![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
2024 CKS
文章平均质量分 76
M·K·T
个人博客: https://ai-feier.github.io/
GitHub: https://github.com/Ai-feier
CKA: https://blink.csdn.net/details/1631600
CKS: https://blink.csdn.net/details/1632923?spm=1001.2014.3001.5501
展开
-
2024 CKS 题库 | 16、ImagePolicyWebhook容器镜像扫描
https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/#如何启用一个准入控制器。https://kubernetes.io/zh/docs/tasks/debug/debug-cluster/audit/#log-后端。在- command:下添加如下内容,注意空格要对齐(不建议放到最后,建议放置的位置详见下方截图)完成后,容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。通过尝试部署易受攻击的资源。原创 2024-03-14 00:15:00 · 1765 阅读 · 0 评论 -
2024 CKS 题库 | 15、TLS安全配置
修改完成后,需要等待3分钟,等集群应用策略后,再检查一下所有pod,特别是etcd和kube-apiserver两个pod,确保模拟环境是正常的。添加或修改相关内容,并保存(先检查一下,如果考试环境里已经给你这两条了,则你只需要修改即可)等待3分钟,等集群应用策略后,再检查kube-apiserver,确保Running。修改 kube-apiserver, 养成 修改之前备份文件的好习惯。通过TLS加强kube-apiserver安全配置,要求。添加或修改相关内容,并保存。原创 2024-03-13 00:15:00 · 635 阅读 · 0 评论 -
2024 CKS 题库 | 14、启用API server认证
重新配置 cluster 的 Kubernetes APl 服务器,以确保只允许经过身份验证和授权的 REST 请求。您可以使用位于 cluster 的 master 节点上,cluster 原本的 kubectl 配置文件。你不必更改它,但请注意,一旦完成 cluster 的安全加固, kubectl 的配置将无法工作。临时配置允许未经身份验证和未经授权的访问,授予匿名用户 cluster-admin 的访问权限.,以确保经过身份验证的授权的请求仍然被允许。远程到 master 并切换到 root。原创 2024-03-12 10:00:57 · 620 阅读 · 0 评论 -
2024 CKS 题库 | 13、Container安全上下文
请注意,考试和模拟环境中,先检查spec下面(非containers下面)是否有securityContext: {},如果有则可以直接修改即可。否则重复添加是不生效的。在template字段下面的spec里面,添加或修改如下红字内容,并保存(考试中也是在Deployment下有两个image的)Container Security Context应在特定namespace中修改Deployment。修改 deployment secdep。命名空间里的 Deployment。原创 2024-02-27 00:15:00 · 719 阅读 · 0 评论 -
2024 CKS 题库 | 12、Sysdig & falco
注意要写container name,而不是pod name,只是模拟环境里,pod name和container name一样,都是tomcat123)注意,考试时,你要通过上面命令grep pod name,然后你要记住的是container name。请注意,考试时,考题里已表明sysdig在工作节点上,所以你需要ssh到开头写的工作节点上。提示:如果考试时执行sysdig报错“Unable to load the driver”,则执行下面一条命令:(模拟环境里不需要执行)原创 2024-02-25 00:15:00 · 1362 阅读 · 0 评论 -
2024 CKS 题库 | 11、AppArmor
APPArmor 已在 cluster 的工作节点node02上被启用。请注意,考试时,考题里已表明APPArmor在工作节点上,所以你需要ssh到开头写的工作节点上。在 cluster 的工作节点node02上,实施位于。的现有清单文件以应用 AppArmor 配置文件。在模拟环境,你需要ssh到node02这个工作节点。切换到 apparmor 目录, 并检查配置文件。最后,应用清单文件并创建其中指定的 Pod。连接到 node02 并切换到 root。执行 并 检查 apparmor策略模块。原创 2024-02-24 00:15:00 · 551 阅读 · 0 评论 -
2024 CKS 题库 | 10、Trivy 扫描镜像安全漏洞
https://kubernetes.io/zh-cn/docs/reference/kubectl/cheatsheet/#格式化输出。可以看到除了amazonlinux:2 其他镜像都存在高危漏洞, 对应之前的pod和images列表 删除包含漏洞的image即可。你必须切换到 cluster 的 master 节点才能使用 Trivy。注意:Trivy 仅安装在 cluster 的 master 节点上,严重性漏洞的镜像,并删除使用这些镜像的 Pod。中 具有严重漏洞的镜像 的 Pod。原创 2024-02-23 15:04:35 · 674 阅读 · 0 评论 -
2024 CKS 题库 | 9、网络策略 NetworkPolicy
注意:我这里将pod products-service的标签打成了environment: testing,下面会有解释,不要和题目里要求的“位于任何namespace,带有标签environment: testing的Pod”这句话里的标签混淆了。模拟环境已提前打好标签了,所以你只需要检查标签即可。但为了防止考试时,没有给你打标签,所以还是需要你将下面打标签的命令记住。的 NetworkPolicy 来限制对在 namespace。如果 Pod 或者 Namespace 没有标签,则需要打上标签。原创 2024-02-18 10:46:52 · 699 阅读 · 0 评论 -
2024 CKS 题库 | 8、沙箱运行容器 gVisor
https://kubernetes.io/zh-cn/docs/concepts/containers/runtime-class/#2-创建相应的-runtimeclass-资源。考试时,3个Deployment下有3个Pod,修改3个deployment即可。将命名空间为server下的Pod引用RuntimeClass。的现有运行时处理程序,创建一个名为。已准备好支持额外的运行时处理程序。的 RuntimeClass。的默认运行时处理程序是。更新 namespace。作为 CRI 运行时。原创 2024-02-17 12:32:55 · 554 阅读 · 0 评论 -
2024 CKS 题库 | 7、Dockerfile检测
分析和编辑给定的Dockerfile /cks/docker/Dockerfile(基于ubuntu:16.04 镜像),只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。注意:如果您需要非特权用户来执行任何项目,请使用用户ID 65535 的用户 nobody。分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。并修复在文件中拥有突出的安全/最佳实践问题的两个字段。只修改即可,不需要创建。原创 2024-02-16 09:48:17 · 599 阅读 · 0 评论 -
2024 CKS 题库 | 6、创建 Secret
KaTeX parse error: Undefined control sequence: \, at position 2: ,\̲,̲*,= 和!创建名为 db2-test 的 secret 使用题目要求的用户名和密码作为键值。注意:不要在以下步骤中使用/修改先前创建的文件,如果需要,可以创建新的临时文件。最后,创建一个新的 Pod ,它可以通过卷访问 secret。根据题目要求,参考官网,创建Pod使用该secret。注意:你必须创建以上两个文件,他们还不存在。的现有 secret 的内容。原创 2024-02-16 01:28:20 · 1103 阅读 · 0 评论 -
2024 CKS 题库 | 5、日志审计 log audit
日志审计这一题需要自己调整的内容还是挺多的,因此要非常仔细,建议修改前备份一下原始的环境,要不然修改错了就会导致集群崩溃。添加以下参数:注意空格要对齐,不建议放到最后,建议按照下图的位置放这四条信息。在cluster中启用审计日志。注意:基本策略位于 cluster 的 master 节点上。定义审计策略yaml文件位置,通过hostpath挂载。不要删除原有规则, 可以在下面继续追加题目要求的规则。它仅指定不记录的内容。此外,添加一个全方位的规则以在。注意:不要忘记应用修改后的策略。原创 2024-02-15 14:42:10 · 757 阅读 · 0 评论 -
2024 CKS 题库 | 4、RBAC - RoleBinding
绑定到 Pod 的 ServiceAccount 的 Role 授予过度宽松的权限。完成以下项目以减少权限集。原创 2024-02-12 00:01:53 · 577 阅读 · 0 评论 -
2024 CKS 题库 | 3、默认网络策略
https://kubernetes.io/zh-cn/docs/concepts/services-networking/network-policies/#默认拒绝所有入口和所有出站流量。一个默认拒绝(default-deny)的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。将新创建的默认拒绝 NetworkPolicy 应用在 namespace。此新的 NetworkPolicy 必须拒绝 namespace。找到一个模板清单文件。原创 2024-02-08 12:11:53 · 634 阅读 · 0 评论 -
2024 CKS 题库 | 2、Pod指定ServiceAccount
https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/configure-service-account/#使用默认的服务账户访问-api-服务器。中指定的Pod由于ServiceAccount指定错误而无法调度。过滤已经在用的 SA。原创 2024-02-03 17:59:37 · 689 阅读 · 0 评论 -
2024 CKS 题库 | 1、kube-bench 修复不安全项
cat /etc/systemd/system/kubelet.service.d/10-kubeadm.conf中你也会看到Environment=“KUBELET_CONFIG_ARGS=–config=*~~1.2.19 Ensure that the --insecure-port argument is set to 0 FAIL ~~(1.25中这项题目没给出,不需要再修改了)针对 kubeadm创建的 cluster运行CIS基准测试工具时,发现了多个必须立即解决的问题。原创 2024-02-01 00:25:28 · 1627 阅读 · 0 评论