背景某天突然发现自己的测试环境中有Evicted状态的pod，于是需要排查原因。先来看看大致情况：[root@k8s-m1~]#kubectlgetpod-A-owide|grepk8s-m1kube-systemcalico-kube-controllers-bcc6f659f-575mr1/1Running3177d10.244.42.148k8s-m1none>none>kube-systemcalico-node-79p6j1/1Running2153d192.168.2.140k8s-m1none>none>kube-systemcoredns-6d56c8448f-l9xmz1/1

关键字:[AmazonWebServicesre:Invent2023,AmazonEKS,KubernetesSecurity,KubernetesVulnerabilities,KubernetesAttackVectors,SecuringKubernetesClusters,HardeningKubernetes]本文字数:2300,阅读完需:12分钟视频导读本次分享介绍了Kubernetes体系结构的基本原理及常见攻击向量、AmazonElasticKubernetesService为解决这些问题提供的安全控制、客户可以实施的降低风险策略，以及改进开源Kubernete的契机。演讲精

配套实验环境点击直达阿里云实验室点击直达阿里云实验室点击直达阿里云实验室环境概览软件版本数量CentOS7.9/8.x3Docker23.0.3kubeadmv1.27.1kubeletv1.27.1kubectlv1.27.1基础环境配置关闭selinux和swap(云服务器可跳过此步骤)(每个节点操作)setenforce0sed-i's/^SELINUX=.*/SELINUX=permissive/g'/etc/selinux/configsed-i'/swap/s/^\(.*\)$/#\1/g'/etc/fstabswapoff-a修改主机名(每个节点修改为正确的名字)hostname

目录常见问题一，error:failedtorunKubelet:failedtocreatekubelet:misconfiguration:kubeletcgroupdriver:“systemd”isdifferentfromdockercgroupdriver:“cgroupfs” 常见问题二、error:“Failedtoloadkubeletconfigfile”err=“failedtoloadKubeletconfigfile/var/lib/kubelet/config.yaml”常见问题一，error:failedtorunKubelet:failedtocreatekub