Merge "Modify how libvirt related containers use SELinux" into stable/train
This commit is contained in:
Zuul
Gerrit Code Review
commit
3663f10766
|
|
@ -833,7 +833,7 @@ outputs:
|
||||||
- /lib/modules:/lib/modules:ro
|
- /lib/modules:/lib/modules:ro
|
||||||
- /run:/run
|
- /run:/run
|
||||||
- /var/lib/iscsi:/var/lib/iscsi:z
|
- /var/lib/iscsi:/var/lib/iscsi:z
|
||||||
- /var/lib/libvirt:/var/lib/libvirt:shared,z
|
- /var/lib/libvirt:/var/lib/libvirt:shared
|
||||||
- /sys/class/net:/sys/class/net
|
- /sys/class/net:/sys/class/net
|
||||||
- /sys/bus/pci:/sys/bus/pci
|
- /sys/bus/pci:/sys/bus/pci
|
||||||
- /boot:/boot:ro
|
- /boot:/boot:ro
|
||||||
|
|
|
||||||
|
|
@ -312,11 +312,6 @@ conditions:
|
||||||
- {get_param: QemuCACert}
|
- {get_param: QemuCACert}
|
||||||
- ''
|
- ''
|
||||||
|
|
||||||
docker_enabled:
|
|
||||||
equals:
|
|
||||||
- {get_param: ContainerCli}
|
|
||||||
- 'docker'
|
|
||||||
|
|
||||||
nova_nfs_enabled:
|
nova_nfs_enabled:
|
||||||
or:
|
or:
|
||||||
- and:
|
- and:
|
||||||
|
|
@ -685,7 +680,7 @@ outputs:
|
||||||
- /dev:/dev
|
- /dev:/dev
|
||||||
- /run:/run
|
- /run:/run
|
||||||
- /sys/fs/cgroup:/sys/fs/cgroup
|
- /sys/fs/cgroup:/sys/fs/cgroup
|
||||||
- /var/run/libvirt:/var/run/libvirt:shared,z
|
- /var/run/libvirt:/var/run/libvirt:shared
|
||||||
- /var/lib/libvirt:/var/lib/libvirt
|
- /var/lib/libvirt:/var/lib/libvirt
|
||||||
- /etc/libvirt/qemu:/etc/libvirt/qemu:ro
|
- /etc/libvirt/qemu:/etc/libvirt/qemu:ro
|
||||||
- /var/log/libvirt/qemu:/var/log/libvirt/qemu
|
- /var/log/libvirt/qemu:/var/log/libvirt/qemu
|
||||||
|
|
@ -700,7 +695,10 @@ outputs:
|
||||||
pid: host
|
pid: host
|
||||||
pids_limit: {get_param: ContainerNovaLibvirtPidsLimit}
|
pids_limit: {get_param: ContainerNovaLibvirtPidsLimit}
|
||||||
privileged: true
|
privileged: true
|
||||||
security_opt: label=disable
|
security_opt:
|
||||||
|
- label=level:s0
|
||||||
|
- label=type:spc_t
|
||||||
|
- label=filetype:container_share_t
|
||||||
restart: always
|
restart: always
|
||||||
cpuset_cpus: {get_attr: [RoleParametersValue, value, container_cpuset_cpus]}
|
cpuset_cpus: {get_attr: [RoleParametersValue, value, container_cpuset_cpus]}
|
||||||
depends_on:
|
depends_on:
|
||||||
|
|
@ -722,17 +720,14 @@ outputs:
|
||||||
- /run:/run
|
- /run:/run
|
||||||
- /sys/fs/cgroup:/sys/fs/cgroup
|
- /sys/fs/cgroup:/sys/fs/cgroup
|
||||||
- /etc/libvirt:/etc/libvirt
|
- /etc/libvirt:/etc/libvirt
|
||||||
- /var/run/libvirt:/var/run/libvirt:shared,z
|
- /var/run/libvirt:/var/run/libvirt:shared
|
||||||
- /var/lib/libvirt:/var/lib/libvirt:shared,z
|
- /var/cache/libvirt:/var/cache/libvirt:shared
|
||||||
|
- /var/lib/libvirt:/var/lib/libvirt:shared
|
||||||
- /var/log/libvirt/qemu:/var/log/libvirt/qemu:ro
|
- /var/log/libvirt/qemu:/var/log/libvirt/qemu:ro
|
||||||
- /var/lib/vhost_sockets:/var/lib/vhost_sockets
|
- /var/lib/vhost_sockets:/var/lib/vhost_sockets
|
||||||
- /var/lib/nova:/var/lib/nova:shared
|
- /var/lib/nova:/var/lib/nova:shared
|
||||||
-
|
- /sys/fs/selinux:/sys/fs/selinux
|
||||||
if:
|
- /etc/selinux/config:/etc/selinux/config:ro
|
||||||
- docker_enabled
|
|
||||||
-
|
|
||||||
- /sys/fs/selinux:/sys/fs/selinux
|
|
||||||
- null
|
|
||||||
-
|
-
|
||||||
if:
|
if:
|
||||||
- use_tls_for_live_migration
|
- use_tls_for_live_migration
|
||||||
|
|
@ -804,8 +799,8 @@ outputs:
|
||||||
-
|
-
|
||||||
- /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova:/etc/nova:ro
|
- /var/lib/config-data/puppet-generated/nova_libvirt/etc/nova:/etc/nova:ro
|
||||||
- /etc/libvirt:/etc/libvirt
|
- /etc/libvirt:/etc/libvirt
|
||||||
- /var/run/libvirt:/var/run/libvirt:shared,z
|
- /var/run/libvirt:/var/run/libvirt:shared
|
||||||
- /var/lib/libvirt:/var/lib/libvirt:shared,z
|
- /var/lib/libvirt:/var/lib/libvirt:shared
|
||||||
command:
|
command:
|
||||||
- /bin/bash
|
- /bin/bash
|
||||||
- -c
|
- -c
|
||||||
|
|
@ -846,12 +841,13 @@ outputs:
|
||||||
file:
|
file:
|
||||||
path: "{{ item.path }}"
|
path: "{{ item.path }}"
|
||||||
state: directory
|
state: directory
|
||||||
setype: "{{ item.setype }}"
|
setype: "{{ item.setype | default(omit) }}"
|
||||||
with_items:
|
with_items:
|
||||||
- { 'path': /etc/libvirt, 'setype': svirt_sandbox_file_t }
|
- { 'path': /etc/libvirt, 'setype': svirt_sandbox_file_t }
|
||||||
- { 'path': /etc/libvirt/secrets, 'setype': svirt_sandbox_file_t }
|
- { 'path': /etc/libvirt/secrets, 'setype': svirt_sandbox_file_t }
|
||||||
- { 'path': /etc/libvirt/qemu, 'setype': svirt_sandbox_file_t }
|
- { 'path': /etc/libvirt/qemu, 'setype': svirt_sandbox_file_t }
|
||||||
- { 'path': /var/lib/libvirt, 'setype': svirt_sandbox_file_t }
|
- { 'path': /var/lib/libvirt, 'setype': svirt_sandbox_file_t }
|
||||||
|
- { 'path': /var/cache/libvirt }
|
||||||
- { 'path': /var/lib/nova, 'setype': svirt_sandbox_file_t }
|
- { 'path': /var/lib/nova, 'setype': svirt_sandbox_file_t }
|
||||||
- { 'path': /var/run/libvirt, 'setype': virt_var_run_t }
|
- { 'path': /var/run/libvirt, 'setype': virt_var_run_t }
|
||||||
- { 'path': /var/log/libvirt, 'setype': svirt_sandbox_file_t }
|
- { 'path': /var/log/libvirt, 'setype': svirt_sandbox_file_t }
|
||||||
|
|
|
||||||
Loading…
Reference in New Issue