CKS认证-审计⽇志

已于 2024-08-09 11:07:22 修改
阅读量173 收藏 5
点赞数 5
分类专栏: CKS认证考试 文章标签: kubernetes
于 2024-08-05 10:42:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46913617/article/details/140920685
版权

7. 审计⽇志

问题:

在 cluster 中启用审计日志。为此,请启用日志后端,并确保:
**· 日志存储在
/var/log/kubernetes/kubernetes-logs.txt
· 日志文件能保留 30 天
· 最多保留 10 个旧审计日志文件
/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。
:::info
基本策略位于 cluster 的 master 节点
:::
编辑和扩展基本策略以记录:
· RequestResponse 级别的 cronjobs 更改
· namespace front-apps 中persistentvolumes 更改的请求体
· Metadata 级别的所有 namespace 中的ConfigMap和Secret的更改,
· **此外,添加一个全方位的规则以在 Metadata 级别记录所有其他请求。

不要忘记应用修改后的策略。

官网文档

正确答案:

已知默认条件:
首先依据已知条件提示需知,默认读懂这两个文件需要挂载。为什么第二个文件还需要挂载呢?
看官方文档是这么定义的:“可以使用 --audit-policy-file 标志将包含策略的文件传递给 kube-apiserver。 如果不设置该标志,则不记录事件。 注意 rules 字段必须在审计策略文件中提供。”所以必须得挂载这个路径/etc/kubernetes/logpolicy/
日志存储在/var/log/kubernetes/kubernetes-logs.txt
/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略
条件1:编辑yaml文件,这个条件是在apiservice中定义的。
· 日志存储在
/var/log/kubernetes/kubernetes-logs.txt
· 日志文件能保留 30 天
· 最多保留 10 个旧审计日志文件
/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略
条件2:编辑和扩展基本策略并记录,这个基本策略是在/etc/kubernetes/logpolicy/sample-policy.yaml 提供的基本策略,所以直接修改这个即可
编辑和扩展基本策略以记录:
**· RequestResponse 级别的 cronjobs 更改
· namespace front-apps 中persistentvolumes 更改的请求体
· Metadata 级别的所有 namespace 中的ConfigMap和Secret的更改,
· **此外,添加一个全方位的规则以在 Metadata 级别记录所有其他请求。

考试时不要忘记切换 context

#创建审计⽇志规则(切换 Context 后, ssh 到对应的 master 节点):
root@hk8s-master01:/var/log# cd /etc/kubernetes/manifests/
# 先备份配置⽂件, ⽅便还原
root@hk8s-master01:/etc/kubernetes/manifests#cp /etc/kubernetes/manifests/kube-apiserver.yaml ./
root@hk8s-master01:/etc/kubernetes/manifests# ls
etcd.yaml  kube-apiserver.yaml  kube-controller-manager.yaml  kube-scheduler.yaml
# 修改配置
root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 
  1 apiVersion: v1
  2 kind: Pod
  3 metadata:
... ...
 12 spec:
 13   containers:
 14   - command:
 15     - kube-apiserver
 16     - --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml  # 添加这四⾏
 17     - --audit-log-path=/var/log/kubernetes/kubernetes-logs.txt
 18     - --audit-log-maxage=30
 19     - --audit-log-maxbackup=10

image.png
然后挂载策略和⽇志⾄ APIServer 的 Pod(考试环境有可能已经挂载, 如果没挂载就挂载下):

 82     volumeMounts:
101     - mountPath: /etc/kubernetes/logpolicy     # 添加这四⾏,别漏了
102       name: kubernetes-policy
103     - mountPath: /var/log/kubernetes
104       name: kubernetes-logs
105   hostNetwork: true
106   priority: 2000001000
107   priorityClassName: system-node-critical
108   securityContext:
109     seccompProfile:
110       type: RuntimeDefault
111   volumes:
112   - hostPath:                                  # 添加这四⾏,别漏了
113       path: /etc/kubernetes/logpolicy
114 #      type: DirectoryOrCreate
115     name: kubernetes-policy
116   - hostPath:
117       path: /var/log/kubernetes
118 #      type: DirectoryOrCreate
119     name: kubernetes-logs
120   - hostPath:
121       path: /etc/ssl/certs
122       type: DirectoryOrCreate

如下图
image.png

重复说⼀下, ⾮常重要。
我们在练习环境中⼿动挂载了两个存储卷, 分别是审计⽇志的规则⽂件和⽇志存储⽂件,
但是在**考试时这两个存储卷很可能已经挂载好了, 这时候就不要重复挂载了, 所以要先检 **
查下这两个存储卷有没有被挂载
⽐如先查找下 logpolicy规则⽂件路径的 关键字(如果是其它路径就⽤其它关键字)
grep ‘/etc/kubernetes/logpolicy’ /etc/kubernetes/manifests/kube-apiserver.yaml
或者是⾃⼰检查下 volumes 配置部分。
重复挂载会导致kubelet起不来。

条件2:

编辑和扩展基本策略并记录,这个基本策略是在/etc/kubernetes/logpolicy/sample-policy.yaml 提供的基本策略,所以直接修改这个即可。
编辑和扩展基本策略以记录:
· RequestResponse 级别的 cronjobs 更改
· namespace front-apps 中persistentvolumes 更改的请求体
· Metadata 级别的所有 namespace 中的ConfigMap和Secret的更改,
· 此外,添加一个全方位的规则以在 Metadata 级别记录所有其他请求。

root@hk8s-master01:~# cd /etc/kubernetes/logpolicy/
root@hk8s-master01:/etc/kubernetes/logpolicy# vim sample-policy.yaml 
  1 apiVersion: audit.k8s.io/v1
  2 kind: Policy
  3 omitStages:
  4   - "RequestReceived"
  5 rules:
  6   - level: RequestResponse
  7     resources:
  8     - group: ""
  9       resources: ["cronjobs"]   # 根据题⽬要求,添加指定的资源
 10   - level: Request
 11     resources:
 12     - group: ""
 13       resources: ["persistentvolumes"]  # 根据题⽬要求,添加指定的资源
 14     namespaces: ["front-apps"]  #命名空间
 15   - level: Metadata
 16     resources:
 17     - group: ""    ##注意,这里一定要按照文档的内容修改,别自己按照题目改
 18       resources: ["ConfigMaps", "Secrets"]  # 根据题⽬要求,添加指定的资源
 19   - level: Metadata    # 添加时需要把下面这两行加上
        omitStages:      #     
          - "RequestReceived"   #

重启 kubelet:

sudo systemctl daemon-reload
sudo systemctl restart kubelet
# 如果kubelet⽆法启动,则检查上⾯修改的配置⽂件

查看⽇志:

tail -1 /var/log/kubernetes/kubernetes-logs.txt

可以看到已经有审计⽇志了_,_解题结束image.png

cp kube-apiserver.yaml /tmp/
  1 apiVersion: v1
  2 kind: Pod
  3 metadata:
  4   annotations:
  5     kubeadm.kubernetes.io/kube-apiserver.advertise-address.endpoint: 192.168.56.131:644    3
  6   creationTimestamp: null
  7   labels:
  8     component: kube-apiserver
  9     tier: control-plane
 10   name: kube-apiserver
 11   namespace: kube-system
 12 spec:
 13   containers:
 14   - command:
 15     - kube-apiserver
 16     - --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml
 17     - --audit-log-path=/var/log/kubernetes/kubernetes-logs.txt
 18     - --audit-log-maxage=30
 19     - --audit-log-maxbackup=10


101     - mountPath: /etc/kubernetes/logpolicy
102       name: sample
103     - mountPath: /var/log/kubernetes
104       name: kubelog

111   volumes:
112   - hostPath:
113       path: /etc/kubernetes/logpolicy
114     name: sample
115   - hostPath:
116       path: /var/log/kubernetes
117     name: kubelog

  1 apiVersion: audit.k8s.io/v1 
  2 kind: Policy
  3 omitStages:
  4   - "RequestReceived"
  5 rules:  
  6   - level: RequestResponse
  7     resources:
  8     - group: ""     
  9       resources: ["cronjobs"]
 10   - level: Request
 11     resources:    
 12     - group: ""    
 13       resources: ["persistentvolumes"]
 14     namespaces: ["front-apps"]
 15   - level: Metadata   
 16     resources:         
 17     - group: ""         
 18       resources: ["ConfigMap", "Secret"]
 19   - level: Metadata    

root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 
 11   namespace: kube-system
 12 spec:
 13   containers:
 14   - command:
 15     - kube-apiserver
 16     - --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml
 17     - --audit-log-path=/var/log/kubernetes/kubernetes-logs.txt
 18     - --audit-log-maxage=30
 19     - --audit-log-maxbackup=10

1     - mountPath: /etc/kubernetes/logpolicy
102       name: logpolicy
103     - mountPath: /var/log/kubernetes
104       name: kubelog
105   hostNetwork: true
106   priority: 2000001000
107   priorityClassName: system-node-critical
108   securityContext:
109     seccompProfile:
110       type: RuntimeDefault
111   volumes:
112   - hostPath:
113       path: /etc/kubernetes/logpolicy
114     name: logpolicy
115   - hostPath:
116       path: /var/log/kubernetes
117     name: kubelog


root@hk8s-master01:/etc/kubernetes/manifests# cp kube-apiserver.yaml /tmp/kube-apiserver.yaml.7
root@hk8s-master01:/etc/kubernetes/manifests# cd /etc/kubernetes/logpolicy/
root@hk8s-master01:/etc/kubernetes/logpolicy# vim sample-policy.yaml 
 1 apiVersion: audit.k8s.io/v1
  2 kind: Policy
  3 omitStages:
  4   - "RequestReceived"
  5 rules:
  6   - level: RequestResponse
  7     resources:
  8     - group: ""
  9       resources: ["cronjobs"]
 10   - level: Request
 11     resources:
 12     - group: ""
 13       resources: ["persistentvolumes"]
 14     namespaces: ["front-apps"]
 15   - level: Metadata
 16     resources:
 17     - group: ""
 18       resources: ["ConfigMap", "Secret"]
 19   - level: Metadata

root@hk8s-master01:/etc/kubernetes/logpolicy# systemctl daemon-reload 
root@hk8s-master01:/etc/kubernetes/logpolicy# systemctl restart kubelet.service 
root@hk8s-master01:/etc/kubernetes/logpolicy# 

root@hk8s-master01:/var/lib/kubelet# kubectl get pods -n kube-system 
NAME                                       READY   STATUS             RESTARTS        AGE
calico-kube-controllers-86d8c4fb68-s7f7d   0/1     CrashLoopBackOff   12 (82s ago)    425d
calico-node-l7f5k                          1/1     Running            16 (84m ago)    425d
calico-node-lksqf                          1/1     Running            16 (84m ago)    425d
calico-node-s95fd                          1/1     Running            36              425d
calico-typha-768795f74d-qgxx2              1/1     Running            5 (84m ago)     425d
coredns-567c556887-5j84n                   1/1     Running            5 (84m ago)     399d
coredns-567c556887-j565b                   1/1     Running            1 (84m ago)     399d
etcd-hk8s-master01                         1/1     Running            0               37m
kube-apiserver-hk8s-master01               1/1     Running            0               19s
kube-controller-manager-hk8s-master01      1/1     Running            21 (118s ago)   60d
kube-proxy-8b876                           1/1     Running            10 (84m ago)    399d
kube-proxy-9wmbm                           1/1     Running            5 (84m ago)     399d
kube-proxy-s4rvl                           1/1     Running            5 (84m ago)     399d
kube-scheduler-hk8s-master01               1/1     Running            21 (118s ago)   60d
metrics-server-74db45c9df-n7dlb            1/1     Running            1 (84m ago)     42




root@hk8s-master01:/etc/kubernetes/logpolicy# vim sample-policy.yaml 

  1 apiVersion: audit.k8s.io/v1
  2 kind: Policy
  3 omitStages:
  4   - "RequestReceived"
  5 rules:
  6   - level: RequestResponse
  7     resources:
  8     - group: ""
  9       resources: ["cronjobs"]
 10   - level: Request
 11     resources:
 12     - group: ""
 13       resources: ["persistentvolumes"]
 14     namespaces: ["front-apps"]
 15   - level: Metadata
 16     resources:
 17     - group: ""
 18       resources: ["ConfigMap", "Secret"]
 19   - level: Metadata

root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 

 12 spec:
 13   containers:
 14   - command:
 15     - kube-apiserver
 16     - --audit-log-maxage=30
 17     - --audit-log-maxbackup=10
 18     - --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml
 19     - --audit-log-path=/var/log/kubernetes/kubernetes-logs.txt

101     - mountPath: /etc/kubernetes/logpolicy
102       name: logpolicy
103     - mountPath: /var/log/kubernetes
104       name: kubelog

111   volumes:
112   - hostPath:
113       path: /etc/kubernetes/logpolicy
114     name: logpolicy
115   - hostPath:
116       path: /var/log/kubernetes
117     name: kubelog






root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 

 12 spec:
 13   containers:
 14   - command:
 15     - kube-apiserver
 16     - --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml
 17     - --audit-log-path=/var/log/kubernetes/kubernetes-logs.txt
 18     - --audit-log-maxage=30
 19     - --audit-log-maxbackup=10

101     - mountPath: /etc/kubernetes/logpolicy
102       name: logpolicy
103     - mountPath: /var/log/kubernetes
104       name: kubelogs

111   volumes:
112   - hostPath:
113       path: /etc/kubernetes/logpolicy
114     name: logpolicy
115   - hostPath:
116       path: /var/log/kubernetes
117     name: kubelogs



root@hk8s-master01://etc/kubernetes/logpolicy# vim sample-policy.yaml 


  1 apiVersion: audit.k8s.io/v1
  2 kind: Policy
  3 omitStages:
  4   - "RequestReceived"
  5 rules:
  6   - level: RequestResponse
  7     resources:
  8     - group: ""
  9       resources: ["cronjobs"]
 10   - level: Request
 11     resources:
 12     - group: ""
 13       resources: ["persistentvolumes"]
 14     # 这个规则仅适用于 "kube-system" 名字空间中的资源。
 15     # 空字符串 "" 可用于选择非名字空间作用域的资源。
 16     namespaces: ["front-apps"]
 17   - level: Metadata
 18     resources:
 19     - group: ""
 20       resources: ["ConfigMap", "Secret"]
 21   - level: Metadata
root@hk8s-master01://etc/kubernetes/logpolicy# systemctl daemon-reload 
root@hk8s-master01://etc/kubernetes/logpolicy# systemctl restart kubelet.service 



root@hk8s-master01:/etc/kubernetes/manifests# cp kube-apiserver.yaml /tmp/kube-apiserver.yaml.7
root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 
root@hk8s-master01:/etc/kubernetes/manifests# cd ../logpolicy/
root@hk8s-master01:/etc/kubernetes/logpolicy# vim sample-policy.yaml 
root@hk8s-master01:/etc/kubernetes/logpolicy# kubectl apply -f sample-policy.yaml 
root@hk8s-master01:/etc/kubernetes/logpolicy# systemctl daemon-reload 
root@hk8s-master01:/etc/kubernetes/logpolicy# systemctl restart kubelet.service 
root@hk8s-master01:/etc/kubernetes/logpolicy# kubectl get pods -n kube-system 
NAME                                       READY   STATUS    RESTARTS         AGE
calico-kube-controllers-86d8c4fb68-s7f7d   1/1     Running   2 (36m ago)      440d
calico-node-l7f5k                          1/1     Running   16 (143m ago)    440d
calico-node-lksqf                          1/1     Running   16 (143m ago)    440d
calico-node-s95fd                          1/1     Running   36 (143m ago)    440d
calico-typha-768795f74d-qgxx2              1/1     Running   5 (143m ago)     440d
coredns-567c556887-5j84n                   1/1     Running   5 (143m ago)     413d
coredns-567c556887-j565b                   1/1     Running   1 (143m ago)     413d
etcd-hk8s-master01                         1/1     Running   0                36m
kube-apiserver-hk8s-master01               1/1     Running   0                8m35s
kube-controller-manager-hk8s-master01      1/1     Running   17 (9m19s ago)   74d
kube-proxy-8b876                           1/1     Running   10 (143m ago)    413d
kube-proxy-9wmbm                           1/1     Running   5 (143m ago)     413d
kube-proxy-s4rvl                           1/1     Running   5 (143m ago)     413d
kube-scheduler-hk8s-master01               1/1     Running   17 (9m18s ago)   74d
metrics-server-74db45c9df-n7dlb            1/1     Running   1 (143m ago)     440d


root@hk8s-master01:/etc/kubernetes/manifests# cp kube-apiserver.yaml /tmp/kube-apiserver.yaml.7
root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 
root@hk8s-master01:/etc/kubernetes/manifests# ls
etcd.yaml  kube-apiserver.yaml  kube-controller-manager.yaml  kube-scheduler.yaml
root@hk8s-master01:/etc/kubernetes/manifests# cp etcd.yaml /tmp/etcd.yaml.7
root@hk8s-master01:/etc/kubernetes/manifests# cp /var/lib/kubelet/config.yaml /tmp/config.yaml.7
root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 
root@hk8s-master01:/etc/kubernetes/manifests# cd /etc/kubernetes/logpolicy/
root@hk8s-master01:/etc/kubernetes/logpolicy# ls
sample-policy.yaml
root@hk8s-master01:/etc/kubernetes/logpolicy# vim sample-policy.yaml 
root@hk8s-master01:/etc/kubernetes/logpolicy# systemctl daemon-reload 
root@hk8s-master01:/etc/kubernetes/logpolicy# systemctl restart kubelet.service 


 16 #    - --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml
 17 #    - --audit-log-path=/var/log/kubernetes/kubernetes-logs.txt
 18 #    - --audit-log-maxage=30
 19 #    - --audit-log-maxbackup=10
101 #    - mountPath: /etc/kubernetes/logpolicy
102 #      name: logpolicy
103 #    - mountPath: /var/log/kubernetes
104 #      name: kubelogs
112 #  - hostPath:
113 #      path: /etc/kubernetes/logpolicy
114 #    name: logpolicy
115 #  - hostPath:
116 #      path: /var/log/kubernetes
117 #    name: kubelogs



root@hk8s-master01:/etc/kubernetes/manifests# cp kube-apiserver.yaml /tmp/kube-apiserver.yaml.7
root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 
root@hk8s-master01:/etc/kubernetes/manifests# systemctl restart kubelet.service 
root@hk8s-master01:/etc/kubernetes/manifests# kubectl get pods -n kube-system
root@hk8s-master01:/etc/kubernetes/manifests# cd /etc/kubernetes/logpolicy/
root@hk8s-master01:/etc/kubernetes/logpolicy# vim sample-policy.yaml 
root@hk8s-master01:/etc/kubernetes/logpolicy# systemctl restart kubelet.service 
root@hk8s-master01:/etc/kubernetes/logpolicy# kubectl get pods -n kube-system
NAME                                       READY   STATUS     RESTARTS         AGE
calico-kube-controllers-86d8c4fb68-s7f7d   1/1     Running    1 (4h27m ago)    442d
calico-node-l7f5k                          1/1     Init:0/3   16 (4h27m ago)   442d
calico-node-lksqf                          1/1     Running    16 (4h27m ago)   442d
calico-node-s95fd                          1/1     Running    36 (4h27m ago)   442d
calico-typha-768795f74d-qgxx2              1/1     Running    5 (4h27m ago)    442d
coredns-567c556887-5j84n                   1/1     Running    5 (4h27m ago)    415d
coredns-567c556887-j565b                   1/1     Running    1 (4h27m ago)    415d
etcd-hk8s-master01                         1/1     Running    0                76d
kube-apiserver-hk8s-master01               1/1     Running    0                23m
kube-controller-manager-hk8s-master01      1/1     Running    16 (24m ago)     76d
kube-proxy-8b876                           1/1     Running    10 (4h27m ago)   415d
kube-proxy-9wmbm                           1/1     Running    5 (4h27m ago)    415d
kube-proxy-s4rvl                           1/1     Running    5 (4h27m ago)    415d
kube-scheduler-hk8s-master01               1/1     Running    16 (24m ago)     76d
metrics-server-74db45c9df-n7dlb            1/1     Running    1 (4h27m ago)    442d


root@hk8s-master01:/etc/kubernetes/manifests# ls
etcd.yaml  kube-apiserver.yaml  kube-controller-manager.yaml  kube-scheduler.yaml
root@hk8s-master01:/etc/kubernetes/manifests# cp kube-apiserver.yaml /tmp/kube-apiserver.yaml.7
root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 
root@hk8s-master01:/etc/kubernetes/manifests# cd /etc/kubernetes/logpolicy/
root@hk8s-master01:/etc/kubernetes/logpolicy# vim sample-policy.yaml 
root@hk8s-master01:/etc/kubernetes/logpolicy# systemctl daemon-reload 
root@hk8s-master01:/etc/kubernetes/logpolicy# systemctl restart kubelet.service 

root@hk8s-master01:/etc/kubernetes/logpolicy# kubectl get pods -n kube-system 
NAME                                       READY   STATUS    RESTARTS         AGE
calico-kube-controllers-86d8c4fb68-s7f7d   1/1     Running   4 (3m39s ago)    443d
calico-node-l7f5k                          1/1     Running   16 (12h ago)     443d
calico-node-lksqf                          1/1     Running   16 (12h ago)     443d
calico-node-s95fd                          1/1     Running   36 (12h ago)     443d
calico-typha-768795f74d-qgxx2              1/1     Running   5 (12h ago)      443d
coredns-567c556887-5j84n                   1/1     Running   5 (12h ago)      417d
coredns-567c556887-j565b                   1/1     Running   1 (12h ago)      417d
etcd-hk8s-master01                         1/1     Running   0                78d
kube-apiserver-hk8s-master01               1/1     Running   0                3m48s
kube-controller-manager-hk8s-master01      1/1     Running   16 (4m24s ago)   78d
kube-proxy-8b876                           1/1     Running   10 (12h ago)     417d
kube-proxy-9wmbm                           1/1     Running   5 (12h ago)      417d
kube-proxy-s4rvl                           1/1     Running   5 (12h ago)      417d
kube-scheduler-hk8s-master01               1/1     Running   16 (4m25s ago)   78d
metrics-server-74db45c9df-n7dlb            1/1     Running   1 (12h ago)      443d

狗哥运维
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS教程-KubernetesK8s、CKS 认证实战班(安全专家)
02-15
CKS,全称为Certified Kubernetes Security Specialist,是CNCF(Cloud Native Computing Foundation)认证的安全专家课程,主要针对Kubernetes(K8s)平台的安全管理、配置和最佳实践。本教程致力于帮助学员掌握...
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
k8s学习-CKS真题-日审计 log audit_cks 真题
2401_84971828的博客
05-12 902
etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。注意:基本策略位于 cluster 的 master 节点上。编辑和扩展基本策略以记录:RequestResponse 级别的 persistentvolumes 更改namespace front-apps 中 configmaps 更改的请求体Metadata 级别的所有 namespace 中的 ConfigMap 和 Secret 的更改。
CKS认证-AppArmor
m0_46913617的博客
08-05 501
本文主要是介绍CKS认证考试相关的题目和注意事项
CKS认证-ImagePolicyWebhook
m0_46913617的博客
08-05 1021
本文主要是介绍CKS认证考试相关的题目和注意事项
CKS认证-Sysdig更新
m0_46913617的博客
08-05 545
本文主要是介绍CKS认证考试相关的题目和注意事项
kubernetes/CKS认证试验手册-LFS260-labs_V2021-08-10.pdf
10-19
文件标题提到了“kubernetes/CKS认证试验手册-LFS260-labs_V2021-08-10.pdf”,其中“CKS”指的是Certified Kubernetes Security Specialist(认证Kubernetes安全专家),这是一个由Linux基金会(Linux Foundation...
CKS 认证实战班视频课程2022
03-09
分享一套CKS视频教程,2022年1月结课的新课 课程大纲: 第1章 开班仪式 第2章 模块一:Kubernetes集群设置 第3章 模块二:Kubernetes 集群强化 第4章 模块三:Kubernetes 系统强化 第5章 模块四:最小化微服务漏洞 ...
k8s 容忍和污点
最新发布
batman
09-12 473
该值定义尽量避免将Pod调度到存在其不能容忍的Taint的节点上,但并不是强制的,也就是说,一个没有配置Toleration的Pod会优先部署至其他节点,没有其他可以调度的节点时,还是可以部署到effect为PreferNoSchedule的节点上的,NoSchedule没有这种机制。如果未被过滤的Taint中不存在effect值为NoExecute的Taint,但是存在effect值为PreferNoSchedule的Taint,则Kubernetes会尝试将Pod分配到该节点。
k8s Helm
巧克力人生的博客
09-08 1045
了解HelmHelm是kubernetes中查找、分享、构建应用的最佳方式。Helm是一个Kubernetes应用的包管理工具,用来管理chart(一种预先配置好的安装包资源),有点类似于Ubuntu 的APT和CentOS/Rocky中的YUM。因此,helm的出现解决了k8s应用管理能力缺失的问题。另外Helm也是dev和ops的桥梁,运维人员在使用Helm的时候,一方面不需要理解大量在Chart中的各种k8s元素,只需要配置少量的环境变量即可安装;
k8s API资源对象
巧克力人生的博客
09-06 723
如果想直接通过k8s节点的IP直接访问到service对应的资源,可以使用NodePort,Nodeport对应的端口范围:30000-32767。这种方式,需要配合公有云资源比如阿里云、亚马逊云来实现,这里需要一个公网IP作为入口,然后来负载均衡所有的Pod。该方式为默认类型,即,不定义type字段时(如上面service的示例),就是该类型。说明:Taint叫做污点,如果某一个节点上有污点,则不会被调度运行pod。使用yaml文件来配置、部署资源对象。作用:对外提供访问端口。
StreamPark集成k8s运行Flink
weixin_45249411的博客
09-08 523
1.然后在有docekr的机器上登录。2.设置下命名空间(左侧)
Kubernetes】K8s 的鉴权管理(二):基于属性 / 节点 / Webhook 的访问控制
书山有路,学海无涯。记录成长,追逐梦想
09-10 1241
基于属性的访问控制(Attribute-Based Access Control,ABAC)通过将属性组合在一起来定义用户可以访问的范围。其策略文件是一个具有多行 JSON 格式的文件,该文件中的每一行都是一个策略(即一个 JSON 对象)。
培训第九周(部署k8s基础环境)
weixin_70693880的博客
09-07 1516
添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128行)之前采⽤初始化安装⽅式,所有的系统组件均以容器的⽅式运⾏ 并且在 kube-system 命名空间内,此时可以查看 Pod(容器 组)状态。overlay # ⽤于⽀持Overlay⽹络⽂件系统的模块,它可以在现有的⽂件系统之上创建叠加层,以实现虚拟化、隔离和管理等功能。设置为0表示不产⽣panic,设置为1表示产⽣panic。
k8s HPA
巧克力人生的博客
09-07 630
HPA可以基于CPU利用率对replication controller、deployment和replicaset中的pod数量进行自动扩缩容(除了CPU利用率,也可以基于其他应用程序提供的度量指标custom metrics进行自动扩缩容)。将image: k8s.gcr.io/metrics-server/metrics-server:v0.6.2 修改为 image: aminglinux/metrics-server:v0.6.2。pod自动缩放不适用于无法缩放的对象,比如daemonsets。
14.2 k8s中我们都需要监控哪些组件
福大大架构师每日一题
09-08 906
指标类型采集源应用举例发现类型grafana截图容器基础资源指标kubelet 内置cadvisor metrics接口查看容器cpu、mem利用率等k8s_sd node级别直接访问node_ip容器基础资源k8s对象资源指标(简称ksm)具体可以看看pod状态如pod waiting状态的原因数个数如:查看node pod按namespace分布情况通过coredns访问域名k8s对象资源指标k8s服务组件指标服务组件 metrics接口。
kubeadm 初始化 k8s 证书过期解决方案
Richardlygo的博客
09-08 437
在使用 kubeadm 初始化的 Kubernetes 集群中,默认情况下证书的有效期为一年。当证书过期时,集群中的某些组件可能会停止工作,导致集群不可用。本文将详细介绍如何解决 kubeadm 初始化的 Kubernetes 集群证书过期的问题,并提供一种实用的方法来延长证书的有效期。
2021 CKA-CKS备考策略:官方资源与实战指南
2. **CKS (Certified Kubernetes Security Specialist)**: 侧重于安全方面,考生需理解Kubernetes的安全模型,如审计、监控、漏洞扫描(如Trivy、Sysdig、Falco和AppArmor),以及如何配置和实施安全策略。CKS考试...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值