k8s 容器内核参数的隔离性研究

[heidsoft]

https://blog.horus-k.com/2021/08/20/%E5%AE%B9%E5%99%A8%E5%86%85%E6%A0%B8%E4%BC%98%E5%8C%96/ https://tencentcloudcontainerteam.github.io/2018/11/19/kernel-parameters-and-container/ https://kubernetes.io/zh-cn/docs/tasks/administer-cluster/sysctl-cluster/ https://imroc.cc/blog/2020/01/12/kubernetes-overflow-and-drop https://imroc.cc/kubernetes/troubleshooting/network/packet-loss https://feisky.xyz/posts/2020-06-06-linux-perf/

至今为止，大多数 有命名空间的 sysctl 参数不一定被认为是 安全 的。 以下几种 sysctl 参数是 安全的：

kernel.shm_rmid_forced, net.ipv4.ip_local_port_range, net.ipv4.tcp_syncookies, net.ipv4.ping_group_range（从 Kubernetes 1.18 开始）, net.ipv4.ip_unprivileged_port_start（从 Kubernetes 1.22 开始）。