我想它会标记它启动的容器,但是从 的输出来看ps -eZ,我看不出任何区别。例如,容器etcd有相同的域,不管守护进程有没有这个选项:
system_u:system_r:container_runtime_t:s0 16212 ? 00:00:00 dnsmasq-nanny
但它确实阻止了我的容器 (k8s-dns-dnsmasq-nanny-amd64:1.14.8) 启动,并且拒绝日志显示对/etc/localtime/usr/sbin/dnsmasq 的访问被拒绝。我认为这些是容器文件系统中的文件。如何编写 SELinux 策略以允许访问容器文件系统?