Recientemente me topé con K8sQuest. Se trata de una plataforma de aprendizaje gamificada, donde vamos a familiarizarnos con Kubernetes a través de diferentes misiones, donde algo se se romperá… y nos tocará diagnosticarlo y solucionarlo. Se ejecuta completamente en local, utilizando Kind (Kubernetes in Docker/Podman) para levantar bajo el capó el cluster con el que vamos a interactuar.

Al correr el instalador, él mismo trata de instalar el cluster con Kind, pero al utilizar en mi equipo Podman en modo rootless (sin privilegios de root), me topé de frente con un muro en forma de error:

1
2
3

🔧 Creating Kubernetes cluster...
enabling experimental podman provider
ERROR: failed to create cluster: running kind with rootless provider requires setting systemd property "Delegate=yes", see [https://kind.sigs.k8s.io/docs/user/rootless/](https://kind.sigs.k8s.io/docs/user/rootless/)

En este post vamos a ver por qué ocurre esto, cómo solucionarlo, y unas pequeñas indicaciones sobre cómo empezar a jugar con K8sQuest en nuestro entorno Linux.

El problema: Systemd y la delegación de Cgroups

Cuando usamos Kind con Podman rootless, el sistema intenta crear contenedores que actúan como “nodos” de nuestro clúster de Kubernetes. Estos nodos necesitan gestionar sus propios límites de CPU y memoria utilizando cgroups v2.

Por defecto, y por motivos de seguridad, systemd bloquea que un usuario normal delegue estos controles. Aunque la documentación oficial recomienda modificar los ficheros de configuración de systemd o usar systemctl --user, muchas veces estas soluciones fallan silenciosamente o simplemente no son las más sencillas.

La solución

En lugar de pelearnos con la configuración global de nuestra sesión o reiniciar servicios a lo loco, la forma más efectiva que me ha funcionado es inyectar el permiso directamente en el momento de la ejecución del propio instalador.

Para ello, vamos a envolver nuestro script de instalación con systemd-run. Esta herramienta nos permite lanzar un proceso creándole un “scope” (un entorno efímero) donde le pasamos exactamente la propiedad que necesita: Delegate=yes.

Nos situamos en el directorio del repositorio clonado de K8sQuest y lanzamos la instalación así:

1

systemd-run --scope --user -p "Delegate=yes" ./install.sh

Al ejecutarlo, verás un mensaje fugaz indicando que se está ejecutando como una unidad de systemd (ej. Running as unit: run-XXXX.scope), y a continuación la instalación continuará sin problemas hasta el final, creando el clúster correctamente, y todas las dependencias necesarias de K8sQuest.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46

❯ systemd-run --scope --user -p "Delegate=yes" ./install.sh
Running as unit: run-r2e1b14ae02bf40a7bc0041218fe81c35.scope; invocation ID: 40e8bc6093734d0da4ec058c445ef224
🎮 K8sQuest Installation
========================

✅ Python 3.14 detected
✅ Prerequisites OK

📦 Installing Python dependencies...

[notice] A new release of pip is available: 26.0 -> 26.0.1
[notice] To update, run: pip install --upgrade pip
✅ Python packages installed

enabling experimental podman provider
No kind clusters found.
🔧 Creating Kubernetes cluster...
enabling experimental podman provider
Creating cluster "k8squest" ...
 ✓ Ensuring node image (kindest/node:v1.35.0) 🖼 
 ✓ Preparing nodes 📦  
 ✓ Writing configuration 📜 
 ✓ Starting control-plane 🕹️ 
 ✓ Installing CNI 🔌 
 ✓ Installing StorageClass 💾 
Set kubectl context to "kind-k8squest"
You can now use your cluster with:

kubectl cluster-info --context kind-k8squest

Have a nice day! 👋
Switched to context "kind-k8squest".
🏗️  Setting up k8squest namespace...
namespace/k8squest created
🛡️  Configuring safety guards (RBAC)...
serviceaccount/k8squest-player created
role.rbac.authorization.k8s.io/k8squest-player-role created
rolebinding.rbac.authorization.k8s.io/k8squest-player-binding created
clusterrole.rbac.authorization.k8s.io/k8squest-viewer created
clusterrolebinding.rbac.authorization.k8s.io/k8squest-viewer-binding created
✅ Safety guards configured

🚀 Setup Complete!

To start playing, use the shortcut:
  ./play.sh

Empezando a jugar con K8sQuest

Una vez que el instalador ha terminado, ya tenemos nuestro clúster operativo y corriendo en Podman de forma totalmente transparente y sin comprometer la seguridad de nuestro sistema usando la cuenta root.

Para empezar a trabajar con él, los pasos habituales son:

Verificar el clúster

Podemos asegurarnos de que el clúster de Kind se ha levantado correctamente comprobando los nodos (recuerda que si usas Podman, quizás tengas que exportar la variable KUBECONFIG si el instalador te lo ha indicado):

1

kubectl get nodes

Se debería ver el nodo o nodos de K8sQuest en estado Ready.

1
2
3
4

❯ kubectl get nodes
Alias tip: k get nodes
NAME                     STATUS   ROLES           AGE     VERSION
k8squest-control-plane   Ready    control-plane   5m40s   v1.35.0

Arrancar el juego

Para iniciar el juego, tan solo tenemos que abrir una terminal en el directorio donde clonamos los archivos de K8sQuest y ejecutar:

1

./play.sh

Al aceptar, comenzará nuestra primera misión: “Fix the Crashing Pod”

Nos hace una serie de indicaciones muy importantes para poder jugar:

• Debemos abrir una nueva ventana/pestaña de terminal, desde donde “jugaremos” realmente.
• Utilizaremos el comando kubectl para aplicar las soluciones.
• Volveremos a esta pestaña para verificar la solución.

Limpiar el cluster de K8sQuest

Como todo el clúster está contenido dentro de nuestro entorno de usuario de Podman, se puede gestionar cómodamente. Si en algún momento necesitamos parar el clúster para liberar recursos de la máquina, se puede hacer usando el CLI de Kind indicando el proveedor experimental:

1

KIND_EXPERIMENTAL_PROVIDER=podman kind delete cluster --name k8squest

Con todo esto, ya tenemos un entorno de Kubernetes funcional, ligero y seguro en nuestro Linux para seguir trasteando y aprendiendo con K8sQuest. ¡Nos vemos en el próximo post!

PD: La imagen del banner de este post ha sido generada con IA.