33.4. 安全与不安全 sysctl


sysctl 划分为安全不安全 sysctl。除了正确的名称外,还必须在同一节点上的 pod 之间正确隔离一个安全 sysctl。这意味着,如果您将一个 sysctl 设置为安全的一个 pod,则不能:

  • 影响节点上的其他任何 pod
  • 危害节点的健康
  • 获取超过 pod 资源限制的 CPU 或内存资源

目前,大多数命名空间的 sysctl 都不一定被视为安全。

目前,OpenShift Container Platform 支持或列入白名单,安全集合中的以下 sysctl:

  • kernel.shm_rmid_forced
  • net.ipv4.ip_local_port_range
  • net.ipv4.tcp_syncookies

当 kubelet 支持更好的隔离机制时,这个列表可能会在以后的版本中扩展。

所有安全 sysctl 都默认启用。所有不安全 sysctl 都默认禁用,集群管理员必须逐个节点手动启用它们。禁用不安全 sysctl 的 Pod 将会调度,但无法启动。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.