cks

3.11 RuntimeClass (gVisor/runsc)

Detalhamento de RuntimeClass com gVisor (runsc) para o CKS.

O que é

RuntimeClass permite escolher um runtime de containers diferente do padrão para certos pods. O gVisor (runtime runsc) roda containers em um kernel de usuário (sandbox), reduzindo o impacto de um container comprometido no host. No CKS você pode precisar criar uma RuntimeClass “gvisor” e fazer um deployment usá-la, garantindo que o pod rode em um nó que tenha runsc instalado.

Documentação oficial

• Runtime Class
• gVisor

Criar RuntimeClass

apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
  name: gvisor
handler: runsc

• handler: nome do runtime configurado no CRI (containerd/CRI-O). Para gVisor costuma ser runsc.

kubectl apply -f runtimeclass.yaml

Usar no Pod

No Pod (ou Deployment/Job, etc.):

spec:
  runtimeClassName: gvisor
  # Opcional: fixar em um nó que tenha runsc
  nodeName: <node-com-runsc>

• runtimeClassName: nome da RuntimeClass (ex.: gvisor).
• nodeName: use se só alguns nós tiverem runsc; caso contrário use nodeSelector/tolerations conforme o cluster.

Quando o enunciado pede “node com runsc”

Se o exercício disser que apenas um nó tem gVisor instalado, use:

spec:
  runtimeClassName: gvisor
  nodeName: <nome-do-node>

Ou marque os nós com runsc com um label e use nodeSelector.

Resumo para o exame

• RuntimeClass: apiVersion: node.k8s.io/v1, kind: RuntimeClass, handler: runsc.
• No Pod: spec.runtimeClassName: gvisor.
• Se necessário: spec.nodeName ou nodeSelector para o nó que tem runsc.