是否可以在 coreos 上禁用 spectre/meltdown/related 补丁?
Is it possible to disable spectre/meltdown/related patches on coreos?
是否可以在更高版本的 CoreOS 上禁用 Spectre 和 Meltdown 补丁?在我的公司,我们是 运行 一个完全内部的 Kubernetes 计算机集群,并且正在寻求恢复性能。
在正常的 linux 系统上,您可以使用内核启动参数启动:
pti=off spectre_v2=off l1tf=off nospec_store_bypass_disable no_stf_barrier
但添加:
set linux_append="coreos.autologin=tty1 pti=off spectre_v2=off l1tf=off nospec_store_bypass_disable no_stf_barrier"
至/usr/share/oem/grub.cfg
似乎没有任何效果。
我想知道是我的配置不正确还是 CoreOS 不允许更改此行为。
如果有帮助,我们 运行 CoreOS 版本:"Container Linux by CoreOS 1967.6.0 (Rhyolite)"
显然上面的配置确实禁用了那些补丁。我正在使用 /proc/cpuinfo
来确定是否应用了补丁。一个同事运行一个检查器,在添加上面的配置后他们被禁用了。
算了,不要相信容器 linux 上 spectre/meltdown 的 /proc/cpuinfo
。
是否可以在更高版本的 CoreOS 上禁用 Spectre 和 Meltdown 补丁?在我的公司,我们是 运行 一个完全内部的 Kubernetes 计算机集群,并且正在寻求恢复性能。
在正常的 linux 系统上,您可以使用内核启动参数启动:
pti=off spectre_v2=off l1tf=off nospec_store_bypass_disable no_stf_barrier
但添加:
set linux_append="coreos.autologin=tty1 pti=off spectre_v2=off l1tf=off nospec_store_bypass_disable no_stf_barrier"
至/usr/share/oem/grub.cfg
似乎没有任何效果。
我想知道是我的配置不正确还是 CoreOS 不允许更改此行为。
如果有帮助,我们 运行 CoreOS 版本:"Container Linux by CoreOS 1967.6.0 (Rhyolite)"
显然上面的配置确实禁用了那些补丁。我正在使用 /proc/cpuinfo
来确定是否应用了补丁。一个同事运行一个检查器,在添加上面的配置后他们被禁用了。
算了,不要相信容器 linux 上 spectre/meltdown 的 /proc/cpuinfo
。