k8s学习-CKS真题-Runtime设置gVisor

最新推荐文章于 2024-05-16 14:40:58 发布
最新推荐文章于 2024-05-16 14:40:58 发布
阅读量1.7k 收藏 2
点赞数 2
分类专栏: # 云原生安全 # CKS 文章标签: kubernetes 学习 runtime gVisor CKS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lady_killer9/article/details/129899112
版权

目录

题目

该 cluster 使用 containerd 作为 CRI 运行时。containerd 的默认运行时处理程序是 runc。
containerd 已准备好支持额外的运行时处理程序 runsc (gVisor)。
Task
使用名为 runsc 的现有运行时处理程序,创建一个名为 untrusted 的 RuntimeClass。
更新 namespace server 中的所有 Pod 以在 gVisor 上运行。
您可以在 /cks/gVisor/rc.yaml 中找到一个模版清单。

环境搭建

安装gVisor

  1. 使用以下命令下载gvisor安装包:
wget https://storage.googleapis.com/gvisor/releases/nightly/latest/runsc
  1. 将下载的文件重命名为runsc,并放在/usr/local/bin目录中:
mv runsc /usr/local/bin/runsc
  1. 为runsc文件赋予可执行权限:
chmod +x /usr/local/bin/runsc
  1. 运行以下命令以安装gvisor到docker:
/usr/local/bin/runsc install

在这里插入图片描述
安装到containerd
由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置

vim /etc/containerd/config.toml

添加以下内容到配置中,与runc对齐

[plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runsc]
          runtime_type = "io.containerd.runsc.v1"

在这里插入图片描述
重启containerd

systemctl daemon-reload
systemctl  restart containerd

在这里插入图片描述
创建命名空间server并添加pod

kubectl create ns server
kubectl run nginx --image=nginx --dry-run=client -o yaml > nginx.yaml
kubectl create -f nginx.yaml -n server

解题

创建运行时untrusted

# RuntimeClass 定义于 node.k8s.io API 组
apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
  # 用来引用 RuntimeClass 的名字
  # RuntimeClass 是一个集群层面的资源
  name: untrusted
# 对应的 CRI 配置的名称
handler: runsc

kubectl create -f untrusted.yaml

在这里插入图片描述
修改Pod内容

kubectl get pod nginx -n server -o yaml > nginx_runtime.yaml

添加

runtimeClassName: untrusted

在这里插入图片描述
删除原来的再重建

kubectl delete po nginx -n server
kubectl create -f nginx_runtime.yaml -n server

在这里插入图片描述

参考

gVisor官网
k8s-运行时

更多k8s相关内容,请看文章:k8s学习-思维导图与学习笔记

lady_killer9
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
CKS学习笔记-NetworkPolicy练习
weixin_43394724的博客
10-18 245
网络策略 官网解释https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/: 如果希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” 通信。 Pod 可以通信的 Pod 是通过如下
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 3307
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
CKS之安全沙箱运行容器:gVisor_cks 运行时安全性
最新发布
2401_84969231的博客
05-16 351
用户可通过Docker或containerd等容器引擎创建基于runsc的容器。容器进程的系统调用会被Sentry拦截处理,需要宿主机文件系统支持的操作会通过Gofer代理转发。下载最新版本runsc二进制文件,放到 PATH 环境变量目录下,如 /usr/local/bin。下载containerd-shim-runsc-v1并放到/usr/local/bin/目录。未使用gvisor创建的容器,内核版本已经变为3.10,与宿主机内核版本一致。使用gvisor创建的容器,内核版本已经变为4.4。
CKS考试中的真题,以及对应的详细答案
weixin_44320761的博客
06-08 1236
【代码】CKS考试中的真题,以及对应的详细答案。
K8s CKS认证学习全套笔记
tushanpeipei的博客
12-17 2133
CKS学习笔记(K8S 安全)
k8s学习-CKS真题-Pod指定ServiceAccount
关注网络安全、云原生安全
02-04 1109
2. 使用 /cks/sa/pod1.yaml 中的清单文件来创建一个 Pod,使用上面创建的ServiceAccount。1.在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount, 确保此。3. 最后,清理 namespace qa 中任何未使用的ServiceAccount。这块实际操作的时候yaml敲成了yml,影响不大,就没有重新弄了。ServiceAccount 不自动挂载 API 凭据。在创建sa的yaml中添加。
CKS1.23 考试题整理(9)-沙箱运行容器gVisor
april_4的博客
04-18 1160
题目 该 cluster使用 containerd作为CRI运行时。containerd的默认运行时处理程序是runc。 containerd已准备好支持额外的运行时处理程序runsc (gVisor)。 使用名为runsc的现有运行时处理程序,创建一个名为untrusted 的RuntimeClass。 更新 namespace server中的所有Pod以在gVisor上运行。 您可以在 /cks/gVisor/rc.yaml中找到一个模版清单。 参考 容器运行时类(Runtime Cla
K8S-CKS介绍及实战演示
02-07
K8S---CKS介绍及实战演示
K8s-cks必备技能攻略
02-07
K8s-CKS必备技能攻略 K8s框架介绍: K8s框架是由三个紧密协作的独立组件组合而成的,它们分别是负责API服务的kube-apiserver、负责调度的kube-scheduler,以及负责容器编排的kube-controller-manager。整个集群的...
K8s-cks进阶技能攻略
02-07
K8s-cks进阶技能攻略 KubernetesK8s)是容器编排系统,它提供了自动化部署、扩展和管理容器化应用程序的功能。下面是K8s的关键组件、架构、工作原理、调度流程、准入控制等知识点。 Kubernetes核心组件 ...
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
《Linux基金会 Kubernetes/K8s CKS考试实验手册》是针对LFS260课程的一份重要参考资料,旨在帮助考生深入理解和掌握Kubernetes的安全基础。该手册由Linux基金会于2021年1月7日发布,并对版权有严格的保护规定,仅供...
最新版K8S cks 1.24 EXAM练习备考必备
11-03
K8S CKS 1.24 EXAM 练习备考必备 Kubernetes Security Specialist certification is a highly respected certification in the field of container orchestration and cloud computing. This certification aims to...
从零开始入门 K8s | 理解 RuntimeClass 与使用多容器运行时
GitChat
04-07 263
本文整理自《CNCF x Alibaba 云原生技术公开课》第 30 讲。 关注“阿里巴巴云原生”公众号,回复关键词“入门”,即可下载从零入门 K8s 系列文章 PPT。
gvisor直接运行在linux,linuxea:docker与gVisor沙箱
weixin_39871378的博客
05-01 128
容器彻底改变了开发,打包和部署应用程序的方式。但是,暴露给容器的系统表面足够多,以至于很多安全人员并不建议使用。越来越希望运行更多应用担任更多的角色,同时也出现不同的安全问题,这引发了对沙盒容器 - 容器的新兴趣,这些容器有助于在主机操作系统和容器内运行的应用程序之间提供安全的隔离边界。为此,我们想介绍一种新型沙箱gVisor,它有助于为容器提供安全隔离,同时比虚拟机(VM)更轻量级。gVisor...
K8S其实很简单-CKA/CKAD报名和考试技巧(转)
荒野求生的博客
12-07 6586
K8S其实很简单-CKA/CKAD报名和考试技巧 原创Chang Wang坠落的私人空间站3月31日 https://mp.weixin.qq.com/s/PTeHZ8yLHxcEBDykwhMS5A 疫情开始之后实在无聊,于是在家学习K8S并且很幸运考过了CAK和CAKD两门考试。由于CKA系列的考试只需要在家进行,因此非常适合疫情这种“非常时期”。不过我发现网上关于CKA和CKAD的备考的文章不是太多,再加上周围许多小伙伴都准备尝试,因此我觉得写个文章来总结下吧。 ...
K8S CKS 1.23 考试模拟虚拟机镜像及CKS最新考纲
strengthen8的博客
06-20 781
K8S CKS 1.23 考试模拟虚拟机镜像及CKS最新考纲
Kubernetes 最小化微服务漏洞 gVisor与Containerd集成
小楼一夜听春雨,深巷明朝卖杏花
07-14 535
已经测试过的应用和工具:https://gvisor.dev/docs/user_guide/compatibility/ 这里可以看到现有的哪些应用可以使用gvisor,因为官方已经给你测试了。除此之外不能够百分之百去使用。除此之外还有哪些工具是可以使用的。 安全沙箱运行容器:gVisor与Containerd集成 由docker切换到containerd容器引擎(安装conatinerd------>kubelet安装containerd----->最后验证) 在切换之..
Kubernetes 容器运行时演进
Hdnrnfgf的专栏
11-30 1452
Table of Content Kubernetes 简介 Kubelet 架构 容器运行时演进过程 容器运行时接口(CRI) CRI 接口 Streaming API 容器运行时实例 多租户 CRI Tools 未来展望 多容器运行时 无服务器容器服务 注:本文是我在中国云原生大会(CEUC 2018) 上同名演讲的文字...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lady_killer9

感谢您的打赏,我会加倍努力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值