Menu Close

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

33.4. 安全与不安全 sysctl

sysctl 划分为安全不安全 sysctl。除了正确的命名空间外,还必须在同一节点上的 pod 之间正确隔离安全 sysctl。这意味着,如果您将 sysctl 设置为一个 pod 的安全,则不得:

  • 影响节点上的其他任何 pod
  • 危害节点的健康
  • 获取超过 pod 资源限制的 CPU 或内存资源

目前,大部分命名空间 sysctl 不一定被视为安全。

目前,OpenShift Container Platform 支持或列入白名单安全集合中的以下 sysctl:

  • kernel.shm_rmid_forced
  • net.ipv4.ip_local_port_range
  • net.ipv4.tcp_syncookies

当 kubelet 支持更好的隔离机制时,这个列表可能会在以后的版本中扩展。

所有安全 sysctl 都默认启用。所有不安全 sysctl 都默认禁用,集群管理员必须逐个节点手动启用它们。禁用了不安全 sysctl 的 Pod 会被调度,但将无法启动。