CKS认证-TLS通信配置原题

最新推荐文章于 2024-09-12 17:37:20 发布
最新推荐文章于 2024-09-12 17:37:20 发布
阅读量195 收藏 1
点赞数 1
分类专栏: CKS认证考试 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46913617/article/details/140925410
版权

18. TLS通信配置原题

问题:

修改 API server 和 etcd 之间通信的 TLS 配置。
1. 对于 API server,删除对除 TLS 1.3 及更⾼版本之外的所有 TLS 版本的⽀持。此外,
删除对除
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 之外的所有 cipher suites 的⽀持。
2. 对于 etcd,删除对除 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 之外的所有
cipher suites 的⽀持

正确答案:

注意:
先切换集群, 然后登录到master节点上(如果有多个master分别执⾏下⾯的内容) 模拟环境在 主节点执⾏
etcd.yaml和kuberapiserver的不同。
修改etcd时,需要到etcd的官网查询相关参数的填写项。apiserver则在kubernetes.io/zh-cn这个网站查询即可。或者直接在apiserver的文档直接查,但是得删除 “tls-”这个参数,否则会报错。

修改kube-apiserver.yaml

root@hk8s-master01:/etc/kubernetes/manifests# vim kube-apiserver.yaml 
 12 spec:
 13   containers:
 14   - command:
 15     - kube-apiserver
 16     - --tls-min-version=VersionTLS13  #如果题目要求 TLS 1.2,则就写 VersionTLS12
 17     - --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

修改etcd.yaml

root@hk8s-master01:/etc/kubernetes/manifests# vim etcd.yaml 
 12 spec:
 13   containers:
 14   - command:
 15     - etcd
 16     - --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

狗哥运维
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS学习笔记-镜像安全ImagePolicyWebhook
weixin_43394724的博客
12-23 1053
官网: https://www.notion.so/etaon/ImagePolicyWebhook-6b7d52ff6b474d168688698cea046905#991170999fd84532aa6354ade5ccb0dd 什么是准入控制插件? 准入控制器是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器由下面的列表组成, 并编译进 kube-apiserver 二进制文件,并且只能由集群管理员配置。 在该列表中,有两个特殊的控制器
云原生Kubernetes | CKS认证总结
weixin_50471413的博客
08-20 537
【代码】云原生Kubernetes | CKS认证总结
2024年最新k8s-CKS真题-CIS基准测试与安全扫描_cis基准检测(1),2024年最新手撕面试官
2401_84558914的博客
05-08 648
注意:尽可能使用 Webhook 身份验证/授权。
CKS 2024年四月最新题库
pooopun的博客
04-28 1284
CKS认证考试解题步骤。2024 4月最新版
Kubernetes安全专家认证 (CKS)考试动员
爱死亡机器人
01-08 5173
文章目录1. 要求2. 考点内容3. 需要掌握内容3.1 群集设置 10%3.2 群集强化 15%3.3 系统强化 15%3.4 最小化微服务漏洞 20%3.5 供应链安全 20%3.6 监控、审计和runtime 20%4. 考试资料 1. 要求 考试模式:线上考试 考试时间:2小时 认证有效期:2年 软件版本:Kubernetes v1.19 系统:Ubuntu 18.4 有效期:考试资格自购买之日起12个月内有效 重考政策:可接受1次重考 经验水平:中级 2. 考点内容 集群安装:10% 使用网..
【K8S认证】2023年CKS考题-TLS安全配置(解析+答案)
m0_59598029的博客
03-21 912
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
KubernetesK8s、CKS 认证实战班(安全专家)2022版
05-25
总之,这个课程全面覆盖了Kubernetes安全的各个方面,旨在帮助学员掌握Kubernetes的安全配置和最佳实践,提升应对云原生环境安全挑战的能力,为获取CKS认证做好充分准备。通过深入学习和实践,不仅可以提升个人技术...
cks k8s真题带详细答案
06-08
答:可以通过修改Kubernetes API Server的配置文件来配置TLS证书进行双向认证。具体方法如下: 首先,生成CA证书和服务器证书: ``` $ openssl genrsa -out ca.key 2048 $ openssl req -new -key ca.key -out ca....
Rancher2.6 Monitoring Grafana 对接 LDAP
Rancher
07-14 1107
从 Rancher2.5 版本开始,监控架构进行了调整,允许用户自定义更多相关组件的配置。本文将介绍在 Rancher2.6 上,如何通过配置 Rancher Monitoring 来进行 Grafana 对接 LDAP 认证
k8s 容忍和污点
最新发布
batman
09-12 473
该值定义尽量避免将Pod调度到存在其不能容忍的Taint的节点上,但并不是强制的,也就是说,一个没有配置Toleration的Pod会优先部署至其他节点,没有其他可以调度的节点时,还是可以部署到effect为PreferNoSchedule的节点上的,NoSchedule没有这种机制。如果未被过滤的Taint中不存在effect值为NoExecute的Taint,但是存在effect值为PreferNoSchedule的Taint,则Kubernetes会尝试将Pod分配到该节点。
k8s Helm
巧克力人生的博客
09-08 1044
了解HelmHelm是kubernetes中查找、分享、构建应用的最佳方式。Helm是一个Kubernetes应用的包管理工具,用来管理chart(一种预先配置好的安装包资源),有点类似于Ubuntu 的APT和CentOS/Rocky中的YUM。因此,helm的出现解决了k8s应用管理能力缺失的问题。另外Helm也是dev和ops的桥梁,运维人员在使用Helm的时候,一方面不需要理解大量在Chart中的各种k8s元素,只需要配置少量的环境变量即可安装;
k8s API资源对象
巧克力人生的博客
09-06 723
如果想直接通过k8s节点的IP直接访问到service对应的资源,可以使用NodePort,Nodeport对应的端口范围:30000-32767。这种方式,需要配合公有云资源比如阿里云、亚马逊云来实现,这里需要一个公网IP作为入口,然后来负载均衡所有的Pod。该方式为默认类型,即,不定义type字段时(如上面service的示例),就是该类型。说明:Taint叫做污点,如果某一个节点上有污点,则不会被调度运行pod。使用yaml文件来配置、部署资源对象。作用:对外提供访问端口。
StreamPark集成k8s运行Flink
weixin_45249411的博客
09-08 522
1.然后在有docekr的机器上登录。2.设置下命名空间(左侧)
Kubernetes】K8s 的鉴权管理(二):基于属性 / 节点 / Webhook 的访问控制
书山有路,学海无涯。记录成长,追逐梦想
09-10 1239
基于属性的访问控制(Attribute-Based Access Control,ABAC)通过将属性组合在一起来定义用户可以访问的范围。其策略文件是一个具有多行 JSON 格式的文件,该文件中的每一行都是一个策略(即一个 JSON 对象)。
培训第九周(部署k8s基础环境)
weixin_70693880的博客
09-07 1508
添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128行)之前采⽤初始化安装⽅式,所有的系统组件均以容器的⽅式运⾏ 并且在 kube-system 命名空间内,此时可以查看 Pod(容器 组)状态。overlay # ⽤于⽀持Overlay⽹络⽂件系统的模块,它可以在现有的⽂件系统之上创建叠加层,以实现虚拟化、隔离和管理等功能。设置为0表示不产⽣panic,设置为1表示产⽣panic。
k8s HPA
巧克力人生的博客
09-07 628
HPA可以基于CPU利用率对replication controller、deployment和replicaset中的pod数量进行自动扩缩容(除了CPU利用率,也可以基于其他应用程序提供的度量指标custom metrics进行自动扩缩容)。将image: k8s.gcr.io/metrics-server/metrics-server:v0.6.2 修改为 image: aminglinux/metrics-server:v0.6.2。pod自动缩放不适用于无法缩放的对象,比如daemonsets。
93、k8s之hpa+helm
m0_74149099的博客
09-12 594
pod的数量进行扩缩容针对对控制器创建的podreplicas:静态:editHPA:基于cpu的利用率来实现pod的数量大的自动伸缩。yaml 文件------主流------>必须要有资源控制的字段才能生效。命令行 生成HPA的配置。yaml必要条件:前置必要条件:控制器创建,而且必须能设置副本数配置的必要条件:必须要声明pod的资源控制1、metrices-server hpa使用的依赖环境。k8s使用集群资源的集中查询器。收集资源使用数据,给hpa,scheduller使用。
cks 有题库吗 原题
07-14
该题库包含了各个学科的原题和模拟题,供用户参考和练习。这些题目涵盖了各个难度级别,从初级到高级,以满足不同用户的需求。用户可以根据自己的学习目标和水平,选择合适的题目进行练习和复习。题库中的题目不仅...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值