Настройки кластера
В кластерах Cloud Containers уже применены определенные настройки, перечисленные ниже.
Сетевой прокси Kubernetes выполняется на каждом узле, обеспечивая доступ к IP-адресам сервисов и других ресурсов Kubernetes.
Этот прокси может работать в нескольких режимах, они перечислены в описании настройки --proxy-mode. В кластерах Cloud Containers прокси работает в режиме iptables. Этот режим работы влияет:
При работе с подами рекомендуется указывать в их конфигурационных файлах параметры requests и limits для контейнеров, входящих в этот под.
Если эти параметры не указаны, в кластерах Cloud Containers для соответствующих контейнеров автоматически применяются значения:
requests: 100m CPU и 64Mb выделяемой памяти.limits: 500m CPU и 512Mb выделяемой памяти.
Это позволяет избежать ситуации, когда некорректно работающий контейнер исчерпает все вычислительные ресурсы отдельного worker-узла или даже всего кластера.
В кластерах Cloud Containers версий 1.21 и выше действуют политики безопасности по умолчанию, которые обеспечивают базовую защиту кластеров от нескольких распространенных уязвимостей.
Эти политики реализуются с помощью преднастроенных шаблонов и ограничений Gatekeeper. Не рекомендуется изменять или удалять эти шаблоны и ограничения: некорректная работа или отсутствие политик может снизить безопасность кластера.
Политики безопасности не действуют в кластерах версий ниже 1.21. Чтобы подключить их, обновите такие кластера до актуальной версии. Если обновление невозможно, установите Gatekeeper вручную, а затем настройте ограничения и шаблоны.
Подробнее об политиках и рекомендациях по работе с ними читайте в разделе Политики безопасности.