Комментарии 6
Меня смутило что оно работает только если полностью убрать все cap_drop, пробовал отключать по одному, нужны именно все иначе никак. Как-то по мне немного теряется изоляция.
В данном случае мы просто режем помельче хост proxmox и за счет этого получаем возможность запустить множество нод кубернетеса для преодоления ограничений архитектуры. Таких, как 110 подов на ноду, например. Выключая капабилити, мы не теряем в безопасности по сравнению как если бы просто запустили ноду на железе.
Но теряем по сравнению как если бы запустили что-то в LXC — вот в чем вопрос.
Если честно, я бы не стал использовать данный способ для запуска обычных нод с рабочей нагрузкой, если для контроллеров и etcd это еще имеет смысл: ha, бэкапы и простота развертывания. То для обычных нод я почти не вижу в этом смысла.
Таких, как 110 подов на ноду, например
для решиния этой проблемы уже достаточно давно предусмотрен флаг --max-pods для kubelet
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Запускаем kubernetes внутри LXC