Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

6.9.3. 启用不安全 sysctl

集群管理员可在非常特殊的情况下允许某些不安全 sysctl,比如高性能或实时应用程序性能优化。

如果要使用不安全 sysctl,集群管理员必须为特定类型的节点单独启用它们。sysctl 必须拥有命名空间。

您可以通过在 Security Context Constraints 的 allowedUnsafeSysctls 字段中指定 sysctl 模式列表来进一步控制 pod 中设置哪些 sysctl。

  • allowedUnsafeSysctls 选项用来控制特定的需求,如高性能或实时应用程序调整。
警告

由于其不安全特性,使用不安全 sysctl 的风险由您自行承担,而且可能会造成严重问题,例如容器行为不当、资源短缺或节点受损。

流程

  1. 在运行带有不安全 sysctl 的容器的机器配置池中添加标签: 

    $ oc edit machineconfigpool worker
    Copy to Clipboard Toggle word wrap 
    apiVersion: machineconfiguration.openshift.io/v1
kind: MachineConfigPool
metadata:
  creationTimestamp: 2019-02-08T14:52:39Z
  generation: 1
  labels:
    custom-kubelet: sysctl
    1
    Copy to Clipboard Toggle word wrap
    1
    添加 key: pair 标签。

  2. 创建 KubeletConfig 自定义资源(CR): 

    apiVersion: machineconfiguration.openshift.io/v1
kind: KubeletConfig
metadata:
  name: custom-kubelet
spec:
  machineConfigPoolSelector:
    matchLabels:
      custom-kubelet: sysctl
    1 
    
  kubeletConfig:
    allowedUnsafeSysctls:
    2 
    
      - "kernel.msg*"
      - "net.core.somaxconn"
    Copy to Clipboard Toggle word wrap
    1
    指定机器配置池中的标签。
    2
    列出您想要允许的不安全 sysctl。

  3. 创建对象: 

    $ oc apply -f set-sysctl-worker.yaml
    Copy to Clipboard Toggle word wrap

    创建了一个新的 MachineConfig 对象,命名格式是 99-worker-XXXXXX-XXXXX-XXXX-XXXXX-kubelet

  4. 使用 machineconfigpool 对象 status 字段等待集群重启:

    例如: 

    status:
  conditions:
    - lastTransitionTime: '2019-08-11T15:32:00Z'
      message: >-
        All nodes are updating to
        rendered-worker-ccbfb5d2838d65013ab36300b7b3dc13
      reason: ''
      status: 'True'
      type: Updating
    Copy to Clipboard Toggle word wrap

    集群就绪时会显示类似如下的消息: 

       - lastTransitionTime: '2019-08-11T16:00:00Z'
      message: >-
        All nodes are updated with
        rendered-worker-ccbfb5d2838d65013ab36300b7b3dc13
      reason: ''
      status: 'True'
      type: Updated
    Copy to Clipboard Toggle word wrap

  5. 集群就绪后,在新的 MachineConfig 对象中检查合并的 KubeletConfig 对象: 

    $ oc get machineconfig 99-worker-XXXXXX-XXXXX-XXXX-XXXXX-kubelet -o json | grep ownerReference -A7
    Copy to Clipboard Toggle word wrap 
            "ownerReferences": [
            {
                "apiVersion": "machineconfiguration.openshift.io/v1",
                "blockOwnerDeletion": true,
                "controller": true,
                "kind": "KubeletConfig",
                "name": "custom-kubelet",
                "uid": "3f64a766-bae8-11e9-abe8-0a1a2a4813f2"
            }
        ]
    Copy to Clipboard Toggle word wrap

    现在,您可以根据需要为 pod 添加不安全 sysctl。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat