CKS1.23 考试题整理(15)-Pod安全策略

最新推荐文章于 2024-02-26 16:11:58 发布
最新推荐文章于 2024-02-26 16:11:58 发布
阅读量1k 收藏 2
点赞数
文章标签: CKS K8s 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/april_4/article/details/124454252
版权

题目

创建一个名为restrict-policy的新的PodSecurityPolicy,以防止特权Pod的创建。

创建一个名为restrict-access-role并使用新创建的PodSecurityPolicy restrict-policy的ClusterRole。

在现有的namespace staging中创建一个名为psp-denial-sa的新ServiceAccount。

最后,创建一个名为dany-access-bind的ClusterRoleBinding ,

将新创建的ClusterRole restrict-access-role绑定到新创建的ServiceAccount psp-denial-sa。

你可以在一下位置找到模版清单文件:

/cks/psp/psp.yaml

参考

kube-apiserver | Kubernetes

Pod Security Policies | Kubernetes

步骤

1 确保 /etc/kubernetes/manifests/kube-apiserver.yaml中PodSecurityPolicy是存在的,没有加上重启kubelet

- --enable-admission-plugins=NodeRestriction,PodSecurityPolicy

2 vi /cks/psp/psp.yaml

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restrict-policy  #改下名字
spec:
  privileged: false  # 修改为false 
  seLinux:    
    rule: RunAsAny
  supplementalGroups:
    rule: RunAsAny
  runAsUser:
    rule: RunAsAny
  fsGroup:
    rule: RunAsAny
  volumes:
  - '*'

3 创建cluserrole和serviceaccount

直接用提供的模板改下比较方便

Pod Security Policies | Kubernetes

也可以用命令行

kubectl create clusterrole restrict-access-role --verb=use --resource=psp --resource-name=restrict-policy

kubectl create sa psp-denial-sa -n staging

kubectl create clusterrolebinding dany-access-bind --clusterrole=restrict-access-role --serviceaccount=staging:psp-denial-sa

Miya_Ye
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8S CKS 1.23 考试 模拟环境搭建
strengthen8的博客
06-20 590
匹配版本: # 以一个节点为例 hostnamectl set-hostname master01 设置root用户密码并切换 #安装必要的系统工具 apt-get update && apt-get install -y apt-transport-https apt upgrade -y#安装GPG证书 curl https://mirrors.aliyun.com/kubernetes/apt/doc/apt-key.gpg | apt-key add -#添加软件源信息 tee /
K8S CKS 1.23 考试模拟虚拟机镜像及CKS最新考纲
strengthen8的博客
06-20 802
K8S CKS 1.23 考试模拟虚拟机镜像及CKS最新考纲
kubernetes CKS 4.3 Pod安全策略(PSP)
cloud_engineer的博客
07-14 579
PodSecurityPolicy(简称PSP):Kubernetes中Pod部署时重要的安全校验手段,能够 有效地约束应用运行时行为安全。 使用PSP对象定义一组Pod在运行时必须遵循的条件及相关字段的默认值,只有Pod满足这 些条件才会被K8s接受。...
CKS1.23 考试题整理(1)-secret
april_4的博客
04-06 1670
创建Secret 题目 1 在namespaceistio-system中获取名为db1-test的现有secret的内容 将username字段存储在名为/cks/sec/user.txt的文件中,并将password字段存储在名为/cks/sec/pass.txt的文件中。 注意:你必须创建以上两个文件,他们还不存在。 注意:不要在以下步骤中使用/修改先前创建的文件,如果需要,可以创建新的临时文件。 2 在istio-systemnamespace中创建一个名为db2-test的新s...
Kubernetes 进阶训练营 Pod基础
果子哥丶的博客
07-03 618
Kubernetes 由 Master 和 Node,其中 Master 节点由三个独立的组件组成,它们分别是负责整个集群通信的 API 服务的 kube-apiserver、负责容器调度的 kube-scheduler 以及负责维护集群状态的 kube-controller-manager 组件。整个集群的数据都是通过 kube-apiserver 保存到 etcd 数据库中的,而其他所有组件的通信也都是通过 kube-apiserver 和 etcd 数据库进行通信的,都不会直接和 etcd 进行通信.
k8s学习-CKS真题-网络策略精细化控制
关注网络安全、云原生安全
03-04 1327
解释:对于dev-team命名空间下标签打了run=products-service的Pod的如流量进行限制,打了kubernetes.io/metadata.name=qaqa标签的命名空间下的Pod都可以访问,打了environment=testing标签的Pod都可以访问。创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 中运行的 Pod products-service 的访问。创建products-service。
k8s学习-CKS真题-Dockerfile和deployment优化
关注网络安全、云原生安全
04-01 1151
分析和编辑给定的 Dockerfile /cks/docker/Dockerfile(基于 ubuntu:16.04 镜像),只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。注意:如果您需要非特权用户来执行任何项目,请使用用户 ID 65535 的用户 nobody。分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。并修复在文件中拥有突出的安全/最佳实践问题的两个字段。只修改即可,不需要创建。
kubernetes/CKS认证试验手册-LFS260-labs_V2021-08-10.pdf
10-19
5. 网络(Networking):这里可能涵盖了Kubernetes的网络模型,包括Pod间通信、服务发现机制、网络策略(Network Policies)的应用,以及如何确保网络通信的安全。 6. 工作负载考量(Workload Considerations):...
CKS教程-KubernetesK8sCKS 认证实战班(安全专家)
02-15
CKS,全称为Certified Kubernetes Security Specialist,是CNCF(Cloud Native Computing Foundation)认证的安全专家课程,主要针对Kubernetes(K8s)平台的安全管理、配置和最佳实践。本教程致力于帮助学员掌握...
cks 试题
爱死亡机器人
01-16 6347
文章目录1.镜像扫描ImagePolicyWebhook2. sysdig检测pod3. clusterroole4. AppArmor5. PodSecurityPolicy6. 网络策略7. dockerfile检测及yaml文件问题8. pod安全9. 创建SA10. trivy检测镜像安全11. 创建secret12. kube-benct13. gVsior14. 审计15. 默认网络策略 考试信息 2小时 15-20题目 预约时间同CKA,32小时出成绩 满分不到100分,87分或93分,但6
k8s学习-CKS真题-RoleBinding
关注网络安全、云原生安全
02-05 939
生成web-pod.yaml,修改添加serviceAccountName,之后创建。查找service-account-web绑定的role。
k8s学习-CKS真题-Runtime设置gVisor
关注网络安全、云原生安全
04-08 1826
由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置。添加以下内容到配置中,与runc对齐。重启containerd。
CKS考试中的真题,以及对应的详细答案
weixin_44320761的博客
06-08 1337
【代码】CKS考试中的真题,以及对应的详细答案。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
最新发布
lvaolan的博客
02-26 867
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
Kubernetes CKS 1.20 - 真题 (第1题)
#真题在线#
06-08 2921
2021年CKS 1.20 考试题,总计15题, 欢迎大家探讨答案
k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描
关注网络安全、云原生安全
05-17 1367
启用ImagePolicyWebhook插件,确认–admission-control-config-file选项已有配置文件并挂载。把defaultAllow由true改为false。考试时应该已经挂载,可以检查一下,没有自行添加。在cluster下添加server。修改api-server配置文件。做题的时候按照以下顺序。不完整的准入配置文件。修改kube配置文件。
CKS真题分析-2023年度
李凯的博客
10-31 3417
CKS 2023CKS CKS真题解析
Kubernetes CKS 1.20 - 真题 (第4题)
#真题在线#
06-08 1037
2021 CKA-CKS备考策略:官方资源与实战指南
2. **CKS (Certified Kubernetes Security Specialist)**: 侧重于安全方面,考生需理解Kubernetes的安全模型,如审计、监控、漏洞扫描(如Trivy、Sysdig、Falco和AppArmor),以及如何配置和实施安全策略CKS考试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值