k8s可修改的sysctl内核参数及案例

已于 2022-06-28 09:56:50 修改
阅读量4k 收藏 3
点赞数
分类专栏: K8S与容器 文章标签: kubernetes
于 2020-10-29 17:05:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16240085/article/details/109364270
版权
本文介绍如何在Kubernetes中为Pod配置有命名空间的Sysctl参数,包括安全和非安全参数,并展示了一个Deployment示例,说明如何使用特权模式初始化容器来修改Linux内核参数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

官网:
https://kubernetes.io/zh/docs/tasks/administer-cluster/sysctl-cluster/

启用非安全的 Sysctl 参数

–allowed-unsafe-sysctls

设置 Pod 的 Sysctl 参数

目前,在 Linux 内核中,有许多的 sysctl 参数都是 有命名空间的 。 这就意味着可以为节点上的每个 Pod 分别去设置它们的 sysctl 参数。 在 Kubernetes 中,只有那些有命名空间的 sysctl 参数可以通过 Pod 的 securityContext 对其进行配置。

以下列出有命名空间的 sysctl 参数,在未来的 Linux 内核版本中,此列表可能会发生变化。

kernel.shm*,
kernel.msg*,
kernel.sem,
fs.mqueue.,
net.(内核中可以在容器命名空间里被更改的网络配置项相关参数)。然而也有一些特例 (例如,net.netfilter.nf_conntrack_max 和 net.netfilter.nf_conntrack_expect_max 可以在容器命名空间里被更改,但它们是非命名空间的)。
没有命名空间的 sysctl 参数称为 节点级别的 sysctl 参数。 如果需要对其进行设置,则必须在每个节点的操作系统上手动地去配置它们, 或者通过在 DaemonSet 中运行特权模式容器来配置。

可使用 Pod 的 securityContext 来配置有命名空间的 sysctl 参数, securityContext 应用于同一个 Pod 中的所有容器。

此示例中,使用 Pod SecurityContext 来对一个安全的 sysctl 参数 kernel.shm_rmid_forced 以及两个非安全的 sysctl 参数 net.core.somaxconn 和 kernel.msgmax 进行设置。 在 Pod 规约中对 安全的 和 非安全的 sysctl 参数不做区分。

Deployment使用init特权模式修改内核参数

apiVersion: apps/v1
kind: Deployment
metadata:
  labels:
    app: nginx
  name: nginx
  namespace: default
spec:
  replicas: 1
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
        - env:
            - name: env
              value: test-app1
          image: 'nginx:stable'
          imagePullPolicy: IfNotPresent
          name: nginx
          ports:
            - containerPort: 80
              protocol: TCP
      initContainers:
        - command:
            - /bin/sh
            - '-c'
            - |
              mount -o remount rw /proc/sys
              sysctl -w net.core.somaxconn=65535
          image: 'busybox:latest'
          imagePullPolicy: IfNotPresent
          name: init-sysctl
          resources: {}
          securityContext:
            capabilities:
              add:
                - SYS_ADMIN
              drop:
                - ALL

进入pod查看

# cat /proc/sys/net/core/somaxconn 
65535
【云原生 从零开始学Kubernetes】十六、k8s核心技术-Deployment深入使用_deployment 替换entrypoint
2401_84186067的博客
05-15 986
有时候应用程序可能暂时无法接受请求,比如 Pod 已经 Running 了,但是容器内应用程序尚未启动成功,在这种情况下,如果没有 ReadinessProbe,则 Kubernetes 认为它可以处理请求了,然而此时,我们知道程序还没启动成功是不能接收用户请求的,所以不希望 kubernetes 把请求调度给它,则使用ReadinessProbe 探针。deployment 是一个三级结构,deployment 管理 replicaset,replicaset 管理 pod,
K8s为啥要启用bridge-nf-call-iptables内核参数?用案例给你讲明白
2501_90243327的博客
01-18 761
1、问题现象集群环境为 K8s v1.15.9,cni 指定了 flannel-vxlan 跟 portmap, kube-proxy 使用 mode 为 ipvs问题现象是,某个 Node 节点上的 pod 通过 service 访问其它服务时,有些能通,有些不通,不通的都提示 timeout异常的请求:$ curl -v http://panorama-v2-frontend-service.spring-prod.svc.cluster.local:8080Rebuilt URL to: http:/
K8S 性能优化 - OS sysctl 调优
east4ming的博客
03-12 419
K8S 性能优化系列文章,本文为第一篇:OS sysctl 性能优化参数最佳实践。
Linux的 `sysctl` 命令 笔记250404
最新发布
kfepiza的博客
04-04 735
sysctl是 Linux 系统调优和故障排查的核心工具,通过灵活调整内核参数,可显著优化网络性能、资源利用率和安全性。掌握其用法需结合具体场景谨慎操作,建议优先通过配置文件实现持久化修改
[k8s部署第二遍]3.关闭swap和修改内核参数
weixin_45396500的博客
06-12 401
Swap是交换分区,如果机器内存不够,会使用swap分区,但是swap分区的性能较低,k8s设计的时候为了能提升性能,默认是不允许使用交换分区的。Kubeadm初始化的时候会检测swap是否关闭,如果没关闭,那就初始化失败。Linux的iptables和ipforward参数k8s进行流量控制和包转发的关键参数,需要打开。但是我执行后发现失败,因为普通用户权限不够,做如下修改后成功,加入root@标识,但是仍需要输入密码。是一个用于查看和修改运行 Linux 内核的系统的运行时参数的工具。
【博客523】k8s修改pod的内核参数以优化服务网络性能
qq_43684922的博客
10-16 4018
扩大源端口范围 调大最大文件句柄数 系统最大文件句柄数由 fs.file-max 这个内核参数来控制,一些环境默认值可能为 838860,建议调大: 调大全连接连接队列的大小 TCP 全连接队列的长度如果过小,在高并发环境可能导致队列溢出,使得部分连接无法建立。如果因全连接队列溢出导致了丢包,从统计的计数上是可以看出来的: 2、面对高吞吐场景 调大 TCP 缓冲区 TCP socket 的发送和接收缓冲区也是有上限的,不过对于发送缓冲区,即便满了也是不会丢包的,只是会让程序发送数据包时卡住,等待缓冲区有
K8s中配置 启动 sysctl 与 privileged
LegendHonor的博客
04-21 2993
#修改privileged ReplicationController.spec.template.spec.containers.securityContext: privileged: true #修改sysctl ReplicationController.spec.template.spec.containers.command: ["bash", "-c", "ulimit ...
【精品】Ubuntu轻松搭建k8s集群报错解决
Friendsofthewind的博客
02-03 1720
文章目录环境一、安装docker1.获取docker版本列表2.安装并优化配置二、部署k8s1.引入库2.读入数据总结 环境 主机角色 名称 1、关闭系统swap ; sudo swapoff -a sudo sed -i ‘/swap/ s/^/#/’ /etc/fstab 验证: 2、开启内核ipv4转发开启 sudo vim /etc/sysctl.conf net.ipv4.ip_forward = 1 #开启ipv4转发,允许内置路由 sudo sysctl -
部署k8s集群及报错完美解决方案
Friendsofthewind的博客
11-16 7350
目录部署环境一、master操作二、node01操作 部署环境 Linux版本 CPU MEM CentOS7 双核 4G/node master node01 172.16.0.168 172.16.0.169 1、更改主机名 hostnamectl set-hostname master hostnamectl set-hostname node01 2、添加对应域名解析 cat >> /etc/hosts << EOF 172.16.0
K8S master高可用,多master节点 (keepalived + haproxy)案例
oToyix的博客
06-25 4194
说明 Apiserver是用户和 kubernetes 集群交互的入口,封装了核心对象的增删改查操作,提供了 RESTFul 风格的 API 接口,通过etcd来实现持久化并维护对象的一致性。所以在整个K8S集群中,Apiserver服务至关重要,一旦宕机,整个K8S平台将无法使用,所以保障企业高可用是运维必备的工作之一。 一、环境: 192.168.0.47 master 192.168.0.33 backup 192.168.0.37 backup vip :192.168.0.232 要求:一主两备,
企业项目实战k8s篇(十九)K8s高可用+负载均衡集群
qq_42003848的博客
08-07 1260
K8s高可用+负载均衡集群一.K8s高可用+负载均衡集群概述二.K8s高可用集群部署1.pacemaker+haproxy的高可用+负载均衡部署2.k8s高可用集群部署 一.K8s高可用+负载均衡集群概述 配置高可用(HA)Kubernetes集群,有以下两种可选的etcd拓扑: 集群master节点与etcd节点共存,etcd也运行在控制平面节点上 使用外部etcd节点,etcd节点与master在不同节点上运行 堆叠的etcd拓扑 外部etcd拓扑 二.K8s高可用集群部署 使用5台虚拟机 se
【博客516】k8s实用技巧:为Pod设置内核参数
qq_43684922的博客
10-15 1808
使用该方法,默认情况下有些认为是 unsafe 的参数是不能改的,需要将其配到 kubelet 的 --allowed-unsafe-sysctls 中才可以用。
kubernetes1.4新特性:支持sysctl命令
Kubernetes中文社区
11-22 631
背景介绍 sysctl是一个允许改变正在运行中的Linux系统内核参数的接口。可以通过sysctl修改Linux系统内核中的TCP/IP 堆栈和虚拟内存系统的高级选项,而且不需要重新启动Linux系统,就可以实现优化Linux系统和提高应用进程运行性能。 通过Linux系统中的/proc虚拟文件系统来实现动态配置Linux系统内核参数,在/proc/sys目录下有Linux系统绝大多数的内核参
kubernetes1.4新特性(一):支持sysctl命令
weixin_34223655的博客
04-10 151
2019独角兽企业重金招聘Python工程师标准>>> ...
【收藏】k8s使用securityContext和sysctl
学亮编程手记
07-28 640
https://blog.csdn.net/dianfu2892/article/details/101467081 apiVersion: v1 kind: Pod metadata: name: security-context-demo-4 spec: containers: - name: sec-ctx-4 image: gcr.io/google-samples/node-hello:1.0 securityContext: privileged: t
kubernetes高级之集群中使用sysctls
weixin_30329623的博客
06-25 756
系列目录 在linux系统里,sysctls 接口允许管理员在运行时修改内核参数.参数存在于/proc/sys/虚拟进程文件系统里.参数涉及到很多子模块,例如: 内核(kernel)(常见前缀kernel.) 网络(networking)(常见前缀net.) 虚拟内存(virtual memory) (常见前缀 vm.) MDADM(常见前缀dev.) 启用非安全sysctls sysct...
KubernetesK8S)内核优化常用参数详解
小云的博客
02-10 4401
net.ipv4.tcp_keepalive_time=600 net.ipv4.tcp_keepalive_intvl=30 net.ipv4.tcp_keepalive_probes=...
老卫带你学---K8S源码剖析(Capabilities)
老卫带你学
03-05 536
我们可以在pod、container中通过设置securityContext来限制container对宿节点的权限。
k8s Pod管理
TimeRovers的博客
06-16 709
1.2.1.2 Linux常用的capabilities内核单元 1.2.1.3 pod级别的sysctls内核参数 1.2.2 举例 1.2.2.1 设置普通用户和组 1.2.2.2 设置capabilities内核功能 1.2.2.3 设置sysctls内核安全参数 二、Pod探针和hook 2.1 pod过程......
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值