CKS1.23 考试题整理(12)-启用 API server认证

最新推荐文章于 2023-01-17 18:49:59 发布
最新推荐文章于 2023-01-17 18:49:59 发布
阅读量1.2k 收藏 4
点赞数 1
文章标签: K8s CKS 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/april_4/article/details/124327165
版权

题目

重新配置cluster的Kubernetes APl 服务器,以确保只允许经过身份验证和授权的 REST请求。

使用授权模式 Node,RBAC 和准入控制器 NodeRestriction。

删除用户 system:anonymous 的 ClusterRoleBinding来进行清理。注意:所有kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。

你不必更改它,但请注意,一旦完成 cluster 的安全加固, kubectl 的配置将无法工作。

您可以使用位于 cluster 的 master 节点上,cluster 原本的 kubectl 配置文件

/etc/kubernetes/admin.conf ,以确保经过身份验证的授权的请求仍然被允许。

参考

kube-apiserver | Kubernetes

解答

/etc/kubernetes/manifests/kube-apiserver.yaml

- --authorization-mode=Node,RBAC 
- --enable-admission-plugins=NodeRestriction 
- --client-ca-file=/etc/kubernetes/pki/ca.crt 
- --enable-bootstrap-token-auth=true
- --anonymous-auth=false

改完要重启下kubelet

systemctl restart kubelet

查询角色绑定并删除

kubectl get clusterrolebinding system:anonymous

kubectl delete clusterrolebinding system:anonymous

Miya_Ye
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CKA考试过程中遇到问题,重新分配考试机会及重新预约过程
strengthen8的博客
03-07 2883
1.发送邮件给考试中心与开源中国 请发送电子邮件至[email protected][email protected] 进行重新安排。 2.邮件回复信息 已为您重置了考试资格,请登录客户端查看并预约。 下次预约之前,建议您直接与PSI安排一个测试,测试可通过以下链接进行:https://psichat.psiexams.com/system/templates/chat/psi-hd/chat.html?subActivity=Chat&entryPoi
CKS教程-KubernetesK8sCKS 认证实战班(安全专家)
02-15
KubernetesK8sCKS 认证实战班(安全专家),视频+文档资料
云原生|kubernetes|2022年底cks真题解析(11-16)
zsk_john的技术分享专用博客
01-17 2761
​ 前言: 接上一篇文章:云原生|kubernetes|2022年底cks真题解析(1-10)_晚风_END的博客-CSDN博客 2022年底的csk真题第二部分 11题到16题 ​
CKS认证题库
托瓦斯克一
11-28 2815
2022年11月最新CKS认证
2022年2月kubernetes cks备考记录
scwang18的博客
02-19 1683
前言 CKA 和 CKS 是 LINUX 基金会联合 CNCF社区组织的云原生技术领域权威得技术水平认证考试,考试采用实操方式进行。CKS全称是Kubernetes安全专家认证,它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,必须已经通过CKA(Kubernetes管理员认证),在获得CKA认证之后才可以预约CKS考试。CKS 的考试难度相对于 CKA 提高了很多,2个小时的考试时间很紧张,因为考试是在外网上进行,这两个考试又是实操考试,网络条件不好,很影响效率,
CKS1.23 考试题整理(6)-Pod指定ServiceAccount
april_4的博客
04-12 2204
题目 Task 1. 在现有namespace qa中创建一个名为backend-sa的新ServiceAccount, 确保此ServiceAccount不自动挂载API凭据。 2. 使用 /cks/sa/pod1.yaml中的清单文件来创建一个Pod。 3. 最后,清理namespace backend中任何未使用的ServiceAccount。 自己的思考 Pod 关联service account ,然后service account 和clusterrole绑定,赋予一定的角色,不然
kubernetes/CKS认证试验手册-LFS260-labs_V2021-08-10.pdf
10-19
kubernetes/CKS认证试验手册-LFS260-labs_V2021-08-10.pdf
cks-bookamrks:Kubernetes认证安全专家(CKS)计划的书签
05-09
Kubernetes认证安全专家(CKS)计划的书签 CKS_Exam_Allowed_Links.html:这些是CKS认证允许的链接。 我已经根据主题安排了书签。 您可以根据需要导入和重新安排。 CKS_Exam_Related_Topics.html:有很多站点提供...
Kubernetes安全专家认证 (CKS)考试动员
爱死亡机器人
01-08 5013
文章目录1. 要求2. 考点内容3. 需要掌握内容3.1 群集设置 10%3.2 群集强化 15%3.3 系统强化 15%3.4 最小化微服务漏洞 20%3.5 供应链安全 20%3.6 监控、审计和runtime 20%4. 考试资料 1. 要求 考试模式:线上考试 考试时间:2小时 认证有效期:2年 软件版本:Kubernetes v1.19 系统:Ubuntu 18.4 有效期:考试资格自购买之日起12个月内有效 重考政策:可接受1次重考 经验水平:中级 2. 考点内容 集群安装:10% 使用网..
Kubernetes安全专家认证 (CKS)1.20模拟题答案中文版
爱死亡机器人
06-07 4663
问题 12 | 黑客秘密 任务权重:8% 使用上下文: kubectl config use-context restricted@infra-prod 您需要调查Namespace restricted中可能的权限逃逸。上下文以用户身份进行身份验证,该用户 restricted仅具有有限的权限并且不应能够读取Secret值。 试图找到的密码键值秘密,并在命名空间。将解码后的明文值写入文件,和. secret1 secret2 secret3 restricted/opt/course/12/se
CKS1.23 考试题整理(7)-日志审计
april_4的博客
04-12 2209
题目 在cluster中启用审计日志。为此,请启用日志后端,并确保: l 日志存储在 /var/log/kubernetes/audit-logs.txt l 日志文件能保留 10 天 l 最多保留 2 个旧审计日志文件 /etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。 注意:基本策略位于cluster的master节点上。 编辑和扩展基本策略以记录: l RequestResponse 级别的 cronjobs
Kubernetes学习笔记-kubernetes API服务器的安全防护(1)通过基于角色的权限控制加强集群安全20220814
wwxsoft的专栏
08-14 243
role、rolebuilding和cluster、clusterbuilding,都是什么区别和联系,在什么情况下怎么组合使用
cks 试题
爱死亡机器人
01-16 5745
文章目录1.镜像扫描ImagePolicyWebhook2. sysdig检测pod3. clusterroole4. AppArmor5. PodSecurityPolicy6. 网络策略7. dockerfile检测及yaml文件问题8. pod安全9. 创建SA10. trivy检测镜像安全11. 创建secret12. kube-benct13. gVsior14. 审计15. 默认网络策略 考试信息 2小时 15-20题目 预约时间同CKA,32小时出成绩 满分不到100分,87分或93分,但6
K8S CKS 1.27 考试 实验 模拟环境(一键导入)
Vic的博客
12-07 2814
操作系统版本:Ubuntu 20.04 Kubernetes版本:v1.23 根据最新CKS 1.23版本的考题搭建的实验模拟环境,已集成题目,可直接操作练习。 资料包含 题库+答案+笔记+考试模拟环境
CKS1.23 考试题整理(1)-secret
april_4的博客
04-06 1649
创建Secret 题目 1 在namespaceistio-system中获取名为db1-test的现有secret的内容 将username字段存储在名为/cks/sec/user.txt的文件中,并将password字段存储在名为/cks/sec/pass.txt的文件中。 注意:你必须创建以上两个文件,他们还不存在。 注意:不要在以下步骤中使用/修改先前创建的文件,如果需要,可以创建新的临时文件。 2 在istio-systemnamespace中创建一个名为db2-test的新s...
智慧学院智能化项目规划设计方案PPT(45页).pptx
05-03
智慧学院智能化项目规划设计方案PPT(45页).pptx
AO工艺设计计算(全).xls
最新发布
05-03
污水处理计算书
cks 2022考试真题及详细答案
06-09
很抱歉,我无法提供CKS 2022考试的真题及详细答案,因为考试的内容和策略是...建议您通过官方网站或相关社区获取更多关于CKS考试的信息和资料,也可以参加相应的培训课程来提高自己的技能和经验。祝您成功通过CKS考试!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值