Tento příspěvek pojednává o tom, co je Linux sysctl v Kubernetes a jak jej lze použít v clusteru Kubernetes. sysctl je rozhraní v operačním systému Linux, které umožňuje správci upravovat parametry jádra za běhu. Zde si ukážeme, jak používat Linux sysctls na platformě Kubernetes. Předvedeme jednoduchý příklad, který vám pomůže pochopit, jaký druh výstupu můžete očekávat při implementaci příkazů kubectl pro použití sysctls v Kubernetes.
Co jsou sysctls?
sysctls je rozhraní v Linuxu, které se používá k úpravě parametrů jádra za běhu pro jmenný prostor v kontejneru. Tyto parametry lze nalézt v souboru virtuálního procesu /proc/sys/ a pokrývají různé subsystémy, jako je virtuální paměť, sítě, jádro atd. Pouze sysctl s jmenným prostorem lze nastavit nezávisle na podech a Kubernetes zpřístupňuje nastavení sysctl. Systémy sysctls na úrovni uzlů, které nemají jmenný prostor, musí být nastaveny jinou metodou nastavení sysctls, jako je operátor ladění uzlů. Kromě toho jsou ve výchozím nastavení na seznamu povolených pouze bezpečné sysctl, zatímco nebezpečné sysctl musí být v uzlu ručně povoleny, aby mohly být uživateli dostupné. Nyní pochopíme, jak používat Linux sysctls v Kubernetes.
Předpoklady
Než se začnete učit, jak používat Linux sysctls v Kubernetes, ujistěte se, že máte ve svém systému nainstalované následující nástroje:
-
- Kubernetes verze 1.23 nebo jakákoli jiná nejnovější verze
- Ubuntu 20.04 nebo jakákoli jiná nejnovější verze
- Sysctls pro podporu pod
- Nástroj příkazového řádku Kubectl
- Minikube cluster
Za předpokladu, že váš systém splňuje nezbytné potřeby, přecházíme do sekce implementace.
Jak používat Linux sysctls v Kubernetes?
Operační systém Linux je platforma, která vám umožňuje ladit jádra pomocí knobů sysctls v síťovém zásobníku. Některé ze sysctls mají jmenný prostor pro modul s vlastní konfigurací, zatímco jiné jsou platné pro celý systém. Kubernetes seskupil rozhraní sysctls do dvou kategorií:
-
- Namespaced vs sysctls na úrovni uzlů
- Bezpečné vs. nebezpečné sysctls
Namespaced vs sysctls na úrovni uzlu:
V linuxovém jádře má většina sysctls jmenný prostor, což vám umožňuje nastavit je nezávisle mezi různými moduly na jednom uzlu. Jmenné sysctls jsou snadno dostupné v Kubernetes pod. Některé ze jmenných prostorů sysctls jsou následující:
-
- fs.mqueue.*
- kernel .msg*
- kernel.shm*
- kernel.sem
Systémy sysctl na úrovni uzlu nemají jmenný prostor a správce clusteru je musí nastavit ručně. Správce clusteru buď používá sadu démonů s privilegovaným kontejnerem, nebo může upravit distribuci Linuxu uzlu /etc/sysctls.conf. Operátor ladění uzlů lze také použít k nastavení sysctls na úrovni uzlu.
Bezpečné vs. nebezpečné sysctls:
Existují dvě skupiny sysctls: bezpečné a nebezpečné. Bezpečné sysctls mají správně jmenný prostor a jsou zcela izolovány v podech na stejném uzlu. Bezpečné sysctls jsou ve výchozím nastavení povoleny a lze je použít v podu úpravou specifikace podu. Nebezpečné sysctls jsou však ve výchozím nastavení zakázány a musí je ručně povolit správce clusteru. Bezpečné sysctls neovlivňují své sousedy, protože mají správně jmenný prostor. Zatímco nebezpečné sysctls mohou neočekávaně ovlivnit své sousedy, jako je přetížení systému. Bezpečná sada sysctls je následující:
-
- net.ipv4.ping_group_range
- net.ipv4.ip_local_port_range
- kernel.shm_rmid_forced
- net.ipv4.tcp_syncookies
Zde je třeba poznamenat, že pouhý jmenný prostor nestačí k tomu, aby byl sysctl považován za bezpečný.
Nyní, když jsme pochopili obě kategorie sysctls, pojďme se naučit, jak tyto sysctls používat v Kubernetes. Zde vás provedeme tím, jak používat bezpečné i nebezpečné sysctls a jak ručně povolit nebezpečné sysctls v Kubernetes.
Krok č. 1: Spusťte Minikube Cluster
Platformu Kubernetes lze používat prostřednictvím některých clusterů a my zde používáme cluster minikube. Chcete-li spustit cluster minikube, můžete použít příkaz uvedený níže:
> spustit minikube
Tím se spustí cluster minikube, kde můžete spouštět příkazy kubectl a používat Linux sysctls na platformě Kubernetes. Po provedení tohoto příkazu získáte výstup podobný tomu, který je uveden níže:
Krok # 2: Zkontrolujte parametry sysctls
Rozhraní sysctls se používá k úpravě parametrů jádra, které se nacházejí v souboru virtuálního procesu /proc/sys/. Pro výpis všech parametrů lze použít níže uvedený příkaz:
> sudo sysctl -A
Tento příkaz zobrazí seznam všech parametrů jádra ze souboru virtuálního procesu /proc/sys/. Podívejte se na ukázkový výstup uvedený na snímku níže:
Krok # 3: Povolte Nebezpečné sysctls
Nebezpečné sysctls je třeba povolit ručně, protože jsou ve výchozím nastavení zakázány. Správce clusteru ručně povolí nebezpečné sysctls na základě jednotlivých uzlů. Pody, které mají zakázané nebezpečné sysctls, nelze spustit, ale pouze naplánovat. Existují určité specifické podmínky (např. ladění aplikací za běhu, vysoký výkon atd.), kdy může správce clusteru povolit nebezpečné sysctls. Chcete-li povolit nebezpečné sysctls na bázi jednotlivých uzlů, můžete použít příkaz kubectl uvedený níže:
> kubectl –allowed-unsafe-sysctls \
Toto je velmi základní a jednoduchý způsob, jak povolit nebezpečné sysctls pomocí příkazu kubectl.
Nebezpečné sysctls lze navíc povolit pomocí příznaku minikube extra-config. To lze provést pomocí příkazu uvedeného níže:
Tento příkaz vám umožňuje povolit nebezpečné sysctls prostřednictvím clusteru minikube. Může však povolit pouze jmenné prostory sysctls. Podívejte se na ukázkový výstup uvedený na snímku níže:
Závěr
Tento článek nám poskytl přehled rozhraní Linux sysctls. Diskutovali jsme o tom, co je to Linux sysctl a jak jej lze použít v prostředí Kubernetes. Existují dvě skupiny sysctls: je bezpečný a nebezpečný. Bezpečná skupina sysctls je ve výchozím nastavení povolena, zatímco skupina nebezpečných sysctls je ve výchozím nastavení zakázána. S pomocí jednoduchého a snadného příkladu jsme se naučili, jak povolit nebezpečné sysctls pomocí příkazu kubectl a příznaku minikube –extra-config.