CKS认证-AppArmor

已于 2024-08-07 20:07:09 修改
阅读量454 收藏 5
点赞数 18
分类专栏: CKS认证考试 文章标签: kubernetes docker 容器
于 2024-08-05 13:58:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46913617/article/details/140925173
版权

14. AppArmor


**注意:**这道题给大家更新一下,在做这题的时候一定要检查kubelet的版本是1.28还是1.30.如果是1.30的话,按照官网最新文档去修改annotaions的值。如果是1.28的版本,一定要在kubernetes.io官网上把版本切换成1.28的版本再去做这道题。建议大家两种方法都要掌握一下!!!

  1 apiVersion: v1
  2 kind: Pod
  3 metadata:
  4   name: nginx-deploy
  5   annotations:
  6     container.apparmor.security.beta.kubernetes.io/nginx-deploy: localhost/nginx-profile-1
  7 spec:
  8   containers:
  9   - name: nginx-deploy
 10     image: busybox
 11     command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]

问题:

Context
AppArmor 已在 cluster 的工作节点上被启用。一个 AppArmor 配置文件已存在,但尚未被实施。
:::info
您可以使用浏览器打开一个额外的标签页来访问 AppArmor 的文档。
:::
Task
在 cluster 的工作节点上,实施位于/etc/apparmor.d/nginx_apparmor 的现有AppArmor 配置文件。
编辑位于/home/candidate/KSSH00401/nginx-deploy.yaml的现有清单文件以应用 AppArmor 配置文件。
最后,应用清单文件并创建其中指定的 Pod。

正确答案:

注意:
ssh 到 node 节点加载apparmor配置⽂件 , 集群中所有node节点都要配置!
ssh 到 node 节点加载apparmor配置⽂件 , 集群中所有node节点都要配置!
ssh 到 node 节点加载apparmor配置⽂件 , 集群中所有node节点都要配置!
配置 Pod 使⽤该策略: (退回主节点)
回主节点运⾏kubectl,考试时不要忘记切换 context
回主节点运⾏kubectl,考试时不要忘记切换 context
回主节点运⾏kubectl,考试时不要忘记切换 context

:::info
提示:
如果忘记加载的命令可以输入appa 摁tab键,查询相关命令
:::

root@hk8s-master01:/etc/apparmor.d# vim nginx_apparmor
#include <tunables/global>
profile nginx-profile-1 flags=(attach_disconnected) {
  #include <abstractions/base>
  file,
  # Deny all file writes.
  deny /** w,
}

加载文件,需要ssh到所有node节点上加载,不能在master上加载。加载完成后,在exit 退回到master节点,执行后面操作

##查看apparmor的状态
root@hk8s-master01:/home/candidate/KSSH00401# apparmor_status 
apparmor module is loaded.
34 profiles are loaded.
34 profiles are in enforce mode.
   /snap/snapd/20290/usr/lib/snapd/snap-confine
   /snap/snapd/20290/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /snap/snapd/20671/usr/lib/snapd/snap-confine
   /snap/snapd/20671/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /snap/snapd/21184/usr/lib/snapd/snap-confine
   /snap/snapd/21184/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/chronyd
   /usr/sbin/tcpdump
   /{,usr/}sbin/dhclient
   cri-containerd.apparmor.d
   lsb_release
   man_filter
   man_groff
   nvidia_modprobe
   nvidia_modprobe//kmod
   snap-update-ns.lxd
   snap.lxd.activate
   snap.lxd.benchmark
   snap.lxd.buginfo
   snap.lxd.check-kernel
   snap.lxd.daemon
   snap.lxd.hook.configure
   snap.lxd.hook.install
   snap.lxd.hook.remove
   snap.lxd.lxc
   snap.lxd.lxc-to-lxd
   snap.lxd.lxd
   snap.lxd.migrate
0 profiles are in complain mode.
6 processes have profiles defined.
6 processes are in enforce mode.
   /usr/sbin/chronyd (922) 
   /usr/sbin/chronyd (926) 
   /usr/local/bin/etcd (1478) cri-containerd.apparmor.d
   /usr/local/bin/kube-apiserver (51922) cri-containerd.apparmor.d
   /usr/local/bin/kube-controller-manager (1071408) cri-containerd.apparmor.d
   /usr/local/bin/kube-scheduler (1071481) cri-containerd.apparmor.d
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

##加载文件
root@hk8s-master01:/home/candidate/KSSH00401# apparmor_parser -q /etc/apparmor.d/nginx_apparmor 

##加载完成后你会在输出的结果里面看到nginx_apparmor配置文件,不加载是没有这个文件的
root@hk8s-master01:/home/candidate/KSSH00401# apparmor_status 
apparmor module is loaded.
35 profiles are loaded.
35 profiles are in enforce mode.
   /snap/snapd/20290/usr/lib/snapd/snap-confine
   /snap/snapd/20290/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /snap/snapd/20671/usr/lib/snapd/snap-confine
   /snap/snapd/20671/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /snap/snapd/21184/usr/lib/snapd/snap-confine
   /snap/snapd/21184/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/bin/man
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/snapd/snap-confine
   /usr/lib/snapd/snap-confine//mount-namespace-capture-helper
   /usr/sbin/chronyd
   /usr/sbin/tcpdump
   /{,usr/}sbin/dhclient
   cri-containerd.apparmor.d
   lsb_release
   man_filter
   man_groff
   nginx-profile
   nvidia_modprobe
   nvidia_modprobe//kmod
   snap-update-ns.lxd
   snap.lxd.activate
   snap.lxd.benchmark
   snap.lxd.buginfo
   snap.lxd.check-kernel
   snap.lxd.daemon
   snap.lxd.hook.configure
   snap.lxd.hook.install
   snap.lxd.hook.remove
   snap.lxd.lxc
   snap.lxd.lxc-to-lxd
   snap.lxd.lxd
   snap.lxd.migrate
0 profiles are in complain mode.
6 processes have profiles defined.
6 processes are in enforce mode.
   /usr/sbin/chronyd (922) 
   /usr/sbin/chronyd (926) 
   /usr/local/bin/etcd (1478) cri-containerd.apparmor.d
   /usr/local/bin/kube-apiserver (51922) cri-containerd.apparmor.d
   /usr/local/bin/kube-controller-manager (1071408) cri-containerd.apparmor.d
   /usr/local/bin/kube-scheduler (1071481) cri-containerd.apparmor.d
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

配置yaml文件

root@hk8s-master01:/home/candidate/KSSH00401# vim nginx-deploy.yaml 
  1 apiVersion: v1
  2 kind: Pod
  3 metadata:
  4   name: nginx-deploy
  5   annotations:
  6     container.apparmor.security.beta.kubernetes.io/nginx-deploy: localhost/nginx-profile-1
  7 spec:
  8   containers:
  9   - name: nginx-deploy
 10     image: busybox
 11     command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]

检查正确的输出结果

root@hk8s-master01:/home/candidate/KSSH00401# kubectl exec nginx-deploy -- cat /proc/1/attr/current
nginx-profile-1 (enforce)

狗哥运维
关注
  • 18
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS认证是什么?
mianbaojiayou的博客
01-17 6344
CKSKubernetes认证体系下的认证CKS全称是Certified Kubernetes Security Specialist,中文名就是Kubernetes安全专家认证,考取这个证书之后证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的必要能力,并且有资格在专业环境中执行这些任务。 CKS和CKA认证一样都是实操的认证考试,它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,考生必须已经通过Kubernetes管理
CKA,CKS题库kubernetes认证考试
weixin_45047200的博客
01-01 746
最权威的CKA,CKS,kubernetes认证考试完全免费分享。看着一套就够了
【K8S认证】2023年CKS考题-AppArmor访问控制(解析+答案)
u014481728的博客
10-27 1730
【K8S认证】2023年CKS考题-AppArmor访问控制(解析+答案)
kubernetes认证-CKA、CKS考试
热门推荐
西京刀客
04-17 2万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKSKubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证
CKS认证题库
托瓦斯克一
11-28 3014
2022年11月最新CKS认证
CKS 认证备考指南
KubeSphere
09-15 996
作者:scwang18,主要负责技术架构,在容器云方向颇有研究。 前言 CKA 和 CKS 是 Linux 基金会联合 CNCF 社区组织的云原生技术领域权威的技术水平认证考试,考试采用实操方式进行。CKS 全称是 Certified Kubernetes Security Specialist,它在一个模拟真实的环境中测试考生对 Kubernetes 和云安全的知识。在参加 CKS 考试之前,必须已经通过 CKA(Kubernetes 管理员认证),在获得 CKA 证书之后才可以预约 CKS 考试。C
Kubernetes认证考试CKS主要知识点介绍
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-22 730
CKS (Certified Kubernetes Security Specialist) 是由 Cloud Native Computing Foundation (CNCF) 提供的一项专注于 Kubernetes 安全领域的专业认证。该认证旨在验证考生在设计、实施和维护安全的 Kubernetes 集群方面的能力。
k8s学习-CKS考试必过宝典_cks考题 api etcd 通信
2401_84263434的博客
04-26 745
正确设置带有安全控制的Ingress对象保护节点元数据和端点最小化GUI元素的使用和访问在部署之前验证平台二进制文件。
CKS真题分析-2023年度
李凯的博客
10-31 3249
CKS 2023CKS CKS真题解析
CKS教程-KubernetesK8s、CKS 认证实战班(安全专家)
02-15
CKS,全称为Certified Kubernetes Security Specialist,是CNCF(Cloud Native Computing Foundation)认证的安全专家课程,主要针对Kubernetes(K8s)平台的安全管理、配置和最佳实践。本教程致力于帮助学员掌握...
CKS 认证实战班视频课程2022
03-09
分享一套CKS视频教程,2022年1月结课的新课 课程大纲: 第1章 开班仪式 第2章 模块一:Kubernetes集群设置 第3章 模块二:Kubernetes 集群强化 第4章 模块三:Kubernetes 系统强化 第5章 模块四:最小化微服务漏洞 ...
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
CKS - Practise - ImageWebHook.docx
04-29
在这个文件中,包含了Webhook服务的配置信息,如认证和连接参数等。 为了使API服务器能识别并使用ImagePolicyWebhook,我们需要更新`/etc/kubernetes/pki/admission_configuration.yaml`,添加kubeconfig文件的路径...
【nginx】解决k8s中部署nginx转发不会自动更新域名解析&启动失败的问题
最新发布
qq_26127905的博客
08-07 372
但是如果这个服务不存在,ip1就会拿不到,从而导致启动nginx失败。(即Nginx接收并处理客户端请求的阶段)对域名的处理方式是不同的。ip改变了,代理会失败,因为nginx缓存了旧ip。这里指的容器重新创建,并非更新镜像,因为更新镜像。指定了域名服务器,在解析时是不会自动帮我们补全的。要先创建,否则nginx启动时会因为无法解析。中域名一定要写全域名,不能简写成。,在解析域名时会自动帮你补全域名。解析即可,(按照理解,默认会去根据。才解析域名,这里按理说值配置。指定域名,那么这个域名会到。
k8s中yaml文件的编写
2402_83805984的博客
08-04 1005
方法1:根据现有资源导出yaml文件修改配置,重新创建只保留常用配置,删除多余的,配置,进行修改创建即可方法2:根据现有资源,进入其配置中,复制模板,再进行创建即可复制其中的配置,获取模板方法3:通过--dry-run选项模拟运行创建资源的命令获取kubectl create|run|expose -n <命名空间> <资源类型> <资源名称> [参数选项] --dry-run=client -o yaml > XXX.yaml。
K8S Docker搭建RocketMQ Dledger高可用集群
AllenChan_的博客
08-04 801
讲解RocketMQ最流行的3种集群部署模式以及它们之间的差异。带你用3台小机器结合K8S和Docker搭建一个高可用具备failover能力的生产集群。实现TPS 6000和百万消息收发的RocketMQ集群。
Kubernetes】k8s集群的资源发布方式
F12138X的博客
08-03 608
若不给自己设限,则人生中就没有限制你发挥的藩篱
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值