Red Hat Summit7.9.3. 안전한 sysctl 및 안전하지 않은 sysctl
sysctl은 안전한 sysctl 및 안전하지 않은 sysctl로 그룹화됩니다.
시스템 전체 sysctl이 안전한 것으로 간주되려면 네임스페이스를 지정해야 합니다. sysctl이 네임스페이스가 지정된 경우 네임스페이스와 Pod 간 격리가 가능합니다. 하나의 Pod에 대해 sysctl을 설정하는 경우 다음 중 하나를 추가해서는 안 됩니다.
- 노드의 다른 Pod에 영향을 미침
- 노드 상태 손상
- Pod의 리소스 제한을 벗어나는 CPU 또는 메모리 리소스 확보
sysctl이 안전한 것으로 간주되기에는 네임스페이스만으로는 충분하지 않습니다.
OpenShift Container Platform에서 허용된 목록에 추가되지 않은 sysctl은 OpenShift Container Platform에서 안전하지 않은 것으로 간주됩니다.
안전하지 않은 sysctl은 기본적으로 허용되지 않습니다. 시스템 전체 sysctl의 경우 클러스터 관리자는 노드별로 수동으로 활성화해야 합니다. 안전하지 않은 sysctl이 비활성화된 Pod는 예약은 되지만 시작되지 않습니다.
인터페이스별 안전하지 않은 sysctl을 수동으로 활성화할 수 없습니다.
OpenShift Container Platform은 다음 시스템 전체 및 인터페이스별 안전한 sysctl을 허용된 안전 목록에 추가합니다.
| sysctl | 설명 |
|---|---|
|
|
|
|
|
TCP 및 UDP에서 로컬 포트를 선택하는 데 사용하는 로컬 포트 범위를 정의합니다. 첫 번째 숫자는 첫 번째 포트 번호이고 두 번째 숫자는 마지막 로컬 포트 번호입니다. 가능한 경우 이 숫자의 패리티(짝수와 홀수 값)가 다른 경우 더 좋습니다. |
|
|
|
|
|
이렇게 하면 |
|
|
이는 네트워크 네임스페이스에 첫 번째 권한이 없는 포트를 정의합니다. 권한 있는 모든 포트를 비활성화하려면 이 포트를 |
| sysctl | 설명 |
|---|---|
|
| IPv4 ICMP 리디렉션 메시지를 수락합니다. |
|
| 엄격한 소스 경로(SRR) 옵션을 사용하여 IPv4 패킷을 수락합니다. |
|
| ARP 테이블에 없는 IPv4 주소를 사용하여 무고한 ARP 프레임에 대한 동작을 정의합니다.
|
|
| IPv4 주소 및 장치 변경에 대한 알림을 위한 모드를 정의합니다. |
|
| 이 IPv4 인터페이스에 대해 IPSEC 정책(SPD)을 비활성화합니다. |
|
| 인터페이스의 현재 게이트웨이 목록에 나열된 게이트웨이에만 ICMP 리디렉션 메시지를 수락합니다. |
|
| 노드가 라우터 역할을 하는 경우에만 전송 리디렉션이 활성화됩니다. 즉, 호스트에서 ICMP 리디렉션 메시지를 전송해서는 안 됩니다. 라우터에서 특정 대상에 사용할 수 있는 더 나은 라우팅 경로를 호스트에 알리는 데 사용됩니다. |
|
| IPv6 라우터 알림을 수락하고, 이를 사용하여 자동 구성. 또한 라우터 요청을 전송할지 여부를 결정합니다. 라우터 요청 기능은 기능 설정이 라우터 알림을 수락하는 경우에만 전송됩니다. |
|
| IPv6 ICMP 리디렉션 메시지를 수락합니다. |
|
| SRR 옵션을 사용하여 IPv6 패킷을 수락합니다. |
|
| ARP 테이블에 없는 IPv6 주소를 사용하여 무고한 ARP 프레임에 대한 동작을 정의합니다.
|
|
| IPv6 주소 및 장치 변경 알림에 대한 모드를 정의합니다. |
|
| 이 매개변수는 IPv6용 별명 테이블에 있는 IP 매핑 수명에 대한 하드웨어 주소를 제어합니다. |
|
| 서신 검색 메시지의 재전송 타이머를 설정합니다. |
튜닝 CNI 플러그인을 사용하여 이러한 값을 설정할 때 문자 그대로 IFNAME 값을 사용합니다. 인터페이스 이름은 IFNAME 토큰으로 표시되고 런타임 시 인터페이스의 실제 이름으로 교체됩니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}