit

可以修改集群中所有OpenShift Virtualization资源的用户的角色。例如,用户可以创建虚拟机、访问虚拟机控制台和删除虚拟机。

管理员

kubevirt.io:admin

对所有OpenShift Virtualization资源拥有完全权限的用户,包括删除资源集合的能力。用户还可以查看和修改OpenShift Virtualization运行时配置,该配置位于openshift-cnv命名空间中的HyperConverged自定义资源中。

OpenShift Virtualization中存储功能的RBAC角色

以下权限授予容器化数据导入器 (CDI),包括cdi-operatorcdi-controller服务帐户。

集群范围的RBAC角色

表2. cdi.kubevirt.io API组的聚合集群角色
CDI集群角色 资源 动词

cdi.kubevirt.io:admin

datavolumes, uploadtokenrequests

* (全部)

datavolumes/source

创建

cdi.kubevirt.io:edit

datavolumes, uploadtokenrequests

*

datavolumes/source

创建

cdi.kubevirt.io:view

cdiconfigs, dataimportcrons, datasources, datavolumes, objecttransfers, storageprofiles, volumeimportsources, volumeuploadsources, volumeclonesources

get, list, watch

datavolumes/source

创建

cdi.kubevirt.io:config-reader

cdiconfigs, storageprofiles

get, list, watch
表3. cdi-operator服务帐户的集群范围角色
API组 资源 动词

rbac.authorization.k8s.io

clusterrolebindings, clusterroles

get, list, watch, create, update, delete

security.openshift.io

securitycontextconstraints

get, list, watch, update, create

apiextensions.k8s.io

customresourcedefinitions, customresourcedefinitions/status

get, list, watch, create, update, delete

cdi.kubevirt.io

*

*

upload.cdi.kubevirt.io

*

*

admissionregistration.k8s.io

validatingwebhookconfigurations, mutatingwebhookconfigurations

create, list, watch

admissionregistration.k8s.io

validatingwebhookconfigurations

允许列表:cdi-api-dataimportcron-validate, cdi-api-populator-validate, cdi-api-datavolume-validate, cdi-api-validate, objecttransfer-api-validate

get, update, delete

admissionregistration.k8s.io

mutatingwebhookconfigurations

允许列表:cdi-api-datavolume-mutate

get, update, delete

apiregistration.k8s.io

apiservices

get, list, watch, create, update, delete
表4. cdi-controller服务帐户的集群范围角色
API组 资源 动词

"" (核心)

events

create, patch

"" (核心)

persistentvolumeclaims

get, list, watch, create, update, delete, deletecollection, patch

"" (核心)

persistentvolumes

get, list, watch, update

"" (核心)

persistentvolumeclaims/finalizers, pods/finalizers

更新

"" (核心)

pods, services

get, list, watch, create, delete

"" (核心)

configmaps

get, create

storage.k8s.io

storageclasses, csidrivers

get, list, watch

config.openshift.io

proxies

get, list, watch

cdi.kubevirt.io

*

*

snapshot.storage.k8s.io

volumesnapshots, volumesnapshotclasses, volumesnapshotcontents

get, list, watch, create, delete

snapshot.storage.k8s.io

volumesnapshots

update, deletecollection

apiextensions.k8s.io

customresourcedefinitions

get, list, watch

scheduling.k8s.io

priorityclasses

get, list, watch

image.openshift.io

imagestreams

get, list, watch

"" (核心)

secrets

创建

kubevirt.io

virtualmachines/finalizers

更新

命名空间RBAC角色

表5. cdi-operator服务帐户的命名空间角色
API组 资源 动词

rbac.authorization.k8s.io

rolebindings, roles

get, list, watch, create, update, delete

"" (核心)

serviceaccounts, configmaps, events, secrets, services

get, list, watch, create, update, patch, delete

apps

deployments, deployments/finalizers

get, list, watch, create, update, delete

route.openshift.io

routes, routes/custom-host

get, list, watch, create, update

config.openshift.io

proxies

get, list, watch

monitoring.coreos.com

servicemonitors, prometheusrules

get, list, watch, create, delete, update, patch

coordination.k8s.io

leases

get, create, update
表6. cdi-controller服务帐户的命名空间角色
API组 资源 动词

"" (核心)

configmaps

get, list, watch, create, update, delete

"" (核心)

secrets

get, list, watch

batch

cronjobs

get, list, watch, create, update, delete

batch

jobs

create, delete, list, watch

coordination.k8s.io

leases

get, create, update

networking.k8s.io

ingresses

get, list, watch

route.openshift.io

routes

get, list, watch

kubevirt-controller服务帐户的其他SCC和权限

安全上下文约束 (SCC) 控制Pod的权限。这些权限包括Pod(容器集合)可以执行的操作以及它可以访问的资源。您可以使用SCC来定义Pod必须运行的一组条件才能被系统接受。

virt-controller是一个集群控制器,它为集群中的虚拟机创建virt-launcher Pod。这些Pod的权限由kubevirt-controller服务帐户授予。

kubevirt-controller服务帐户被授予额外的SCC和Linux功能,以便它可以创建具有适当权限的virt-launcher Pod。这些扩展的权限允许虚拟机使用超出典型Pod范围的OpenShift Virtualization功能。

kubevirt-controller服务帐户被授予以下SCC

  • scc.AllowHostDirVolumePlugin = true
    这允许虚拟机使用hostpath卷插件。

  • scc.AllowPrivilegedContainer = false
    这确保virt-launcher Pod不会作为特权容器运行。

  • scc.AllowedCapabilities = []corev1.Capability{"SYS_NICE", "NET_BIND_SERVICE"}

    • SYS_NICE允许设置CPU亲和性。

    • NET_BIND_SERVICE允许DHCP和Slirp操作。

查看kubevirt-controller的SCC和RBAC定义

您可以使用oc工具查看kubevirt-controllerSecurityContextConstraints定义

$ oc get scc kubevirt-controller -o yaml

您可以使用oc工具查看kubevirt-controller集群角色的RBAC定义

$ oc get clusterrole kubevirt-controller -o yaml

其他资源