k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描_imagepolicywebhook 容器镜像扫描(1)

已于 2024-04-28 14:14:39 修改
阅读量479 收藏 19
点赞数 25
分类专栏: 程序员 文章标签: kubernetes 学习 容器
于 2024-04-28 14:14:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84253037/article/details/138276787
版权

给定一个目录 /etc/kubernetes/epconfig 中不完整的配置,
以及具有 HTTPS 端点 https://image-bouncer-webhook.default.svc:1323/image_policy 的功能性容器镜像扫描器:

  1. 启用必要的插件来创建镜像策略
  2. 校验控制配置并将其更改为隐式拒绝(implicit deny)
  3. 编辑配置以正确指向提供的 HTTPS 端点
    最后,通过尝试部署易受攻击的资源 /cks/img/web1.yaml 来测试配置是否有效。

## 环境搭建


### imagePolicyWebhook搭建


假设已有服务器  
 不完整的准入配置文件  
 **命令**

mkdir -p /etc/kubernetes/epconfig
vim /etc/kubernetes/epconfig/admission_configuration.json


文件内容如下:

{
“imagePolicy”: {
“kubeConfigFile”: “/etc/kubernetes/kube-image-bouncer.yml”,
“allowTTL”: 50,
“denyTTL”: 50,
“retryBackoff”: 500,
“defaultAllow”: true
}
}


**命令**

vim /etc/kubernetes/epconfig/kubeconfig.yaml


文件内容如下:

apiVersion: v1
kind: Config

最低0.47元/天 解锁文章
2401_84253037
关注
  • 25
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS学习笔记-镜像安全ImagePolicyWebhook
weixin_43394724的博客
12-23 1050
官网: https://www.notion.so/etaon/ImagePolicyWebhook-6b7d52ff6b474d168688698cea046905#991170999fd84532aa6354ade5ccb0dd 什么是准入控制插件? 准入控制器是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器由下面的列表组成, 并编译进 kube-apiserver 二进制文件,并且只能由集群管理员配置。 在该列表中,有两个特殊的控制器
CKS - Practise - ImageWebHook.docx
04-29
CKS - Practise ImageWebHook Very important topic for CKS exam
k8s准入webhook工作流程
zpsimon的博客
11-14 483
kubernetes admission webhook,ImagePolicyWebhook
k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描
关注网络安全、云原生安全
05-17 1356
启用ImagePolicyWebhook插件,确认–admission-control-config-file选项已有配置文件并挂载。把defaultAllow由true改为false。考试时应该已经挂载,可以检查一下,没有自行添加。在cluster下添加server。修改api-server配置文件。做题的时候按照以下顺序。不完整的准入配置文件。修改kube配置文件。
k8s进阶5——AppArmor、Seccomp、ImagePolicyWebhook
百慕卿君博客
05-25 2032
1、AppArmor限制容器对资源访问实战。 2、Seccomp限制容器进程系统调用实战,分别基于自定义策略和容器运行时默认策略。 3、ImagePolicyWebhook控制器实战
云原生|kubernetes|2022年底cks真题解析(1-10)
zsk_john的技术分享专用博客
01-15 4445
解析: 这一题是两个任务,第一个任务是dockerfile的安全排查,dockerfile里是镜像版本不正确,需要修改为ubuntu:16.04还一个是USER指定的是root,修改为nobody就可以了,十分简单的两个地方。 第二个任务是/cks/docker/deployment.yaml文件的安全排查,一个是pod的安全上下文权限问题,一个是标签问题
K8S认证】2023年CKS考题-镜像扫描ImagePolicyWebhook(解析+答案)
u014481728的博客
10-28 2639
K8S认证】2023年CKS考题-镜像扫描ImagePolicyWebhook(解析+答案)
K8S-CKS介绍及实战演示
02-07
K8S---CKS介绍及实战演示
K8s-cks必备技能攻略
02-07
K8s-CKS必备技能攻略 K8s框架介绍: K8s框架是由三个紧密协作的独立组件组合而成的,它们分别是负责API服务的kube-apiserver、负责调度的kube-scheduler,以及负责容器编排的kube-controller-manager。整个集群的...
K8s-cks进阶技能攻略
02-07
K8s-cks进阶技能攻略 KubernetesK8s)是容器编排系统,它提供了自动化部署、扩展和管理容器化应用程序的功能。下面是K8s的关键组件、架构、工作原理、调度流程、准入控制等知识点。 Kubernetes核心组件 ...
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
《Linux基金会 Kubernetes/K8s CKS考试实验手册》是针对LFS260课程的一份重要参考资料,旨在帮助考生深入理解和掌握Kubernetes的安全基础。该手册由Linux基金会于2021年1月7日发布,并对版权有严格的保护规定,仅供...
2021 CKA-CKSKubernetes管理员/专家)备考攻略.pptx
10-26
2021 CKA-CKSKubernetes管理员/专家)备考攻略
CKS真题分析-2023年度
李凯的博客
10-31 3352
CKS 2023CKS CKS真题解析
Kubernetes ImagePolicyWebhook与ValidatingAdmissionWebhook【1】动手实践感受区别所在
爱死亡机器人
08-16 1021
文章目录1. 介绍2. 对比:ImagePolicyWebhook 和 ValidatingAdmissionWebhook3. ImagePolicyWebhook配置说明4. 示例4.1 下载介质4.2 下载安装证书管理工具cfssl4.3 创建证书签名请求4.4 创建证书签名请求对象发送到 Kubernetes API4.5 批准证书签名请求4.6 下载证书4.7 ImagePolicyWebhook 部署4.8 ValidatingAdmissionWebhook 部署 1. 介绍 准入控制器(
Kubernetes ImagePolicyWebhook与ValidatingAdmissionWebhook【3】validating_admission.go源码解析
爱死亡机器人
08-29 487
源码:https://github.com/kainlite/kube-image-bouncer handler的validating_admission.go 我们分析完了handler的Image_Policy.go,接下来运用同样的方式分析validating_admission.go 我们看一下报错信息 $ kubectl describe rc nginx-latest #警告不允许有latest标签的镜像 ..... Warning FailedCreate 11s (x14 over
CKS考试中的真题,以及对应的详细答案
weixin_44320761的博客
06-08 1292
【代码】CKS考试中的真题,以及对应的详细答案。
Kubernetes ImagePolicyWebhook与ValidatingAdmissionWebhook【2】Image_Policy.go源码解析
爱死亡机器人
08-20 640
对于运维人员来说,如何读懂开发写源代码是很痛苦。往往不知如何去理解才好。没有思路,一个接一个的包的各种接口、方法、函数把你搞的晕头转向。 源代码地址:https://github.com/kainlite/kube-image-bouncer **那么,我们从输出的报错信息出发,逆向推理源代码的逻辑。**也许会是个不错的 原则。 ImagePolicyWebhook 检验效果的报错信息 $ kubectl describe rc nginx-latest #警告不允许有latest标签的镜像 Warn
CKS1.23 考试题整理(14)-ImagePolicyWebhook容器镜像扫描
april_4的博客
04-26 1572
题目 给定一个目录 /etc/kubernetes/epconfig中不完整的配置以及具有 HTTPS 端点 https://acme.local:8082/image_policy 的功能性容器镜像扫描器: 1. 启用必要的插件来创建镜像策略 2. 校验控制配置并将其更改为隐式拒绝(implicit deny) 3. 编辑配置以正确指向提供的 HTTPS 端点 最后,通过尝试部署易受攻击的资源 /cks/img/web1.yaml来测试配置是否有效。 你可以在 /var/log/imagep
kubeadm部署k8s1.25.3一主二从集群(Containerd)
最新发布
weixin_58410911的博客
08-27 1069
k8s中Service有两种代理模式,一种是基于iptables的,一种是基于ipvs,两者对比ipvs负载均衡算法更加的灵活,且带有健康检查的功能,如果想要使用ipvs模式,需要手动载入ipvs模块。在master01节点初始化集群,查看集群所需镜像文件,ApiServer、ControllerManager、Schedule、kubeproxy都是以容器的方式运行,kubelet是yum安装。设置,需要配置并运行一个不使用 TLS 的镜像仓库。提示:不要忘了在每个节点都跑一遍环境初始化脚本!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值