Αυτή η ανάρτηση θα συζητήσει τι είναι το Linux sysctl στο Kubernetes και πώς μπορεί να χρησιμοποιηθεί σε ένα σύμπλεγμα Kubernetes. Το sysctl είναι μια διεπαφή στο λειτουργικό σύστημα Linux που επιτρέπει στον διαχειριστή να τροποποιήσει τις παραμέτρους του πυρήνα κατά το χρόνο εκτέλεσης. Εδώ, θα δείξουμε πώς να χρησιμοποιείτε τα sysctls Linux στην πλατφόρμα Kubernetes. Θα παρουσιάσουμε ένα απλό παράδειγμα για να σας βοηθήσουμε να κατανοήσετε τι είδους έξοδο μπορείτε να περιμένετε κατά την υλοποίηση των εντολών kubectl για τη χρήση των sysctls στο Kubernetes.
Τι είναι τα sysctls;
Το sysctls είναι μια διεπαφή στο Linux που χρησιμοποιείται για την προσαρμογή των παραμέτρων του πυρήνα στο χρόνο εκτέλεσης για τον χώρο ονομάτων σε ένα κοντέινερ. Αυτές οι παράμετροι βρίσκονται στο αρχείο εικονικής διεργασίας /proc/sys/ και καλύπτουν διάφορα υποσυστήματα όπως εικονική μνήμη, δίκτυα, πυρήνα κ.λπ. Μόνο τα sysctls με χώρο ονομάτων μπορούν να ρυθμιστούν ανεξάρτητα σε pods και το Kubernetes εκθέτει τις ρυθμίσεις sysctl. Τα sysctls επιπέδου κόμβου που δεν έχουν χώρο ονομάτων πρέπει να οριστούν με άλλη μέθοδο ρύθμισης sysctls όπως ο τελεστής συντονισμού κόμβου. Επιπλέον, μόνο τα ασφαλή sysctls περιλαμβάνονται στη λίστα επιτρεπόμενων από προεπιλογή, ενώ τα μη ασφαλή sysctls πρέπει να ενεργοποιηθούν χειροκίνητα στον κόμβο, ώστε να είναι διαθέσιμα στον χρήστη. Τώρα, ας καταλάβουμε πώς να χρησιμοποιήσουμε το Linux sysctls στο Kubernetes.
Προαπαιτούμενα
Πριν αρχίσετε να μαθαίνετε πώς να χρησιμοποιείτε τα Linux sysctls στο Kubernetes, βεβαιωθείτε ότι έχετε εγκαταστήσει τα ακόλουθα εργαλεία στο σύστημά σας:
-
- Kubernetes έκδοση 1.23 ή οποιαδήποτε άλλη τελευταία έκδοση
- Ubuntu 20.04 ή οποιαδήποτε άλλη τελευταία έκδοση
- Sysctls για υποστήριξη pod
- Εργαλείο γραμμής εντολών Kubectl
- Σμήνος Minikube
Υποθέτοντας ότι το σύστημά σας ικανοποιεί τις προαπαιτούμενες ανάγκες, μεταβαίνουμε στην ενότητα υλοποίησης.
Πώς να χρησιμοποιήσετε τα sysctls Linux στο Kubernetes;
Το λειτουργικό σύστημα Linux είναι μια πλατφόρμα που σας επιτρέπει να συντονίζετε τους πυρήνες μέσω κουμπιών sysctls στη στοίβα δικτύου. Ορισμένα από τα sysctls έχουν χώρο ονομάτων για ένα pod με τη δική του διαμόρφωση, ενώ άλλα ισχύουν για ολόκληρο το σύστημα. Η Kubernetes έχει ομαδοποιήσει τη διεπαφή sysctls σε δύο κατηγορίες:
-
- Διαστήματα ονομάτων έναντι sysctls σε επίπεδο κόμβου
- Ασφαλή vs μη ασφαλή συστήματα
Διαστημικά ονομάτων έναντι sysctls σε επίπεδο κόμβου:
Στον πυρήνα του Linux, τα περισσότερα από τα sysctls έχουν χώρο ονομάτων που σας επιτρέπει να τα ρυθμίσετε ανεξάρτητα μεταξύ διαφόρων pods σε έναν κόμβο. Τα sysctls με χώρο ονομάτων είναι εύκολα προσβάσιμα σε μια ομάδα Kubernetes. Μερικά από τα sysctls με χώρο ονομάτων είναι τα εξής:
-
- fs.mqueue.*
- πυρήνας .msg*
- kernel.shm*
- πυρήνας.sem
Τα sysctls σε επίπεδο κόμβου δεν έχουν χώρο ονομάτων και ο διαχειριστής του συμπλέγματος πρέπει να τα ορίσει με μη αυτόματο τρόπο. Ο διαχειριστής του συμπλέγματος είτε χρησιμοποιεί ένα δαιμονικό σύνολο με ένα προνομιακό κοντέινερ είτε μπορεί να τροποποιήσει τη διανομή Linux του κόμβου /etc/sysctls.conf. Ο χειριστής συντονισμού κόμβων μπορεί επίσης να χρησιμοποιηθεί για να ορίσετε τα sysctls επιπέδου κόμβου.
Ασφαλή έναντι μη ασφαλών συστημάτων:
Υπάρχουν δύο ομάδες sysctls: ασφαλείς και μη ασφαλείς. Τα ασφαλή sysctls έχουν κατάλληλο χώρο ονομάτων και είναι πλήρως απομονωμένα μέσα στα pod στον ίδιο κόμβο. Τα ασφαλή sysctls είναι ενεργοποιημένα από προεπιλογή και μπορούν να χρησιμοποιηθούν σε ένα pod τροποποιώντας την προδιαγραφή του pod. Ωστόσο, τα μη ασφαλή sysctls είναι απενεργοποιημένα από προεπιλογή και πρέπει να ενεργοποιηθούν με μη αυτόματο τρόπο από τον διαχειριστή του συμπλέγματος. Τα ασφαλή sysctls δεν επηρεάζουν τους γείτονές τους, δεδομένου ότι είναι σωστά πεδία ονομάτων. Ενώ τα μη ασφαλή συστήματα μπορούν απροσδόκητα να επηρεάσουν τους γείτονές τους όπως η υπερφόρτωση ενός συστήματος. Το ασφαλές σύνολο sysctls είναι το εξής:
-
- net.ipv4.ping_group_range
- net.ipv4.ip_local_port_range
- πυρήνας.shm_rmid_forced
- net.ipv4.tcp_syncookies
Το σημείο που πρέπει να σημειωθεί εδώ είναι ότι μόνο ο χώρος ονομάτων δεν αρκεί για να θεωρηθεί το sysctl ασφαλές.
Τώρα που καταλάβαμε και τις δύο κατηγορίες sysctls, ας προχωρήσουμε για να μάθουμε πώς να χρησιμοποιούμε αυτά τα sysctls στο Kubernetes. Εδώ, θα σας καθοδηγήσουμε για το πώς να χρησιμοποιείτε ασφαλή και μη ασφαλή sysctls και πώς να ενεργοποιείτε με μη αυτόματο τρόπο μη ασφαλή sysctls στο Kubernetes.
Βήμα # 1: Ξεκινήστε το Minikube Cluster
Η πλατφόρμα Kubernetes μπορεί να χρησιμοποιηθεί μέσω ορισμένων συστάδων και χρησιμοποιούμε το σύμπλεγμα minikube εδώ. Για να ξεκινήσετε το σύμπλεγμα minikube, μπορείτε να χρησιμοποιήσετε την εντολή που δίνεται παρακάτω:
> ξεκινήστε το minikube
Αυτό θα ξεκινήσει το σύμπλεγμα minikube όπου μπορείτε να εκτελέσετε τις εντολές kubectl και να χρησιμοποιήσετε τα sysctls Linux στην πλατφόρμα Kubernetes. Όταν εκτελέσετε αυτήν την εντολή, θα λάβετε μια παρόμοια έξοδο με αυτή που δίνεται παρακάτω:
Βήμα # 2: Ελέγξτε τις παραμέτρους του sysctls
Η διεπαφή sysctls χρησιμοποιείται για την τροποποίηση των παραμέτρων του πυρήνα που βρίσκονται στο /proc/sys/ εικονικό αρχείο διεργασίας. Για να παραθέσουμε όλες τις παραμέτρους, μπορεί να χρησιμοποιηθεί η παρακάτω εντολή:
> sudo sysctl -ένα
Αυτή η εντολή θα εμφανίσει όλες τις παραμέτρους του πυρήνα από το αρχείο εικονικής διεργασίας /proc/sys/. Δείτε το δείγμα εξόδου που δίνεται στο στιγμιότυπο παρακάτω:
Βήμα # 3: Ενεργοποίηση Μη ασφαλών sysctls
Τα μη ασφαλή sysctls πρέπει να ενεργοποιηθούν χειροκίνητα επειδή είναι απενεργοποιημένα από προεπιλογή. Ο διαχειριστής συμπλέγματος ενεργοποιεί με μη αυτόματο τρόπο τα μη ασφαλή sysctls σε βάση ανά κόμβο. Οι ομάδες που έχουν απενεργοποιήσει τα μη ασφαλή συστήματα δεν μπορούν να εκκινηθούν αλλά μόνο να προγραμματιστούν. Υπάρχουν ορισμένες συγκεκριμένες συνθήκες (όπως συντονισμός εφαρμογής χρόνου εκτέλεσης, υψηλή απόδοση κ.λπ.) όταν ο διαχειριστής του συμπλέγματος μπορεί να επιτρέψει τα μη ασφαλή sysctls. Για να ενεργοποιήσετε τα μη ασφαλή sysctls σε κόμβο προς κόμβο, μπορείτε να χρησιμοποιήσετε την εντολή kubectl που δίνεται παρακάτω:
> kubectl –allowed-unsafe-sysctls \
Αυτός είναι ένας πολύ βασικός και απλός τρόπος για να ενεργοποιήσετε μη ασφαλή sysctls χρησιμοποιώντας την εντολή kubectl.
Επιπλέον, τα μη ασφαλή sysctls μπορούν να ενεργοποιηθούν χρησιμοποιώντας τη σημαία minikube extra-config. Αυτό μπορεί να γίνει χρησιμοποιώντας την εντολή που δίνεται παρακάτω:
Αυτή η εντολή σάς επιτρέπει να ενεργοποιήσετε τα μη ασφαλή sysctls μέσω του συμπλέγματος minikube. Ωστόσο, μπορεί να ενεργοποιήσει μόνο τα sysctls με χώρο ονομάτων. Δείτε το δείγμα εξόδου που δίνεται στο στιγμιότυπο παρακάτω:
συμπέρασμα
Αυτό το άρθρο μας παρείχε μια επισκόπηση της διεπαφής sysctls Linux. Συζητήσαμε τι είναι ένα Linux sysctl και πώς μπορεί να χρησιμοποιηθεί στο περιβάλλον Kubernetes. Υπάρχουν δύο ομάδες sysctls: είναι ασφαλές και μη ασφαλές. Η ασφαλής ομάδα sysctls είναι ενεργοποιημένη από προεπιλογή, ενώ η μη ασφαλής ομάδα sysctls είναι απενεργοποιημένη από προεπιλογή. Με τη βοήθεια ενός απλού και εύκολου παραδείγματος, μάθαμε πώς να ενεργοποιούμε τα μη ασφαλή sysctls χρησιμοποιώντας την εντολή kubectl και τη σημαία minikube –extra-config.