是否可以在coreos上禁用spectre/meltdown/相关补丁？

Question

有没有可能在较新版本的CoreOS上禁用幽灵和熔毁补丁？在我的公司，我们正在运行一个完全内部的Kubernetes计算机集群，并希望能恢复性能。

在正常的linux系统上，您可以使用内核引导参数进行引导：

pti=off spectre_v2=off l1tf=off nospec_store_bypass_disable no_stf_barrier

但补充说：

set linux_append="coreos.autologin=tty1 pti=off spectre_v2=off l1tf=off nospec_store_bypass_disable no_stf_barrier"

对/usr/share/oem/grub.cfg似乎没有任何影响。

我想知道是我的配置不正确，还是CoreOS不允许更改此行为。

如果有帮助，我们运行的是CoreOS版本："Container Linux by CoreOS 1967.6.0 (Rhyolite)"

Answer 1

显然，上面的配置确实禁用了这些补丁。我使用/proc/cpuinfo来确定是否应用了补丁。一位同事运行了一个检查程序，在添加上述配置后，这些检查程序被禁用。

想想看，在容器linux上，不要相信/proc/cpuinfo的幽灵/熔毁。