个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
32
4
我正在尝试在 Kubernetes Kind 集群中部署一个容器。我尝试部署的容器需要设置几个 sysctls 标志。
部署失败
forbidden sysctl: "kernel.msgmnb" not whitelisted
更新
我已经按照建议添加了一个集群策略,创建了一个角色来授予它使用权并将集群角色分配给默认服务帐户:
---
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: sysctl-psp
spec:
privileged: false # Don't allow privileged pods!
# The rest fills in some required fields.
seLinux:
rule: RunAsAny
supplementalGroups:
rule: RunAsAny
runAsUser:
rule: RunAsAny
fsGroup:
rule: RunAsAny
volumes:
- '*'
allowedUnsafeSysctls:
- kernel.msg*
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: role_allow_sysctl
rules:
- apiGroups: ['policy']
resources: ['podsecuritypolicies']
verbs: ['*']
resourceNames:
- sysctl-psp
- apiGroups: ['']
resources:
- replicasets
- services
- pods
verbs: ['*']
- apiGroups: ['apps']
resources:
- deployments
verbs: ['*']
集群角色绑定(bind)是这样的:
kubectl -n <namespace> create rolebinding default:role_allow_sysctl --clusterrole=role_allow_sysctl --serviceaccount=<namespace>:default
然后我尝试在同一个命名空间中创建部署和服务:
---
apiVersion: apps/v1
kind: Deployment
metadata:
name: test-app
labels:
app: test-app
spec:
selector:
matchLabels:
app: test-app
tier: dev
strategy:
type: Recreate
template:
metadata:
labels:
app: test-app
tier: dev
spec:
securityContext:
sysctls:
- name: kernel.msgmnb
value: "6553600"
- name: kernel.msgmax
value: "1048800"
- name: kernel.msgmni
value: "32768"
- name: kernel.sem
value: "128 32768 128 4096"
containers:
- image: registry:5000/<container>:1.0.0
name: test-app
imagePullPolicy: IfNotPresent
ports:
- containerPort: 10666
name:port-1
---
但是问题仍然存在,我正在生成多个 pod,所有 pod 都失败并显示相同的消息 forbidden sysctl: "kernel.msgmnb"not whitelisted
最佳答案
我认为 --alowed-unsafe-sysctls 标志不能用于 Kind 节点,因为 Kind 节点本身是容器,其 sysctl FS 是只读的。
我的解决方法是更改主机上所需的 sysctl 值。种类节点(以及它们的容器)将重用这些值。
关于kubernetes - Kubernetes Kind 中容器的白名单 sysctl,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60704043/
32
4
0
我正在尝试制作一个读取系统信息(在 MacOS 上)的应用程序,并且我已经能够像这样读取 sysctl STRINGS: func cpu() -> String { var size =
我查看了手册页和文档,但它们只讨论了命令行调用。我说的是 C 函数。关于它的两个问题: C 中 sysctl() 的参数是什么? (我只想要一个将军描述每个参数是什么以及它的用途) sysctl()
考虑这段代码: int procmon_state = 0; static struct ctl_table_header *procmon_table_header; static ctl_tabl
Scanario:我有一个容器镜像,需要使用net.core.somaxconn> default_value运行。我正在使用Kubernetes在GCE中部署和运行。 我的集群中的节点(vms)配置
我需要一种方法来检索 Mac 上所有用户的所有正在运行的进程(使用 Cocoa)。我找到了一个使用 sysctl 检索进程的实现,但我还需要运行用户。这是我获取进程列表的截图,但是有没有办法修改它以包
在我的应用程序中,我需要在 Android 中编辑 sysctl 设置。对于 example,我见过很少的应用程序可以做到这一点但我不知道他们如何以编程方式执行此操作,是否有任何想法如何执行此操作?
在 4.10.0-38-generic 版本中,ctl_table 结构中没有 ctl_name 字段我找到了教程 https://www.google.com/url?sa=t&rct=j&q=&e
我有以下代码 import sys from ctypes import * from ctypes.util import find_library libc = cdll.LoadLibrary(
我的实际限制是 1024: $ ulimit -a core file size (blocks, -c) 0 data seg size (kbytes, -d
我在 docker-compose 文件中有一个 sysctls 设置,但据我了解,此指令在版本 3 中被忽略: sysctls: - net.core.somaxconn = 655
我正在尝试在 Kubernetes Kind 集群中部署一个容器。我尝试部署的容器需要设置几个 sysctls 标志。 部署失败 forbidden sysctl: "kernel.msgmnb" n
我正在尝试从内核模块访问 tcp_input.c 中定义的 tcp_pacing_ss_ratio。可以在用户空间使用 sysctl 命令修改该变量。但是,它不会导出,也不能直接从模块中引用。 从内核
为什么我们要在Linux中配置hugepage值? 我们什么时候配置hugepage值以及如何计算hugepage值? 最佳答案 当需要在 RAM 中连续(按顺序)分配大内存页时,通常会配置大页值。
要在内核模式和用户空间进行通信,我使用 this C program .我正在使用以下 Makefile 创建要加载的 .ko 文件。 bj-m := sysctl_test.o KDIR
我正在运行 x86_64 RedHat 5.3(内核 2.6.18)并在尝试设置 UDP 缓冲区的上下文中专门查看来自 sysctl -a 的 net.core.rmem_max。接收器应用程序有时会
我有一个剧本,其中有几个任务将值设置为 sysctl。我如何使用 sysctl 模块通过一个任务设置所有值,而不是为每个设置设置一个任务? 剧本片段: - name: Set tcp_keepaliv
14 "Mojave"在我的 macbook 上,我正在尝试增加 fs.inotify.max_user_watches值在 /etc/sysctl.conf (解决另一个问题)。为了结束这个仪式,我
Nginx 充当广告服务器的反向代理,每分钟接收 2 万个请求。响应发生在从广告服务器到 nginx 的 100 毫秒内 在配置为的虚拟机上运行 128GB 内存 4 个虚拟 CPU 100GB 硬盘
我需要更新 /etc/sysctl.conf,但如果更改,我需要运行 systemctl -p --system。 如何在我的剧本中实现这一目标? 最佳答案 您可以通过使用处理程序或注册任务并有条件地
我正在尝试制作我的第一个 dockerfile(我是新手),我需要系统运行命令 sysctl -w kernel.randomize_va_space=0 (它是一个实验室环境。),但我收到错误: s
我是一名优秀的程序员,十分优秀!