内核参数配置

CCI服务底座使用安全容器构建了业内领先的Serverless容器平台，同物理机系统内核隔离且互不影响。对于资深业务部署场景，内核参数调优是比较通用的方式。在安全范围内，CCI服务允许客户根据Kubernetes社区推荐的方案，通过Pod的安全上下文（Security Context）对内核参数进行配置，极大提升用户业务部署的灵活性。如果你对securityContext概念不够熟悉，更多信息可阅读Security Context。

在 Linux 中，最通用的内核参数修改方式是通过sysctl接口进行配置。在Kubernetes中，也是通过Pod的sysctl安全上下文（Security Context）对内核参数进行配置，如果你对sysctl概念不够熟悉，可阅读在 Kubernetes 集群中使用 sysctl。安全上下文（Security Context）作用于同一个Pod内的所有容器。

CCI服务支持修改的内核参数范围如下：

kernel.shm*,
kernel.msg*,   
kernel.sem,
fs.mqueue.*,
net.*（net.netfilter.*和net.ipv4.vs.*除外）

以下示例中，使用Pod SecurityContext来对两个sysctl参数net.core.somaxconn和net.ipv4.tcp_tw_reuse进行设置。

apiVersion:v1
kind:Pod
metadata:
     name: xxxxx
     namespace: auto-test-namespace
spec:
    securityContext: 
        sysctls:
        - name: net.core.somaxconn
          value: "65536"
        - name: net.ipv4.tcp_tw_reuse
          value: "1"
        ...
...

进入容器确认配置生效：