我得到了以下twistlock漏洞。
(CIS_Docker_CE_v1.1.0 - 5.28)使用PIDs cgroup limit。
如何使用kubernetes部署的yaml文件设置cgroup的pid限制?
我知道docker run有设置pid限制的标志,但是我们没有使用docker run。
谁能给点建议?
在Kubernetes 1.14中,他们增加了一个功能,允许配置一个kubelet来限制一个给定pod可以消耗的PID数量。如果该机器支持32768个PID和100个pod,就可以给每个pod一个300个PID的预算,以防止PID完全耗尽。
参数(PodPidsLimit)是kubelet配置的一部分。 kubelet-configuration.
// The maximum number of processes per pod. If -1, the kubelet defaults to the node allocatable pid capacity.
PodPidsLimit [int64](https://godoc.org/builtin#int64)
要查看当前的配置和参数在当前版本中是否可用。 生成-配置文件.