Dockerは、SELinuxのタイプにsvirt_lxc_net_tラベルを設定し、コンテナ内のプロセスからホスト上のリソース間のアクセス制御を強固なものにしています。 また、KVM仮想マシンプロセスのsvirtの仕組みと同じく、コンテナ間の同一タイプ(svirt_lxc_net_t)を持つプロセスに対しては、MCS(Multi-Category Security)のカテゴリラベルによりアクセスの制限をしています。 今回のエントリーでは、SELinuxによるDockerリソースのアクセス制御と、内部でDockerを利用するOpenShift v3が、そのSELinuxをどう取り扱ってるのかを見ていきます。 MEMO: Fedora 22上の Docker1.8.2とRHEL7上のDocker1.7.1で確認しています。 $ docker -v Docker version 1.7.1,
![SELinux と Docker と OpenShift v3 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/7cb32c81e6b6af488ceaf822089fd2dfe3f0ce9b/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9U0VMaW51eCUyMCVFMyU4MSVBOCUyMERvY2tlciUyMCVFMyU4MSVBOCUyME9wZW5TaGlmdCUyMHYzJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWNsaXA9ZWxsaXBzaXMmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz05Mjc3ODIyM2IyM2Y5NDBjZWM3NDJmMmQ0ZjUzZTM3Zg%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwbmFrMyZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9MzM5MjMwZTE4MjVlMWUxOTY5NjIwNGNmMzk4ZTIwZGM%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Dc5d0ec5a2f05df5bd10657b3dd1703a3)