Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

33.4. 安全与不安全 sysctl

sysctl 划分为安全不安全 sysctl。除了正确的名称外,还必须在同一节点上的 pod 之间正确隔离一个安全 sysctl。这意味着,如果您将一个 sysctl 设置为安全的一个 pod,则不能:

  • 影响节点上的其他任何 pod
  • 危害节点的健康
  • 获取超过 pod 资源限制的 CPU 或内存资源

目前,大多数命名空间的 sysctl 都不一定被视为安全。

目前,OpenShift Container Platform 支持或列入白名单,安全集合中的以下 sysctl:

  • kernel.shm_rmid_forced
  • net.ipv4.ip_local_port_range
  • net.ipv4.tcp_syncookies

当 kubelet 支持更好的隔离机制时,这个列表可能会在以后的版本中扩展。

所有安全 sysctl 都默认启用。所有不安全 sysctl 都默认禁用,集群管理员必须逐个节点手动启用它们。禁用不安全 sysctl 的 Pod 将会调度,但无法启动。