33.4. 安全与不安全 sysctl
sysctl 划分为安全和不安全 sysctl。除了正确的名称外,还必须在同一节点上的 pod 之间正确隔离一个安全 sysctl。这意味着,如果您将一个 sysctl 设置为安全的一个 pod,则不能:
- 影响节点上的其他任何 pod
- 危害节点的健康
- 获取超过 pod 资源限制的 CPU 或内存资源
目前,大多数命名空间的 sysctl 都不一定被视为安全。
目前,OpenShift Container Platform 支持或列入白名单,安全集合中的以下 sysctl:
- kernel.shm_rmid_forced
- net.ipv4.ip_local_port_range
- net.ipv4.tcp_syncookies
当 kubelet 支持更好的隔离机制时,这个列表可能会在以后的版本中扩展。
所有安全 sysctl 都默认启用。所有不安全 sysctl 都默认禁用,集群管理员必须逐个节点手动启用它们。禁用不安全 sysctl 的 Pod 将会调度,但无法启动。