Eu tenho um nó RHEL7.4, que ao aplicar o selinux, ele falhará no meu contêiner, verifiquei e descobri que ele está negando a leitura nos diretórios internos do contêiner:
# docker run -it 172.16.1.120:5000/fluentd:0.14 ls /usr/bin
ls: cannot open directory /usr/bin: Permission denied
# docker run -it 172.16.1.120:5000/fluentd:0.14 ls -dZl /usr/bin
dr-xr-xr-x. 1 system_u:object_r:container_file_t:s0:c5,c284 root root 12288 Dec 15 2017 /usr/bin
o selinux é obrigatório. mas em outro nó RHEL7.4, com também selinux enforcing, o "ls" pode ser executado:
[root@msun ~]$ # docker run -it fluentd:0.14 ls -l /bin/bash
-rwxr-xr-x. 1 root root 960632 Aug 3 2017 /bin/bash
[root@msun ~]$ # docker run -it fluentd:0.14 ls -dZl /bin/bash
-rwxr-xr-x. 1 system_u:object_r:container_file_t:s0:c122,c942 root root 960632 Aug 3 2017 /bin/bash
[root@msun ~]$ #
Assim, o mesmo contêiner é negado em um nó e permitido em outro nó. Acho que a negação no nó com falha não está correta, o domínio container_t deve ter permissão para acessar o arquivo com o tipo container_file_t.
Precisa da possível causa e sugestão de como posso investigar o problema no nó com falha?