CKS认证-ServiceAccount

最新推荐文章于 2024-08-07 23:36:42 发布
最新推荐文章于 2024-08-07 23:36:42 发布
阅读量243 收藏 9
点赞数 3
分类专栏: CKS认证考试 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46913617/article/details/140920459
版权

2. ServiceAccount

问题:

**· ServiceAccount 不得自动挂载 API凭据。
· **ServiceAccount 名称必须以"-sa" 结尾
清单文件
/home/candidate/KSCH00301/pod-manifest.yaml 中指定的 Pod 由于 ServiceAccount 指定错误而无法调度。
请完成以下项目:
Task

  1. 在现有 namespace prod 中创建一个名为backend-sa 的新ServiceAccount 确保此ServiceAccount 不自动挂载 API凭据。
  2. 使用/home/candidate/KSCH00301/pod-mahifest.yaml中的清单文件来创建一个 Pod。
  3. 最后,清理 namespace prod 中任何未使用的ServiceAccount。

正确答案

参考链接

  1. 在现有 namespace prod 中创建一个名为backend-sa 的新ServiceAccount 确保此ServiceAccount 不自动挂载 API凭据。
root@hk8s-master01:/home/candidate/KSCH00301# vim 2.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: backend-sa    ##修改名字
  namespace: prod     ##添加名称空间
automountServiceAccountToken: false

##创建yaml文件
root@hk8s-master01:/home/candidate/KSCH00301# kubectl apply -f 2.yaml 

##检查已经创建
root@hk8s-master01:/home/candidate/KSCH00301# kubectl get serviceaccounts -n prod
NAME         SECRETS   AGE
backend-sa   0         4h40m
default      0         419d
web-sa       0         418d
webaccount   0         419d
  1. 使用/home/candidate/KSCH00301/pod-mahifest.yaml中的清单文件来创建一个 Pod。
  1 apiVersion: v1
  2 kind: Pod
  3 metadata:
  4   creationTimestamp: null
  5   labels:
  6     run: backend
  7   name: backend
  8   namespace: prod
  9 spec:
 10   serviceAccountName: backend-sa    ##把上面的serviceaccount名字写上
 11   automountServiceAccountToken: false  #这行也得加上,你之前没加过
 12   containers:
 13   - image: ikubernetes/demoapp:v1.0
 14     name: backend
 15     resources: {}

##创建yaml文件
root@hk8s-master01:/home/candidate/KSCH00301# kubectl apply -f pod-manifests.yaml 

##检查是否绑定搭配serviceaccount
root@hk8s-master01:/home/candidate/KSCH00301# kubectl describe pod -n prod backend | grep -i service
Service Account:  backend-sa
  1. 最后,清理 namespace prod 中任何未使用的ServiceAccount。
##直接查询prod名称空间下的所有pod的yaml文件格式,看看哪个pod引用了serviceaccount,没引用的直接删除就行
root@hk8s-master01:/home/candidate/KSCH00301# kubectl get pod -n prod -oyaml | grep serviceAccount
        {"apiVersion":"v1","kind":"Pod","metadata":{"annotations":{},"creationTimestamp":null,"labels":{"run":"backend"},"name":"backend","namespace":"prod"},"spec":{"containers":[{"image":"ikubernetes/demoapp:v1.0","name":"backend","resources":{}}],"serviceAccountName":"backend-sa"}}
    serviceAccount: backend-sa
    serviceAccountName: backend-sa

##只有backend-sa用了,其他都直接删除就可以
root@hk8s-master01:/home/candidate/KSCH00301# kubectl get serviceaccounts -n prod
NAME         SECRETS   AGE
backend-sa   0         5h1m
default      0         419d
web-sa       0         418d
webaccount   0         419d

##删除serviceaccount
root@hk8s-master01:/home/candidate/KSCH00301# kubectl delete serviceaccounts -n prod default 
serviceaccount "default" deleted
root@hk8s-master01:/home/candidate/KSCH00301# kubectl delete serviceaccounts -n prod web-sa
serviceaccount "web-sa" deleted
root@hk8s-master01:/home/candidate/KSCH00301# kubectl delete serviceaccounts -n prod webaccount 
serviceaccount "webaccount" deleted

狗哥运维
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS学习笔记-Secret 练习
weixin_43394724的博客
10-21 174
官网有关信息https://kubernetes.io/zh/docs/concepts/configuration/secret/ 概述 什么是Secret Secret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。 由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes
CKS教程-KubernetesK8s、CKS 认证实战班(安全专家)
02-15
CKS,全称为Certified Kubernetes Security Specialist,是CNCF(Cloud Native Computing Foundation)认证的安全专家课程,主要针对Kubernetes(K8s)平台的安全管理、配置和最佳实践。本教程致力于帮助学员掌握...
【K8S认证】2023年CKS考题-ServiceAccount(解析+答案)
u014481728的博客
10-24 2468
【K8S认证】2023年CKS考题-ServiceAccount(解析+答案)
CKS认证-RBAC授权
m0_46913617的博客
08-05 645
本文主要是介绍CKS认证考试相关的题目和注意事项
CKS1.23 考试题整理(6)-Pod指定ServiceAccount
april_4的博客
04-12 2212
题目 Task 1. 在现有namespace qa中创建一个名为backend-sa的新ServiceAccount, 确保此ServiceAccount不自动挂载API凭据。 2. 使用 /cks/sa/pod1.yaml中的清单文件来创建一个Pod。 3. 最后,清理namespace backend中任何未使用的ServiceAccount。 自己的思考 Pod 关联service account ,然后service account 和clusterrole绑定,赋予一定的角色,不然
k8s学习-CKS真题-启用API Server认证,禁止匿名访问
关注网络安全、云原生安全
04-22 1095
ps:考试环境应该是已有的,–user=system:anonymous的clusterrolebinding。创建一个名为system:anonymous的clusterrolebinding。查询用户system:anonymous的clusterrilebinding。确保只有认证并且授权过的 REST 请求才被允许。这个等我考前有模拟环境时再做补充。删除题目要求的角色绑定。
CKS1.23 考试题整理(15)-Pod安全策略
april_4的博客
04-27 1047
题目 创建一个名为restrict-policy的新的PodSecurityPolicy,以防止特权Pod的创建。 创建一个名为restrict-access-role并使用新创建的PodSecurityPolicy restrict-policy的ClusterRole。 在现有的namespace staging中创建一个名为psp-denial-sa的新ServiceAccount。 最后,创建一个名为dany-access-bind的ClusterRoleBinding , 将新创建的Cl
CKS认证题库
托瓦斯克一
11-28 3014
2022年11月最新CKS认证
【K8S认证】2023年CKS考题-RBAC权限控制(解析+答案)
u014481728的博客
10-24 2648
【K8S认证】2023年CKS考题-RBAC权限控制(解析+答案)
CKS 认证备考指南
KubeSphere
09-15 996
作者:scwang18,主要负责技术架构,在容器云方向颇有研究。 前言 CKA 和 CKS 是 Linux 基金会联合 CNCF 社区组织的云原生技术领域权威的技术水平认证考试,考试采用实操方式进行。CKS 全称是 Certified Kubernetes Security Specialist,它在一个模拟真实的环境中测试考生对 Kubernetes 和云安全的知识。在参加 CKS 考试之前,必须已经通过 CKA(Kubernetes 管理员认证),在获得 CKA 证书之后才可以预约 CKS 考试。C
CKS 认证实战班视频课程2022
03-09
分享一套CKS视频教程,2022年1月结课的新课 课程大纲: 第1章 开班仪式 第2章 模块一:Kubernetes集群设置 第3章 模块二:Kubernetes 集群强化 第4章 模块三:Kubernetes 系统强化 第5章 模块四:最小化微服务漏洞 ...
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
CKS - Practise - ImageWebHook.docx
04-29
在这个文件中,包含了Webhook服务的配置信息,如认证和连接参数等。 为了使API服务器能识别并使用ImagePolicyWebhook,我们需要更新`/etc/kubernetes/pki/admission_configuration.yaml`,添加kubeconfig文件的路径...
【nginx】解决k8s中部署nginx转发不会自动更新域名解析&启动失败的问题
最新发布
qq_26127905的博客
08-07 372
但是如果这个服务不存在,ip1就会拿不到,从而导致启动nginx失败。(即Nginx接收并处理客户端请求的阶段)对域名的处理方式是不同的。ip改变了,代理会失败,因为nginx缓存了旧ip。这里指的容器重新创建,并非更新镜像,因为更新镜像。指定了域名服务器,在解析时是不会自动帮我们补全的。要先创建,否则nginx启动时会因为无法解析。中域名一定要写全域名,不能简写成。,在解析域名时会自动帮你补全域名。解析即可,(按照理解,默认会去根据。才解析域名,这里按理说值配置。指定域名,那么这个域名会到。
k8s中yaml文件的编写
2402_83805984的博客
08-04 1006
方法1:根据现有资源导出yaml文件修改配置,重新创建只保留常用配置,删除多余的,配置,进行修改创建即可方法2:根据现有资源,进入其配置中,复制模板,再进行创建即可复制其中的配置,获取模板方法3:通过--dry-run选项模拟运行创建资源的命令获取kubectl create|run|expose -n <命名空间> <资源类型> <资源名称> [参数选项] --dry-run=client -o yaml > XXX.yaml。
K8S Docker搭建RocketMQ Dledger高可用集群
AllenChan_的博客
08-04 802
讲解RocketMQ最流行的3种集群部署模式以及它们之间的差异。带你用3台小机器结合K8S和Docker搭建一个高可用具备failover能力的生产集群。实现TPS 6000和百万消息收发的RocketMQ集群。
Kubernetes】k8s集群的资源发布方式
F12138X的博客
08-03 608
若不给自己设限,则人生中就没有限制你发挥的藩篱
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值