【CKS】考试之TLS通信配置

已于 2023-11-23 12:45:12 修改
阅读量330 收藏
点赞数 3
分类专栏: CKS 文章标签: kubernetes devops 运维 docker
于 2023-09-06 09:12:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_33076015/article/details/132699020
版权

5. 【CKS】考试之TLS通信配置

5.1 题目要求

修改 API server 和 etcd 之间通信的 TLS 配置。
1. 对于 API server,删除对除 TLS 1.3 及更高版本之外的所有 TLS 版本的支持。此外,删除对除TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 之外的所有 cipher suites 的支持。
2. 对于 etcd,删除对除 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 之外的所有 cipher suites 的支持

5.2 官网位置

  • 官网搜索: kube-apiserver 查找到:–tls-min-version(支持的最低TLS版本)、–tls-cipher-suites (服务器的密码套件的列表,以逗号分隔)
  • 搜索:https://etcd.io/docs/v3.4/op-guide/security/

5.3 操作步骤

切记:切换context

5.3.1 apiserver配置更改

登录到 master 节点之后

vim /etc/kubernetes/manifests/kube-apiserver.yaml

apiVersion: v1
kind: Pod
metadata:
  annotations:
    kubeadm.kubernetes.io/kube-apiserver.advertise-address.endpoint: 172.30.60.35:6443
  creationTimestamp: null
  labels:
    component: kube-apiserver
    tier: control-plane
  name: kube-apiserver
  namespace: kube-system
spec:
  containers:
  - command:
    - kube-apiserver
    - --tls-min-version=VersionTLS13  # 添加部分
    - --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 #添加部分
...
5.3.2 ETCD配置修改
vim /etc/kubernetes/manifests/etcd.yaml

apiVersion: v1
kind: Pod
metadata:
  annotations:
    kubeadm.kubernetes.io/etcd.advertise-client-urls: https://172.30.60.35:2379
  creationTimestamp: null
  labels:
    component: etcd
    tier: control-plane
  name: etcd
  namespace: kube-system
spec:
  containers:
  - command:
    - etcd
    - --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 #添加部分
5.3.3 修改后重启
systemctl restart kubelet
辰蒙关照
关注
专栏目录
CKS考试过程遇到问题,重新分配考试机会及重新预约过程与考试补考设置
strengthen8的博客
06-20 1334
1.发送邮件给考试心与开源国请发送电子邮件至examsupport@psionline.com和enquiry@linuxfoundation.cn 进行重新安排。2.邮件回复信息 已为您重置了考试资格,请登录客户端查看并预约。下次预约之前,建议您直接与PSI安排一个测试,测试可通过以下链接进行:https://psichat.psiexams.com/system/templates/chat/psi-hd/chat.html?subActivity=Chat&entryPointId=1011&te
CKS考试2022年最新经验分享
strengthen8的博客
06-20 1863
CKS 认证是云原生计算基金会(CNCF)最新推出的kubernetes 安全专家认证(Certified Kubernetes Security Specialist)。 报考CKS的考生必须持有有效的CKA认证。这里主要和大家分享一下考试报名优惠、如何备考和考试注意事项报名地址:CKS (Certified Kubernetes Security Specialist)报名成功之后,可在12个月之内进行考试考试不过有一次补考机会。注意:需要有美元币种信用卡(Visa之类),如果没有可以叫亲朋好友帮付款
k8s学习-CKS真题-TLS安全配置
关注网络安全、云原生安全
05-17 1269
如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如。
2024 CKS 题库 | 15、TLS安全配置
aifeier的博客
03-13 776
修改完成后,需要等待3分钟,等集群应用策略后,再检查一下所有pod,特别是etcd和kube-apiserver两个pod,确保模拟环境是正常的。添加或修改相关内容,并保存(先检查一下,如果考试环境里已经给你这两条了,则你只需要修改即可)等待3分钟,等集群应用策略后,再检查kube-apiserver,确保Running。修改 kube-apiserver, 养成 修改之前备份文件的好习惯。通过TLS加强kube-apiserver安全配置,要求。添加或修改相关内容,并保存。
【K8S认证】2023年CKS考题-TLS安全配置(解析+答案)
m0_59598029的博客
03-21 921
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
CKS考试的真题,以及对应的详细答案
weixin_44320761的博客
06-08 1425
【代码】CKS考试的真题,以及对应的详细答案。
CKS认证-TLS通信配置原题
m0_46913617的博客
08-05 218
本文主要是介绍CKS认证考试相关的题目和注意事项
CKS备考15-TLS安全配置
weixin_36901790的博客
07-30 41
Context 一个现有的 Kubernetes 集群,英通过更新其一部分组件的 TLS 配置来进行加固。 Task 修改 API 服务器和 etcd 之间通信TLS 配置。 对于 API 服务器,删除对除 TLS 1.3 及更高版本之外的所有 TLS 版本的支持。 此外,删除对象 TLS_AES_128_GCM_S...
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
《Linux基金会 Kubernetes/K8s CKS考试实验手册》是针对LFS260课程的一份重要参考资料,旨在帮助考生深入理解和掌握Kubernetes的安全基础。该手册由Linux基金会于2021年1月7日发布,并对版权有严格的保护规定,仅供...
Kubernetes CKS 考试题库(带解答和解析)
08-20
Kubernetes CKS 考试题库
K8S之Prometheus 部署(二十)
赵玉的专栏
11-10 1334
部署方式:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/prometheus源码目录:kubernetes/cluster/addons/prometheus服务发现:https://prometheus.io/docs/prometheus/latest/configuration/configuration/#kubernetes_sd_config。
k8clone二进制工具迁移k8s的无状态应用
nangonghen的博客
11-12 467
k8clone备份恢复k8s集群的无状态应用
【k8s】k8s集群拉取需要登录的私有镜像库
binqian的专栏
11-14 275
在k8s ,如果需要拉取需要登录的私有仓库镜像,比如:harbor,需要创建凭证。
K8S 查看pod节点的磁盘和内存使用情况
qq_42516605的博客
11-14 308
kubectl exec -it pod名称 -n 命名空间 – df -h。查询某个节点的总内存,
关于k8s镜像的服务端口被拒绝的问题
politeboy的博客
11-14 310
Failed to connect to fd00::52f4 port 80: Connection refused
K8S资源限制之resources
最新发布
qq_73797346的博客
11-15 477
resources用于定义容器的计算资源请求和限制。这些资源包括 CPU 和内存。即保证pod有足够的资源使用,但又不会超出限制。如果没有配置资源限制,pod就会使用宿主机的全部资源。配置了显示的话,pod资源请求超过限制会被K8S杀死或重新调度关于请求和限制的详细解释请求是容器启动时需要的最低资源量,K8S 会根据请求来调度容器到合适的节点。如果节点上没有足够的资源,容器就无法调度到该节点。那么pod就会处于pending状态。请求用于确保容器始终有足够的资源可以使用。
离线 快速搭建 docker docker-compose k8s 环境
u011728347的专栏
11-11 509
离线环境下,快速搭建 docker docker compose k8s 环境
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值