M·K·T-CSDN博客

原创 2024 CKS 题库 | 16、ImagePolicyWebhook容器镜像扫描

https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/#如何启用一个准入控制器。https://kubernetes.io/zh/docs/tasks/debug/debug-cluster/audit/#log-后端。在- command:下添加如下内容，注意空格要对齐（不建议放到最后，建议放置的位置详见下方截图）完成后，容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。通过尝试部署易受攻击的资源。

2024-03-14 00:15:00 1730

原创 2024 CKS 题库 | 15、TLS安全配置

修改完成后，需要等待3分钟，等集群应用策略后，再检查一下所有pod，特别是etcd和kube-apiserver两个pod，确保模拟环境是正常的。添加或修改相关内容，并保存(先检查一下，如果考试环境里已经给你这两条了，则你只需要修改即可)等待3分钟，等集群应用策略后，再检查kube-apiserver，确保Running。修改 kube-apiserver, 养成修改之前备份文件的好习惯。通过TLS加强kube-apiserver安全配置，要求。添加或修改相关内容，并保存。

2024-03-13 00:15:00 613

原创 2024 CKS 题库 | 14、启用API server认证

重新配置 cluster 的 Kubernetes APl 服务器，以确保只允许经过身份验证和授权的 REST 请求。您可以使用位于 cluster 的 master 节点上，cluster 原本的 kubectl 配置文件。你不必更改它，但请注意，一旦完成 cluster 的安全加固， kubectl 的配置将无法工作。临时配置允许未经身份验证和未经授权的访问，授予匿名用户 cluster-admin 的访问权限.，以确保经过身份验证的授权的请求仍然被允许。远程到 master 并切换到 root。

2024-03-12 10:00:57 591

原创 2024 CKS 题库 | 13、Container安全上下文

请注意，考试和模拟环境中，先检查spec下面（非containers下面）是否有securityContext: {}，如果有则可以直接修改即可。否则重复添加是不生效的。在template字段下面的spec里面，添加或修改如下红字内容，并保存（考试中也是在Deployment下有两个image的）Container Security Context应在特定namespace中修改Deployment。修改 deployment secdep。命名空间里的 Deployment。

2024-02-27 00:15:00 689

原创 AWK Programing Language | 史上最全 awk 一本通

AWK 语言是一种数据驱动的脚本语言，由一系列针对文本数据流的操作组成，可以直接在文件上运行，也可以作为管道的一部分使用，目的是提取或转换文本，例如生成格式化的报告。

2024-02-26 11:40:21 1372

原创 2024 CKS 题库 | 12、Sysdig & falco

注意要写container name，而不是pod name，只是模拟环境里，pod name和container name一样，都是tomcat123）注意，考试时，你要通过上面命令grep pod name，然后你要记住的是container name。请注意，考试时，考题里已表明sysdig在工作节点上，所以你需要ssh到开头写的工作节点上。提示：如果考试时执行sysdig报错“Unable to load the driver”，则执行下面一条命令：（模拟环境里不需要执行）

2024-02-25 00:15:00 1321

原创 2024 CKS 题库 | 11、AppArmor

APPArmor 已在 cluster 的工作节点node02上被启用。请注意，考试时，考题里已表明APPArmor在工作节点上，所以你需要ssh到开头写的工作节点上。在 cluster 的工作节点node02上，实施位于。的现有清单文件以应用 AppArmor 配置文件。在模拟环境，你需要ssh到node02这个工作节点。切换到 apparmor 目录, 并检查配置文件。最后，应用清单文件并创建其中指定的 Pod。连接到 node02 并切换到 root。执行并检查 apparmor策略模块。

2024-02-24 00:15:00 539

原创 2024 CKS 题库 | 10、Trivy 扫描镜像安全漏洞

https://kubernetes.io/zh-cn/docs/reference/kubectl/cheatsheet/#格式化输出。可以看到除了amazonlinux:2 其他镜像都存在高危漏洞, 对应之前的pod和images列表删除包含漏洞的image即可。你必须切换到 cluster 的 master 节点才能使用 Trivy。注意：Trivy 仅安装在 cluster 的 master 节点上，严重性漏洞的镜像，并删除使用这些镜像的 Pod。中具有严重漏洞的镜像的 Pod。

2024-02-23 15:04:35 663

原创 2024 CKS 题库 | 9、网络策略 NetworkPolicy

注意：我这里将pod products-service的标签打成了environment: testing，下面会有解释，不要和题目里要求的“位于任何namespace，带有标签environment: testing的Pod”这句话里的标签混淆了。模拟环境已提前打好标签了，所以你只需要检查标签即可。但为了防止考试时，没有给你打标签，所以还是需要你将下面打标签的命令记住。的 NetworkPolicy 来限制对在 namespace。如果 Pod 或者 Namespace 没有标签，则需要打上标签。

2024-02-18 10:46:52 679

原创 2024 CKS 题库 | 8、沙箱运行容器 gVisor

https://kubernetes.io/zh-cn/docs/concepts/containers/runtime-class/#2-创建相应的-runtimeclass-资源。考试时，3个Deployment下有3个Pod，修改3个deployment即可。将命名空间为server下的Pod引用RuntimeClass。的现有运行时处理程序，创建一个名为。已准备好支持额外的运行时处理程序。的 RuntimeClass。的默认运行时处理程序是。更新 namespace。作为 CRI 运行时。

2024-02-17 12:32:55 533

原创 2024 CKS 题库 | 7、Dockerfile检测

分析和编辑给定的Dockerfile /cks/docker/Dockerfile（基于ubuntu:16.04 镜像），只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。注意：如果您需要非特权用户来执行任何项目，请使用用户ID 65535 的用户 nobody。分析和编辑给定的清单文件 /cks/docker/deployment.yaml ，并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。并修复在文件中拥有突出的安全/最佳实践问题的两个字段。只修改即可，不需要创建。

2024-02-16 09:48:17 573

原创 2024 CKS 题库 | 6、创建 Secret

KaTeX parse error: Undefined control sequence: \， at position 2: ，\̲，̲*，= 和!创建名为 db2-test 的 secret 使用题目要求的用户名和密码作为键值。注意：不要在以下步骤中使用/修改先前创建的文件，如果需要，可以创建新的临时文件。最后，创建一个新的 Pod ，它可以通过卷访问 secret。根据题目要求，参考官网，创建Pod使用该secret。注意：你必须创建以上两个文件，他们还不存在。的现有 secret 的内容。

2024-02-16 01:28:20 1085

原创 2024 CKS 题库 | 5、日志审计 log audit

日志审计这一题需要自己调整的内容还是挺多的，因此要非常仔细，建议修改前备份一下原始的环境，要不然修改错了就会导致集群崩溃。添加以下参数：注意空格要对齐，不建议放到最后，建议按照下图的位置放这四条信息。在cluster中启用审计日志。注意：基本策略位于 cluster 的 master 节点上。定义审计策略yaml文件位置，通过hostpath挂载。不要删除原有规则, 可以在下面继续追加题目要求的规则。它仅指定不记录的内容。此外，添加一个全方位的规则以在。注意：不要忘记应用修改后的策略。

2024-02-15 14:42:10 728

原创步步深入 k8s 使用 pv pvc sc 在 nfs 基础上共享存储

持久化卷（Persistent Volume, PV）允许用户将外部存储映射到集群，而持久化卷申请（Persistent Volume Claim, PVC）则类似于许可证，使有授权的应用（Pod）可以使用PV。概括地说，PV代表的是Kubernetes中的存储；PVC就像许可证，赋予Pod访问PV的权限；sc则使分配过程是动态的。

2024-02-14 15:01:22 2575 1

原创 2024 CKS 题库 | 4、RBAC - RoleBinding

绑定到 Pod 的 ServiceAccount 的 Role 授予过度宽松的权限。完成以下项目以减少权限集。

2024-02-12 00:01:53 559

原创快速搭建 nfs 环境, 解决 nfs 搭建时的疑难杂症

在NFS的应用中，本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件一样。在挂载的目录写入数据，则能看到主节点也能同步写入。这时你可在两个节点看到 baidu.html。简介: NFS（Network File System）nfs服务器端，只在集群中某一台安装即可。在服务器端 ``/etc/exports。操作系统: Ubuntu 20.04。在客户端节点安装 nfs 客户端。

2024-02-11 22:55:51 642

原创 Postgresql 的编译安装与包管理安装, 全发行版 Linux 通用

PostgreSQL 是一个功能强大的开源对象关系型数据库系统，经过 35 年的积极开发，在可靠性、功能健壮性和性能方面赢得了良好的声誉。

2024-02-10 12:17:19 1537

原创 2024 CKS 题库 | 3、默认网络策略

https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/#默认拒绝所有入口和所有出站流量。一个默认拒绝（default-deny）的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。将新创建的默认拒绝 NetworkPolicy 应用在 namespace。此新的 NetworkPolicy 必须拒绝 namespace。找到一个模板清单文件。

2024-02-08 12:11:53 617

原创高可用 k8s 1.29 一键安装脚本, 丝滑至极

高可用 k8s 1.29 安装, 一键安装脚本, 以及基于 keepalived 与 nginx 实现高可用 apiserver 用于高可用 k8s 集群

2024-02-07 21:37:49 3298

原创如何让虚拟机拥有愉快网络环境,vmware,ubuntu,centos

相信计算机专业的同学在学习 linux 时, 一定会被无法获取网络资源而困惑, 本文带你打通 vmware 虚拟机与主机代理的壁垒我的 Vmware 网关: 192.168.254.2注: Vmware 的网关配置有巨坑, 下文会带你破译。

2024-02-05 00:15:00 1177

原创一文全面总结 netstat, nc, ss, 及命令区分(宝藏收藏级)

netstat 命令主要功能用于各种网络相关信息，例显示网络连接状态、路由表信息、接口状态、NAT、多播成员等信息。 ss（Socket Statistics）命令主要功能是显示套接字信息。与netstat命令的使用十分的相似，都是用于显示[套接字], 而ss命令的优势在于它能够显示更多TCP和连接状态的详情信息，并且速度更快更高效。 nc 又名 ncat

2024-02-04 00:15:00 1840

原创 2024 CKS 题库 | 2、Pod指定ServiceAccount

https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-service-account/#使用默认的服务账户访问-api-服务器。中指定的Pod由于ServiceAccount指定错误而无法调度。过滤已经在用的 SA。

2024-02-03 17:59:37 657

原创 git 网络问题, git代理设置,git clone 速度限制, 以及 vmware环境网络问题

相信计算机专业的同学在学习 linux 时, 一定会被无法获取网络资源而困惑, 本文带你打通 git clone 的速度限制。

2024-02-02 08:41:33 905

原创 2024 CKS 题库 | 1、kube-bench 修复不安全项

cat /etc/systemd/system/kubelet.service.d/10-kubeadm.conf中你也会看到Environment=“KUBELET_CONFIG_ARGS=–config=*~~1.2.19 Ensure that the --insecure-port argument is set to 0 FAIL ~~（1.25中这项题目没给出，不需要再修改了）针对 kubeadm创建的 cluster运行CIS基准测试工具时，发现了多个必须立即解决的问题。

2024-02-01 00:25:28 1580

原创 k8s 1.29 一键安装脚本, 丝滑致极

高可用 k8s 1.29 安装, 一键安装脚本, 以及基于 keepalived 与 nginx 实现高可用 apiserver 用于高可用 k8s 集群

2024-01-31 12:26:50 1955

原创 2024 CKA 题库 | 17、节点维护

cordon 和 drain 命令的使用。没必要参考网址，使用-h 帮助更方便。

2024-01-30 13:55:40 545

原创 2024 CKA 题库 | 16、排查集群中故障节点

2024 CKA 题库 | 16、排查集群中故障节点

2024-01-29 09:49:25 636

原创 Redis 的二进制安装与包管理安装, 全发行版 Linux 通用

Redis（全称为Remote Dictionary Server）是一个开源的高性能键值对存储系统，具有快速、灵活和可扩展的特性。它是一个基于内存的数据结构存储系统，可以用作数据库、缓存和消息代理。

2024-01-28 10:00:00 1469

原创一文详解 Harbor 安装 | 无坑版

Harbor 是一个开源的企业级Docker 镜像仓库，它提供了一套可以在云计算和容器化环境中使用的管理工具，支持统一管理多种镜像仓库，可以方便地进行镜像的管理、存储、分发和安全验证。

2024-01-27 09:40:04 1304

原创 2024 CKA 题库 | 15、备份还原 etcd

依次点击 Tasks → Administer a Cluster → Operating etcd clusters for Kubernetes （看不懂英文的，可右上角翻译成中文）记不清的，可以使用 etcdctl -h 来帮助，更方便。没必要参考网址，建议多练习，背过命令就行。如果非要参考，可以按照下面方法。etcd 的备份和还原命令。

2024-01-26 14:22:40 841

原创使用 docker 搭建搭建私有仓库 ~ Registry

【摘要】完成镜像制作之后，需要通过渠道将镜像分发出去公有仓库：除了Docker官方的DockerHub之外，国内也有很多的公有镜像仓库可以用于镜像分发：docker中国官方库、阿里云镜像仓库等等。

2024-01-25 10:36:26 1302

原创全平台通用使用 kind 快速搭建 k8s 开发环境，坑已踩（无坑版）

`Kind`（Kubernetes in Docker）是一个 `Kubernetes` 孵化项目，`Kind` 是一套开箱即用的 `Kubernetes` 环境搭建方案。顾名思义，就是将 `Kubernetes` 所需要的所有组件，全部部署在一个 `Docker` 容器中，可以很方便的搭建 `Kubernetes` 集群。`Kind` 已经广泛的应用于 `Kubernetes` 上游及相关项目的 `CI` 环境中，官方文档中也把 `Kind` 作为一种本地集群搭建的工具推荐给大家。

2024-01-24 10:13:48 2757

原创 2024 CKA 题库 | 14、升级集群

依次点击 Tasks → Administer a Cluster → Administration with kubeadm → Upgrading kubeadm clusters （看不懂英文的，可右上角翻译成中文）记不清的，可以使用 kubectl -h 来帮助。没必要参考网址，建议多练习，背过命令就行。如何离线主机，并升级控制面板和升级节点。如果非要参考，可以按照下面方法。

2024-01-23 10:28:54 682

原创 2024 CKA 题库 | 13、使用 sidecar 代理容器日志

添加一个名为 sidecar 的边车容器(使用 busybox 镜像)，加到已有的 pod 11-factor-app 中。确保 sidecar 容器能够输出 /var/log/11-factor-app.log 的信息。使用 volume 挂载 /var/log 目录，确保 sidecar 能访问 11-factor-app.log 文件。pod 两个容器共享存储卷。（需要复制网页内容）

2024-01-22 11:41:55 727

原创 2024 CKA 题库 | 12、查看 pod 日志

kubectl logs 命令。

2024-01-21 11:51:48 547

原创 2024 CKA 题库 | 9、创建多容器的 pod

依次点击 Concepts → Workloads → Pods （看不懂英文的，可右上角翻译成中文）没指定 namespace 就是 default 不用填。

2024-01-20 10:00:00 1104

原创 2024 CKA 题库 | 11、创建 PVC

依次点击 Tasks → Configure Pods and Containers → Configure a Pod to Use a PersistentVolume for Storage （看不懂英文的，可右上角翻译成中文）pvc 的创建 class 属性的使用，–record 记录变更。

2024-01-19 10:00:00 593

原创真实世界的案例：使用 ConfigMap 来配置 Redis

configmap 使用入门级案例：使用 ConfigMap 来配置 Redis

2024-01-18 09:53:34 1349

原创 k8s configmap 详解, 从理解 k8s volumes 挂载方式, 带你解决挂载 configmap 的种种疑难杂症, 以及 k8s 中如何创建 configmap

ConfigMap 顾名思义，是用于保存配置数据的键值对，可以用来保存单个属性，也可以保存配置文件。Secret 可以为 Pod 提供密码、Token、私钥等敏感数据；对于一些非敏感数据，比如应用的配置信息，则可以使用 ConfigMap。

2024-01-17 10:03:28 4130

原创 2024 CKA 题库 | 10、创建 PV

依次点击 Tasks → Configure Pods and Containers → Configure a Pod to Use a PersistentVolume for Storage （看不懂英文的，可右上角翻译成中文）hostPath 类型的 pv。

2024-01-16 10:00:00 546

kubernetes 1.29 一键安装脚本之资源包

资源列表: Containerd: - Container Runtime：Containerd 1.7.11 - CRI: runc 1.10 - CNI: cni-plugin 1.4 calico 3.27: - tigera-operator.yaml - custom-resources.yaml

2024-01-24

最佳 HELM 教程: k8s集群编排工具helm3实战教程资料

Helm 是 Deis 开发的一个用于 Kubernetes 应用的包管理工具，主要用来管理 Charts。有点类似于 Ubuntu 中的 APT 或 CentOS 中的 YUM。Helm Chart 是用来封装 Kubernetes 原生应用程序的一系列 YAML 文件。可以在你部署应用的时候自定义应用程序的一些 Metadata，以便于应用程序的分发。对于应用发布者而言，可以通过 Helm 打包应用、管理应用依赖关系、管理应用版本并发布应用到软件仓库。对于使用者而言，使用 Helm 后不用需要编写复杂的应用部署文件，可以以简单的方式在 Kubernetes 上查找、安装、升级、回滚、卸载应用程序。

2024-01-17

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人