具有以下默认能力列表，允许用于 pod 的每个容器： CHOWN DAC_OVERRIDE FSETID FOWNER SETGID SETUID SETPCAP NET_BIND_SERVICE KILL 容器使用此默认列表中的功能，但 Pod 清单作者可以通过请求额外功能或移除某些默认行为来修改列 表。使用 allowedCapabilities、defaultAddCapabilities 和 null name: privileged priority: null readOnlyRootFilesystem: false requiredDropCapabilities: 5 - KILL - MKNOD - SETUID - SETGID runAsUser: 6 type: RunAsAny seLinuxContext: 7 type: RunAsAny seccompProfiles: 另外，您可以通过将 requiredDropCapabilities 字段设为所需的值来丢弃 SCC 的特定功能。所 有指定的功能都会从容器中丢弃。要丢弃所有的能力，请指定 ALL。例如，要创建一个丢弃 KILL、MKNOD 和 SYS_CHROOT 功能的 SCC，请将以下内容添加到 SCC 对象中： 注意 注意 您不能列出 allowedCapabilities 和 requiredDropCapabilities

运行以下命令来引 行以下命令来引发 发一个 一个 OOM kill： ： 输 输出示例 出示例 4. 运 运行以下命令 行以下命令查 查看 看 sed 命令的退出状 命令的退出状态 态： ： # oc rsh test $ grep '^oom_kill ' /sys/fs/cgroup/memory/memory mory.oom_control oom_kill 0 $ sed -e '' kill ' /sys/fs/cgroup/memory/memory.oom_control oom_kill 1 $ oc get pod test NAME READY STATUS RESTARTS AGE test

运行以下命令来引 行以下命令来引发 发一个 一个 OOM kill： ： 输 输出示例 出示例 4. 运 运行以下命令 行以下命令查 查看 看 sed 命令的退出状 命令的退出状态 态： ： # oc rsh test $ grep '^oom_kill ' /sys/fs/cgroup/memory/memory mory.oom_control oom_kill 0 $ sed -e '' kill ' /sys/fs/cgroup/memory/memory.oom_control oom_kill 1 $ oc get pod test NAME READY STATUS RESTARTS AGE test

时，应用程序代码停止接受新的连接。这样可确保负载均衡器将流量路由到其他活跃实例。然后，应用程 序代码会等到所有开启的连接都关闭（或在下次机会出现时恰当终止独立的连接）后再退出。 在恰当终止周期到期后，还未退出的进程会收到 KILL 信号，该信号会立即结束此进程。pod 或 pod 模板 的 terminationGracePeriodSeconds 属性控制恰当终止期限（默认值 30 秒），并可根据需要自定义每 个应用程序。

时，应用程序代码停止接受新的连接。这样可确保负载均衡器将流量路由到其他活跃实例。然后，应用程 序代码会等到所有开启的连接都关闭（或在下次机会出现时恰当终止独立的连接）后再退出。 在恰当终止周期到期后，还未退出的进程会收到 KILL 信号，该信号会立即结束此进程。pod 或 pod 模板 的 terminationGracePeriodSeconds 属性控制恰当终止期限（默认值 30 秒），并可根据需要自定义每 个应用程序。