CKS认证-ImagePolicyWebhook

已于 2024-08-08 16:30:09 修改
阅读量966 收藏 20
点赞数 9
分类专栏: CKS认证考试 文章标签: kubernetes docker 容器
于 2024-08-05 14:04:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46913617/article/details/140925346
版权

16. ImagePolicyWebhook

问题

Task

您必须在 cluster 的 master 节点上完成整个考题,所有服务和文件都已被准备好并放置在该节点上。

给定一个目录/etc/kubernetes/epconfig 中不完整的配置以及具有 HTTPS 端点https://wakanda.local:8082/image_policy 的功能性容器镜像扫描器:

  1. 启用必要的插件来创建镜像策略
  2. 校验控制配置并将其更改为隐式拒绝(implicit deny)
  3. 编辑配置以正确指向提供的 HTTPS 端点

最后,通过尝试部署易受攻击的资源/root/KSSC00202/configuration-test.yml 来测试配置是否有效。
:::info
您可以在/var/log/imagepolicy/acme.log 找到容器镜像扫描仪的日志文件。
:::

正确答案:

参考链接
文档搜索关键词:准入控制器、ImagePolicyWebhook
1. 关闭默认允许:

#如果权限不够, 切换到root
candidate@hk8s-master01:~$ vim
/etc/kubernetes/epconfig/admission_configuration.json
{
"imagePolicy": {
"kubeConfigFile": "/etc/kubernetes/epconfig/kubeconfig.yaml",
"allowTTL": 50,
"denyTTL": 50,
"retryBackoff": 500,
"defaultAllow": false
}
}
# 将'defaultAllow' 改成false

2、配置 Webhook 地址:

注意:
模拟环境中这个url是http的, 考试时按照题⽬要求写。
操作前,先备份配置文件
千万不要在/etc/kubernetes/下备份,可能会导致异常,可以备份到/tmp 目录下。

candidate@hk8s-master01:~$ vim
/etc/kubernetes/epconfig/kubeconfig.yaml
server: http://wakanda.local:8082/image_policy #模拟环境中这个url是http的, 考试时按照题⽬要求写

image.png
3、开启 ImagePolicyWebhook:

注意:
操作前,先备份配置文件
千万不要在/etc/kubernetes/下备份,可能会导致异常,可以备份到/tmp 目录下。
在- command:下修改或添加如下内容,注意空格要对齐(不建议放到最后,建议放置的位置详见下方截图)

  • –enable-admission-plugins=NodeRestriction,ImagePolicyWebhook #注意先搜索,如果存在则修改,比如模拟环境里已经有了,但不全,需要修改。
  • –admission-control-config-file=/etc/kubernetes/epconfig/admission_configuration.json #在 1.28 的考试中,默认有这行了,但为了以防万一,模拟环境,没有这行,需要你手动添加。考试时,你先检查,有的话,就不要再重复添加了。
candidate@hk8s-master01:~$ vim /etc/kubernetes/manifests/kube-apiserver.yaml
- --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook #修改这⼀⾏加上ImagePolicyWebhook
- --admission-control-config-file=/etc/kubernetes/epconfig/admission_configuration.json # 添加这⼀⾏,指向的⽂件在 epconfig⽬录下


4、配置挂载, 考试时⼀般已经挂载好了,到时检查下, 不要重复挂载 :

... ...
 95     - mountPath: /usr/local/share/ca-certificates
 96       name: usr-local-share-ca-certificates
 97       readOnly: true
 98     - mountPath: /etc/kubernetes/epconfig # 添加这三⾏
 99       name: epconfig #
 100      readOnly: true  #
 105   hostNetwork: true
 106   priority: 2000001000
 107   priorityClassName: system-node-critical
 108   securityContext:
 109     seccompProfile:
 110       type: RuntimeDefault
111   volumes:
112   - hostPath:     ##添加这三行
113       path: /etc/kubernetes/epconfig   #
115     name: epconfig  #
120   - hostPath:
121       path: /etc/ssl/certs
122       type: DirectoryOrCreate
... ...

5、重启服务

注意:
等待 3 分钟,等集群应用策略后,确保 kube-apiserver 是 running 的
kubectl -n kube-system get pod

 systemctl daemon-reload
 systemctl restart kubelet

6、测试

注意:
(注意:考试时,你可能会正常的创建出来 pod。但是题目里会给你一个日志文件(如下图),你可以检查日志文件,日志文件里会记录检测信息的,如果有提
示大概意思是说部署了一个易受攻击的镜像,则表示做对了。)
image.png
部署题⽬给出的yaml
通过尝试部署易受攻击的资源 /root/KSSC00202/configuration-test.yml 来测试配置是否有效
无法创建 pod,如下报错,表示成功。
因为模拟环境里的 image_policy 策略是镜像 tag 是 latest 的不允许创建。

root@hk8s-master01:~/init# kubectl create -f 
/root/KSSC00202/configuration-test.yml

然后查看 kubectl describe replicationcontrollers nginx-latest
image.png
imagepolicywebhook已经⽣效了, image policy webhook backend denied one or more images

狗哥运维
关注
  • 9
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS学习笔记-镜像安全ImagePolicyWebhook
weixin_43394724的博客
12-23 1044
官网: https://www.notion.so/etaon/ImagePolicyWebhook-6b7d52ff6b474d168688698cea046905#991170999fd84532aa6354ade5ccb0dd 什么是准入控制插件? 准入控制器是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器由下面的列表组成, 并编译进 kube-apiserver 二进制文件,并且只能由集群管理员配置。 在该列表中,有两个特殊的控制器
CKS 2024年四月最新题库
pooopun的博客
04-28 882
CKS认证考试解题步骤。2024 4月最新版
【K8S认证】2023年CKS考题-镜像扫描ImagePolicyWebhook(解析+答案)
u014481728的博客
10-28 2601
【K8S认证】2023年CKS考题-镜像扫描ImagePolicyWebhook(解析+答案)
CKS1.23 考试题整理(14)-ImagePolicyWebhook容器镜像扫描
april_4的博客
04-26 1568
题目 给定一个目录 /etc/kubernetes/epconfig中不完整的配置以及具有 HTTPS 端点 https://acme.local:8082/image_policy 的功能性容器镜像扫描器: 1. 启用必要的插件来创建镜像策略 2. 校验控制配置并将其更改为隐式拒绝(implicit deny) 3. 编辑配置以正确指向提供的 HTTPS 端点 最后,通过尝试部署易受攻击的资源 /cks/img/web1.yaml来测试配置是否有效。 你可以在 /var/log/imagep
CKS认证题库
托瓦斯克一
11-28 3014
2022年11月最新CKS认证
CKS 认证备考指南
KubeSphere
09-15 996
作者:scwang18,主要负责技术架构,在容器云方向颇有研究。 前言 CKA 和 CKS 是 Linux 基金会联合 CNCF 社区组织的云原生技术领域权威的技术水平认证考试,考试采用实操方式进行。CKS 全称是 Certified Kubernetes Security Specialist,它在一个模拟真实的环境中测试考生对 Kubernetes 和云安全的知识。在参加 CKS 考试之前,必须已经通过 CKA(Kubernetes 管理员认证),在获得 CKA 证书之后才可以预约 CKS 考试。C
CKS真题分析-2023年度
李凯的博客
10-31 3249
CKS 2023CKS CKS真题解析
CKS考试总结
saynaihe的博客
12-24 6323
cks考试资格是去年活动时候跟cka一起买的 1200左右大洋吧…考了两次 ,第一次57分。我考!第二次 62分, 竟然还是没有过去…可能冥冥之中自己有所感应,今年活动的时候购买了一次机会备用的…好歹第三次算是过了86分还好… 总结一下15个题吧! 具体可参考昕光xg大佬的博客CKS认证CKS 2021最新真题考试经验分享–练习题04。顺序记不太清了,就按照昕光xg大佬列的题目记录一下解题思路吧!墙裂推荐大佬的博客。满满的都是干货! 1. RuntimeClass gVisor 根据题目内容创建一个Run
k8s学习-CKS考试必过宝典_cks考题 api etcd 通信
2401_84263434的博客
04-26 745
正确设置带有安全控制的Ingress对象保护节点元数据和端点最小化GUI元素的使用和访问在部署之前验证平台二进制文件。
【nginx】解决k8s中部署nginx转发不会自动更新域名解析&启动失败的问题
最新发布
qq_26127905的博客
08-07 368
但是如果这个服务不存在,ip1就会拿不到,从而导致启动nginx失败。(即Nginx接收并处理客户端请求的阶段)对域名的处理方式是不同的。ip改变了,代理会失败,因为nginx缓存了旧ip。这里指的容器重新创建,并非更新镜像,因为更新镜像。指定了域名服务器,在解析时是不会自动帮我们补全的。要先创建,否则nginx启动时会因为无法解析。中域名一定要写全域名,不能简写成。,在解析域名时会自动帮你补全域名。解析即可,(按照理解,默认会去根据。才解析域名,这里按理说值配置。指定域名,那么这个域名会到。
K8S Docker搭建RocketMQ Dledger高可用集群
AllenChan_的博客
08-04 799
讲解RocketMQ最流行的3种集群部署模式以及它们之间的差异。带你用3台小机器结合K8S和Docker搭建一个高可用具备failover能力的生产集群。实现TPS 6000和百万消息收发的RocketMQ集群。
window本地安装k8s集群,用Minikube安装
08-07 389
window本地安装k8s集群,用Minikube安装
Kubernetes】k8s集群的资源发布方式
F12138X的博客
08-03 607
若不给自己设限,则人生中就没有限制你发挥的藩篱
【K8S】为什么需要Kubernetes
黄小黄的博客
08-04 1181
Kubernetes是 一个开源的,用于管理云平台中多个主机上的容器化应用,Kubernetes提供了应用部署,规划,更新,维护的一种机制,其目标是为了让部署容器化的应用简单、高效~那么,为啥需要Kubern这还需要从应用的部署方式说起~
PHP之k8s学习
weixin_44874327的博客
08-07 271
具体来说,Kubernetes 可以将应用程序打包成容器,并将这些容器部署到一个集群中,然后自动处理容器的生命周期管理、自动扩容等操作,让用户更加专注于应用程序的开发和业务逻辑。同时,Kubernetes 还提供了一系列的资源管理机制,如资源调度、容器网络、存储编排等,控制整个容器集群的运行状态,并保证应用程序在容器集群中的高可用性和可靠性。总之,Kubernetes 提供了一种优秀的容器化应用程序管理解决方案,可以让用户更加轻松地部署、扩展和管理容器化应用程序,提高应用程序的可靠性和稳定性。
K8S Helm
mqiqe的专栏
08-07 560
要创建一个自定义 Helm Chart,遵循以下步骤:.使用 Helm CLI 工具,可以快速初始化一个新的Chart目录结构。这将创建一个名为mychart的目录,其中包含Chart.yaml文件和一些示例模板文件(如deployment.yaml, service.yaml等)。2.在Chart.yaml文件中,定义Chart的名称、版本、描述、维护者信息等。编辑模板文件:在templates目录下,编辑或添加Kubernetes资源文件(YAML格式),这些文件将定义应用程序。
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(一)
zerotoall的博客
08-07 144
【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(一) 思考一下问题: 1、简述ETCD及其特点? 2、简述ETCD适应的场景? 3、简述什么是Kubernetes? 4、简述KubernetesDocker的关系? 5、简述Kubernetes中什么是Minikube、Kubectl、Kubelet?
k8s基础概念
weixin_44021343的博客
08-03 396
B站K8S视频地址。
2021 CKA-CKS备考策略:官方资源与实战指南
在准备2021年的CKA-CKSKubernetes管理员/专家)认证考试时,这份备考攻略提供了全面的学习指南和策略。首先,让我们深入了解这两个认证: 1. **CKA (Certified Kubernetes Administrator)**: 作为认证的管理员...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值