kubernetes - Kubernetes Kind 中容器的白名单 sysctl-6ren

kubernetes - Kubernetes Kind 中容器的白名单 sysctl

转载作者：行者123 更新时间：2023-12-02 12:01:44

32

4

我正在尝试在 Kubernetes Kind 集群中部署一个容器。我尝试部署的容器需要设置几个 sysctls 标志。

部署失败

forbidden sysctl: "kernel.msgmnb" not whitelisted

更新

我已经按照建议添加了一个集群策略，创建了一个角色来授予它使用权并将集群角色分配给默认服务帐户:

---
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: sysctl-psp
spec:
  privileged: false  # Don't allow privileged pods!
  # The rest fills in some required fields.
  seLinux:
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'
  allowedUnsafeSysctls:
  - kernel.msg*
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: role_allow_sysctl
rules:
- apiGroups: ['policy']
  resources: ['podsecuritypolicies']
  verbs:     ['*']
  resourceNames:
  - sysctl-psp
- apiGroups: ['']
  resources:
  - replicasets
  - services
  - pods
  verbs: ['*']
- apiGroups: ['apps']
  resources:
  - deployments
  verbs: ['*']

集群角色绑定(bind)是这样的:

kubectl -n <namespace> create rolebinding default:role_allow_sysctl --clusterrole=role_allow_sysctl --serviceaccount=<namespace>:default

然后我尝试在同一个命名空间中创建部署和服务:

---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: test-app
  labels:
    app: test-app
spec:
  selector:
    matchLabels:
      app: test-app
      tier: dev
  strategy:
    type: Recreate
  template:
    metadata:
      labels:
        app: test-app
        tier: dev
    spec:
      securityContext:
        sysctls:
        - name: kernel.msgmnb
          value: "6553600"
        - name: kernel.msgmax
          value: "1048800"
        - name: kernel.msgmni
          value: "32768"
        - name: kernel.sem
          value: "128 32768 128 4096"
      containers:
      - image: registry:5000/<container>:1.0.0
        name: test-app
        imagePullPolicy: IfNotPresent
        ports:
        - containerPort: 10666
          name:port-1
---

但是问题仍然存在，我正在生成多个 pod，所有 pod 都失败并显示相同的消息 forbidden sysctl: "kernel.msgmnb"not whitelisted

最佳答案

我认为 --alowed-unsafe-sysctls 标志不能用于 Kind 节点，因为 Kind 节点本身是容器，其 sysctl FS 是只读的。

我的解决方法是更改主机上所需的 sysctl 值。种类节点(以及它们的容器)将重用这些值。

关于kubernetes - Kubernetes Kind 中容器的白名单 sysctl，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/60704043/

32

4

0

文章推荐： kubernetes - Kubectl 和 Minikube 问题 - 无法连接到服务器

文章推荐： Kubernetes 作业每分钟删除一个 pod

文章推荐： kubernetes - 如何将启动参数传递到我的kubernetes pod服务中

文章推荐： kubernetes - minikube ip 无法访问

Kubernetes kind : sudo kind delete cluster failed to lock config file: open /root/.kube/config.lock: read-only file system but no such file [closed](Kubernetes Kind：SUDO Kind删除集群无法锁定配置文件：打开/根/.kube/config.lock：只读文件系统，但没有此类文件[已关闭])
我正在用KIND测试K8。。我创建了集群：。现在我想用sudo Kind删除集群来删除这个集群，但得到的是：。但是当我转到路径时，我看不到文件：。配置文件：。另外，当调用命令sudo种类删除集群--名
Kubernetes kind : sudo kind delete cluster failed to lock config file: open /root/.kube/config.lock: read-only file system but no such file [closed](Kubernetes Kind：SUDO Kind删除集群无法锁定配置文件：打开/根/.kube/config.lock：只读文件系统，但没有此类文件[已关闭])
我在用kind测试k8。我创建了集群：。现在我想用sudo Kind删除集群来删除这个集群，但得到的是：。但当转到路径时，我没有看到文件：。配置文件：。另外，当调用命令sudo种类删除集群--名称节点
haskell 错误: cannot derive well-kinded instance/kind-mismatch
我在 Haskell 中为日期结构派生 Typeable1 实例时遇到问题。这是我的代码: {-# LANGUAGE StandaloneDeriving #-} {-# LANGU
kubernetes - 创建Kubernetes作业的结果为 'batch/, Kind=Job matches multiple kinds'
我最近从Kubernetes 1.2.0升级到Kubernetes 1.3.0，现在当我尝试开始工作时遇到以下错误: $ kubectl create -f pijob.yaml unable to
python - 子图的标题在 kind ='bar' 时显示，但在 kind ='line' 时不显示
当我创建这样的子图时: import pandas as pd import numpy as np import matplotlib.pyplot as plt import itertools
python - pandas matplotlib .plot(kind ='hist') vs .plot(kind ='bar') 问题
我有一个名为 firstperiod 的 pandas 数据框和一个名为 megaball 的列。 megaball 的取值范围是 1 到 25，这行代码: print firstperiod.meg
Have a DateTime Kind.Unspecified column in Postgresql in EF Core(在EF Core中的PostgreSQL中有一个DateTime Kind。未指定列)
我有一个数据库列：。如何使其仅允许Kind。未指定？。当我插入以下内容时，出现以下错误：。我见过的每个解决方案都是使用Npgsql.EnableLegacyTimestampBehavior。但是，这
Have a DateTime Kind.Unspecified column in Postgresql in EF Core(在EF Core的PostgreSQL中有一个DateTime Kind.UnSpecify列)
我有一个数据库列：。如何使其仅允许Kind。未指定？。当我插入以下内容时，出现以下错误：。我见过的每个解决方案都是使用Npgsql.EnableLegacyTimestampBehavior。但是，这
reflection - 在 go 反射包中，调用 Value.Kind() 是 Value.Type().Kind() 的语法糖吗？
两个reflect.Type接口(interface)和reflect.Value type 实现相同的 Kind() 方法签名，假设我们有一些值对象 v := reflect.ValueOf(x)
python - 如何使用 sharex=True 在 catplot(kind ='count')之上绘制 seaborn catplot(kind ='violin')
到目前为止，我已经尝试了以下代码: # Import to handle plotting import seaborn as sns # Import pyplot, figures inline,
docker - "Kind"写入节点创建集群失败
我正在尝试为我的 kubernetes 集群设置一个 kind 集群。不幸的是，它在编写节点时准备好节点后失败了。我将附上输出和一些信息。提前感谢您的帮助! 干杯错误 $ kind create c
Haskell 奇怪的种类 : Kind of (->) is ? ？ ->？ -> *
当我尝试 Haskell 类型并尝试获得 -> 类型时，结果出现了: $ ghci ... Prelude> :k (->) (->) :: ?? -> ? -> * Prelude> 而不是预期的*
go - 获取基于原始类型的类型的reflect.Kind
我想将reflect.Kind作为实现接口(interface)的类型的reflect.Interface，但其实现基于原始类型:type id string 对此问题的另一种答案可能是如何在调用 K
javascript - 无法读取未定义的属性 'kind'
运行我的项目 ng build --prod --base-href="./" 得到下面的错误信息 ERROR in ./node_modules/ng-multiselect-dropdown/fe
scala - 在类型系统的上下文中， “kind”是什么？
我已经阅读了Wikipedia文章，并搜索了明显的地方，但是我陷入了困境。有人可以简单地告诉我什么是实物吗？它是干什么用的？斯卡拉的例子最受赞赏最佳答案简而言之:一种类型就是类型，值就是类型。
scala - Higher-Kinded 存在类型
我一直在思考我正在处理的库中的一个设计问题，我意识到使用存在类型可能允许我以一种简化库的许多部分的方式更改我的设计。但是，我似乎无法让它正常工作。在我看来，myBuilder 符合 MultiSig
scala - kind-projector 返回奇怪的结果
我有这些类型: SomeTypeClass 具有一个类型参数 kind * => * => * 的更高类型 trait SomeTypeClass[P[_, _]] { def test[F[
cocoa - 如何获取文件的 Finder "Kind"？
我想要获取文件的“Kind”查找器。例如，对于文件“foo.css”，我想要字符串“CSS样式表”。到目前为止，我正在做这样的事情: NSURL *fileURL = [[NSURL alloc]
haskell - kind 类型 (* -> *) -> * 的仿函数和应用程序
我遇到了这样一种情况，我的代码可以从使用 Functor 中受益。和 Applicative - 类似抽象，但用于类型 (* -> *) -> * .可以使用 RankNTypes 定义更高种类的仿函
scala - 类型论 : type kinds
我读过很多关于类型种类、更高种类的类型等等的有趣的东西。默认情况下，Haskell 支持两种类型: 简单类型:* 类型构造函数:* → * 最新 GHC 语言扩展 ConstraintKinds添加了

首页

博学

6Ren·AI

商城

kubernetes - Kubernetes Kind 中容器的白名单 sysctl