【K8S认证】2023年CKS考题-Container安全(解析+答案)

最新推荐文章于 2024-03-13 00:15:00 发布
最新推荐文章于 2024-03-13 00:15:00 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: 【K8S认证】2023年CKS考题及答案 K8S kubernetes 文章标签: kubernetes 云原生 1024程序员节 cks认证 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014481728/article/details/134059690
版权

题目

k8s集群Container安全

Context:

Container Security Context应在特定namespace中修改Deployment。

Task:

按照如下要求修改 sec-ns 命名空间里的 Deployment secdep

  • 用ID为 30000 的用户启动容器(设置用户ID为: 30000)
  • 不允许进程获得超出其父进程的特权(禁止allowPrivilegeEscalation)
  • 以只读方式加载容器的根文件系统(对根文件的只读权限)

参考

为 Pod 或容器配置安全上下文 | Kubernetes

解答

 1、切换集群

kubectl config use-context KSMV00102

2、修改文件 

修改 deployment secdep

kubectl -n sec-ns edit deployment secdep

在template字段下面的spec里面,添加或修改如下红字内容,并保存(考试中也是在Deployment下有两个image的)
注意,考试和模拟环境中,先检查spec下面(非containers下面)是否有securityContext: {},如果有则可以直接修改即可。否则重复添加是不生效的。

      securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true

西攻城狮北
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CKS 2024四月最新题库
pooopun的博客
04-28 458
CKS认证考试解题步骤。2024 4月最新版
Kubernetes/K8S CKS安全专家认证实践(2023新课,基于k8s 1.26版本)
05-29
分享一套cks课程——Kubernetes/K8S CKS安全专家认证实践(2023新课,基于k8s 1.26版本)
2024 CKS 题库 | 15、TLS安全配置
最新发布
aifeier的博客
03-13 558
修改完成后,需要等待3分钟,等集群应用策略后,再检查一下所有pod,特别是etcd和kube-apiserver两个pod,确保模拟环境是正常的。添加或修改相关内容,并保存(先检查一下,如果考试环境里已经给你这两条了,则你只需要修改即可)等待3分钟,等集群应用策略后,再检查kube-apiserver,确保Running。修改 kube-apiserver, 养成 修改之前备份文件的好习惯。通过TLS加强kube-apiserver安全配置,要求。添加或修改相关内容,并保存。
K8S认证2023CKS考题-沙箱运行容器gVisor(解析+答案
u014481728的博客
10-26 1561
K8S认证2023CKS考题-沙箱运行容器gVisor(解析+答案
K8S认证2023CKS考题-Sysdig&Falco(解析+答案
u014481728的博客
10-27 2270
K8S认证2023CKS考题-Sysdig&Falco(解析+答案
CKS真题分析-2023
李凯的博客
10-31 2881
CKS 2023CKS CKS真题解析
K8S认证2023CKS考题-Dockerfile和Deployment修复(解析+答案
u014481728的博客
10-26 2215
K8S认证2023CKS考题-Dockerfile和Deployment修复(解析+答案
CKS认证题库
托瓦斯克一
11-28 2897
202211月最新CKS认证
kubernets CKS内容及题库
cloud_engineer的博客
07-10 6329
kubernets CKS认证考题教程,包含知识点学习及考题分析,帮助广大网友通过CKS考试
cks 试题
爱死亡机器人
01-16 5886
文章目录1.镜像扫描ImagePolicyWebhook2. sysdig检测pod3. clusterroole4. AppArmor5. PodSecurityPolicy6. 网络策略7. dockerfile检测及yaml文件问题8. pod安全9. 创建SA10. trivy检测镜像安全11. 创建secret12. kube-benct13. gVsior14. 审计15. 默认网络策略 考试信息 2小时 15-20题目 预约时间同CKA,32小时出成绩 满分不到100分,87分或93分,但6
K8S认证2023CKS考题-TLS安全配置(解析+答案
u014481728的博客
10-27 3080
K8S认证2023CKS考题-TLS安全配置(解析+答案
K8S认证2023CKS考题-网络策略NetworkPolicy(解析+答案
u014481728的博客
10-27 2131
K8S认证2023CKS考题-网络策略NetworkPolicy(解析+答案
KubernetesK8S CKS安全专家认证实践(2023新课,基于k8s 1.26版本)
10-26
视频课程分享——KubernetesK8S CKS安全专家认证实践,2023新课
K8S认证2023CKS考题-启用API server认证解析+答案
u014481728的博客
10-28 1860
K8S认证2023CKS考题-启用API Server(解析+答案
CKS1.23 考试题整理(16)-AppArmor
april_4的博客
04-28 1378
题目 在cluster的工作节点上,实施位于/etc/apparmor.d/nginx_apparmor的现有APPArmor配置文件。 编辑位于/home/candidate/KSSH00401/nginx-deploy.yaml的现有清单文件以应用AppArmor配置文件。 最后,应用清单文件并创建其中指定的Pod。 参考 使用 AppArmor 限制容器对资源的访问 | Kubernetes 步骤 1 检查下配置文件 vi /etc/apparmor.d/nginx_ap...
CKS1.23 考试题整理(1)-secret
april_4的博客
04-06 1654
创建Secret 题目 1 在namespaceistio-system中获取名为db1-test的现有secret的内容 将username字段存储在名为/cks/sec/user.txt的文件中,并将password字段存储在名为/cks/sec/pass.txt的文件中。 注意:你必须创建以上两个文件,他们还不存在。 注意:不要在以下步骤中使用/修改先前创建的文件,如果需要,可以创建新的临时文件。 2 在istio-systemnamespace中创建一个名为db2-test的新s...
cks k8s真题带详细答案
06-08
以下是一些可能出现在CKS考试中的真题,以及对应的详细答案: 1. 如何禁用Kubernetes API Server的匿名访问? 答:可以通过修改Kubernetes API Server的配置文件来禁用匿名访问。具体方法如下: 在Kubernetes API Server的配置文件中添加以下选项: ``` - --anonymous-auth=false ``` 然后重新启动Kubernetes API Server即可。 2. 如何配置Kubernetes API Server使用TLS证书进行双向认证? 答:可以通过修改Kubernetes API Server的配置文件来配置TLS证书进行双向认证。具体方法如下: 首先,生成CA证书和服务器证书: ``` $ openssl genrsa -out ca.key 2048 $ openssl req -new -key ca.key -out ca.csr $ openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt $ openssl genrsa -out server.key 2048 $ openssl req -new -key server.key -out server.csr $ openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -out server.crt ``` 然后,在Kubernetes API Server的配置文件中添加以下选项: ``` - --tls-cert-file=server.crt - --tls-private-key-file=server.key - --client-ca-file=ca.crt - --tls-cert-file=server.crt - --tls-private-key-file=server.key ``` 最后,重新启动Kubernetes API Server即可。 3. 如何为Kubernetes Pod中的应用程序提供安全的服务发现? 答:可以通过使用Kubernetes的Service来为Pod中的应用程序提供安全的服务发现。具体方法如下: 首先,创建一个Service,并将其类型设置为ClusterIP: ``` apiVersion: v1 kind: Service metadata: name: my-service spec: type: ClusterIP ports: - name: http port: 80 targetPort: 8080 ``` 然后,在Pod的配置文件中添加以下环境变量: ``` env: - name: MY_SERVICE_HOST value: my-service - name: MY_SERVICE_PORT value: "80" ``` 这样,在Pod中就可以通过访问MY_SERVICE_HOST和MY_SERVICE_PORT来访问Service提供的服务了。 4. 如何保护Kubernetes Pod中的敏感信息? 答:可以通过使用Kubernetes的Secret来保护Pod中的敏感信息。具体方法如下: 首先,创建一个Secret对象,并将需要保护的密钥和值存储在其中: ``` apiVersion: v1 kind: Secret metadata: name: my-secret type: Opaque data: username: dXNlcm5hbWU= password: cGFzc3dvcmQ= ``` 接着,在Pod的配置文件中使用该Secret: ``` apiVersion: v1 kind: Pod metadata: name: my-pod spec: containers: - name: my-container image: my-image env: - name: DB_USERNAME valueFrom: secretKeyRef: name: my-secret key: username - name: DB_PASSWORD valueFrom: secretKeyRef: name: my-secret key: password ``` 这样,在Pod中就可以通过访问DB_USERNAME和DB_PASSWORD来访问Secret中存储的敏感信息了。 5. 如何检查Kubernetes集群中的Pod是否使用了最新的安全补丁? 答:可以通过使用Kubernetes的SecurityContext来检查Pod是否使用了最新的安全补丁。具体方法如下: 首先,在Pod的配置文件中添加以下SecurityContext: ``` securityContext: runAsNonRoot: true readOnlyRootFilesystem: true allowPrivilegeEscalation: false ``` 然后,在容器中运行以下命令: ``` apt-get update apt-get upgrade ``` 这样就可以检查Pod中的容器是否使用了最新的安全补丁。 6. 如何限制用户在Kubernetes集群中的访问权限? 答:可以通过使用Kubernetes的Role和RoleBinding来限制用户在Kubernetes集群中的访问权限。具体方法如下: 首先,创建一个Role对象,指定该对象可以访问的资源和操作: ``` apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: my-role rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] ``` 接着,创建一个RoleBinding对象,将该Role对象绑定到指定的用户或组: ``` apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: my-role-binding subjects: - kind: User name: my-user roleRef: kind: Role name: my-role apiGroup: rbac.authorization.k8s.io ``` 这样,用户my-user就可以访问该Role对象指定的资源和操作了。 7. 如何配置Kubernetes集群的网络策略以保护Pod之间的通信? 答:可以通过使用Kubernetes的NetworkPolicy来配置网络策略以保护Pod之间的通信。具体方法如下: 首先,创建一个NetworkPolicy对象,指定该对象可以访问的Pod标签和端口: ``` apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: my-network-policy spec: podSelector: matchLabels: app: my-app ingress: - from: - podSelector: matchLabels: role: my-role ports: - protocol: TCP port: 80 ``` 然后,在Pod的配置文件中添加以下标签: ``` metadata: labels: app: my-app role: my-role ``` 这样,只有包含标签app=my-app且来自Pod标签为role=my-role的流量才可以访问Pod。 8. 如何为Kubernetes集群中的节点和Pod提供安全的存储? 答:可以通过使用Kubernetes的StorageClass和PersistentVolumeClaim来为集群中的节点和Pod提供安全的存储。具体方法如下: 首先,创建一个StorageClass对象,指定该对象可以使用的存储类型和访问模式: ``` apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: my-storage-class provisioner: my-provisioner parameters: type: my-type accessMode: ReadWriteOnce ``` 然后,在Pod的配置文件中创建一个PersistentVolumeClaim对象,用于申请存储: ``` apiVersion: v1 kind: PersistentVolumeClaim metadata: name: my-pvc spec: accessModes: - ReadWriteOnce resources: requests: storage: 1Gi storageClassName: my-storage-class ``` 这样,Pod就可以通过挂载PersistentVolumeClaim来访问安全的存储了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西攻城狮北

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值