无法从GKE中的特权init容器中设置net.netfilter.nf_conntrack_max

Question

我遇到了一个与使用init容器修改内核参数有关的问题。

我使用busybox 特权容器来修改一些内核参数。当我试图更改net.netfilter.nf_conntrack_max参数时，我得到的是错误：

sysctl: error setting key 'net.netfilter.nf_conntrack_max': Permission denied

所有其他内核参数都可以在没有问题的情况下被改变(索马康恩等等)。

花很多时间去寻找一个解决方案，但没有运气。请分享你的想法。

Answer 1

我不认为您可以将init容器中的net.netfilter.nf_conntrack_max设置为“未命名空间”参数。您应该能够使用每个节点上的特权DaemonSet来设置它。

Answer 2

您可以将hostNetwork: true添加到pod模板中的spec部分，以允许pods访问节点的网络命名空间。https://kubernetes.io/docs/concepts/security/pod-security-policy/#host-namespaces