Полагаю, он будет помечать контейнеры, которые он запустил, но из вывода ps -eZ
я не вижу никакой разницы.Например, контейнер etcd
имеет один и тот же домен, независимо от того, есть ли у демона эта опция и без нее:
system_u:system_r:container_runtime_t:s0 16212 ? 00:00:00 dnsmasq-nanny
Но это мешает моему контейнеру (k8s-dns-dnsmasq-nanny-amd64:1.14.8) при запуске и в журналах отказа отображается доступ к /etc/localtime
, а / usr / sbin / dnsmasq запрещен.Я думаю, что это файлы внутри контейнерной файловой системы.Как я могу написать политику SELinux, чтобы разрешить доступ внутри файловой системы контейнера?