Red Hat Summit7.9.3. 安全および安全でない sysctl
OpenShift Container Platform クラスターでは、安全な sysctl と 安全でない sysctl の両方を使用できます。
システム全体の sysctl を安全に考慮するには、namespace を指定する必要があります。namespace を使用した sysctl は namespace と Pod 間で分離されるようにします。1 つの Pod に対して sysctl を設定する場合、以下のいずれのアクションも実行することはできません。
- ノード上の他の Pod へ影響を及ぼすこと
- ノードの健全性を損なうこと
- Pod のリソース制限を超えて、CPU やメモリーリソースを取得すること
namespace を使用するだけでは、sysctl を安全に考慮するには不十分です。
OpenShift Container Platform で許可リストに追加されていない sysctl は、OpenShift Container Platform では安全でないと見なされます。
安全でない sysctl はデフォルトでは許可されません。システム全体に適用される sysctl については、クラスター管理者がノードごとに手動で有効化する必要があります。無効にされた安全でない sysctl が設定された Pod はスケジュールされますが、起動されません。
インターフェイス固有の安全でない sysctls を手動で有効にすることはできません。
OpenShift Container Platform は以下のシステム全体およびインターフェイス固有の安全な sysctl を許可された安全なリストに追加します。
| sysctl | 説明 |
|---|---|
|
|
|
|
|
TCP および UDP によって使用されるローカルポート範囲を定義して、ローカルポートを選択します。最初の番号は最初のポート番号で、2 番目の番号は最後のローカルポート番号になります。可能な限り、これらの数値は一方が偶数で一方が奇数となるように、異なるパリティーを持たせてください。数値は 重要
|
|
|
|
|
|
|
|
|
ネットワーク namespace 内の最初の権限のないポートを定義します。すべての特権ポートを無効にするには、 |
|
| アプリケーションまたはサービス用に予約するローカルポートの範囲をコンマ区切りで指定します。 |
|
|
接続がアイドル状態になった後に最初の |
|
|
接続が中止されるまでに |
|
|
|
|
|
接続が切断されたと判断されるまで送信する |
| sysctl | 説明 |
|---|---|
|
| IPv4 ICMP リダイレクトメッセージを受け入れます。 |
|
| 厳密なソースルート (SRR) オプション付きの IPv4 パケットを受け入れます。 |
|
| ARP テーブルにまだ存在しない IPv4 アドレスを持つ、無償 ARP フレームの動作を定義します。
|
|
| IPv4 アドレスおよびデバイスの変更を通知するモードを定義します。 |
|
| この IPv4 インターフェイスの IPsec ポリシー (SPD) を無効にします。 |
|
| インターフェイスの現在のゲートウェイリストに記載されているゲートウェイ宛ての ICMP リダイレクトメッセージのみを受け入れます。 |
|
| ノードがルーターとして機能している場合にのみリダイレクトを送信します。つまり、ホストは ICMP リダイレクトメッセージを送信しないでください。これは、特定の宛先で利用可能なルーティングパスの改善をホストに通知するためにルーターによって使用されます。 |
|
| IPv6 ルーター広告を受け入れ、それを使用して自動設定を行います。また、ルーター要請の送信の可否を判断します。ルーターへの通知は、機能の設定がルーター広告を受け入れる場合にのみ送信されます。 |
|
| IPv6 ICMP リダイレクトメッセージを受け入れます。 |
|
| SRR オプション付きの IPv6 パケットを受け入れます。 |
|
| ARP テーブルにまだ登録されていない IPv6 アドレスを持つ、無償 ARP フレームの動作を定義します。
|
|
| IPv6 アドレスおよびデバイスの変更を通知するモードを定義します。 |
|
| IPv6 のネイバーテーブルにおけるハードウェアアドレスと IP アドレスのマッピングの有効期間を制御します。 |
|
| 近隣探索メッセージの再送信タイマーを設定します。 |
tuning CNI プラグインを使用してこれらの値を設定する場合は、値 IFNAME をそのまま使用します。インターフェイス名は IFNAME トークンによって表され、ランタイム時にインターフェイスの実際の名前に置き換えられます。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}