33.4. 안전한 sysctl 및 안전하지 않은 sysctl 비교
sysctl은 안전한 sysctl 및 안전하지 않은 sysctl로 그룹화됩니다. 적절한 이름 붙여넣기 외에도 안전한 sysctl을 동일한 노드의 Pod 간에 올바르게 격리해야 합니다. 즉 하나의 Pod에 대해 sysctl을 안전한 것으로 설정하면 다음이 수행되지 않아야 합니다.
- 노드의 다른 Pod에 영향을 미침
- 노드 상태 손상
- Pod의 리소스 제한을 벗어나는 CPU 또는 메모리 리소스 확보
지금까지 네임스페이스가 지정된 sysctl 대부분은 안전한 것으로 간주되지 않습니다.
현재 OpenShift Container Platform은 안전한 세트의 다음 sysctl을 지원하거나 허용 목록에 추가합니다.
- kernel.shm_rmid_forced
- net.ipv4.ip_local_port_range
- net.ipv4.tcp_syncookies
kubelet에서 더 나은 격리 메커니즘을 지원하는 경우 이 목록은 향후 버전에서 확장될 수 있습니다.
안전한 sysctl은 모두 기본적으로 활성화됩니다. 안전하지 않은 sysctl은 기본적으로 모두 비활성화되어 있으며 클러스터 관리자가 노드별로 수동으로 활성화해야 합니다. 안전하지 않은 sysctl이 비활성화된 Pod는 예약되지만 시작되지 않습니다.
