【K8S认证】2023年CKS考题-TLS安全配置(解析+答案)

最新推荐文章于 2024-03-28 10:47:41 发布
最新推荐文章于 2024-03-28 10:47:41 发布
阅读量3k 收藏 4
点赞数
分类专栏: K8S kubernetes 【K8S认证】2023年CKS考题及答案 文章标签: kubernetes 1024程序员节 cks认证 k8s 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014481728/article/details/134067704
版权

题目

k8s集群TLS安全配置

Task
通过TLS加强kube-apiserver安全配置,要求kube-apiserver除了 TLS 1.3 及以上的版本可以使用,其他版本都不允许使用。
密码套件(Cipher suite)为 TLS_AES_128_GCM_SHA256通过TLS加强ETCD安全配置,要求密码套件(Cipher suite)为TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

参考

https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/
在这里插入图片描述
在这里插入图片描述

解答

1、切换集群

kubectl config user-context KSRS00501

2、切换到master

ssh master01
sudo -i

3、修改配置文件
备份、修改 kube-apiserver

mkdir bakyaml
cp /etc/kubernetes/manifests/kube-apiserver.yaml bakyaml/
vim /etc/kubernetes/manifests/kube-apiserver.yaml

添加或修改相关内容,并保存(先检查一下,如果考试环境里已经给你这两条了,则你只需要修改即可)

    - --tls-cipher-suites=TLS_AES_128_GCM_SHA256
    - --tls-min-version=VersionTLS13

等待几分钟,等集群应用策略后,再检查kube-apiserver,确保Running。

kubectl -n kube-system get pod

4、修改 ETCD

cp /etc/kubernetes/manifests/etcd.yaml bakyaml/
vim /etc/kubernetes/manifests/etcd.yaml

添加或修改相关内容,并保存

    - --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

修改完成后,需要等待几分钟,等集群应用策略后,再检查一下所有pod,特别是etcd和kube-apiserver两个pod,确保模拟环境是正常的。

kubectl get pod -A
kubectl -n kube-system get pod

在这里插入图片描述

西攻城狮北
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2022最新CKS官方模拟考试题
strengthen8的博客
06-19 743
CKS Simulator Kubernetes 1.23 alias k=kubectl                       &n
KubernetesK8s CKS 认证实战班(安全专家)第四期,20225月底结课)
12-26
KubernetesK8s CKS 认证实战班(安全专家)【第四期,20225月底结课),视频+文档下载
Kubernetes/K8S CKS安全专家认证实践视频课程
03-28
分享一套课程——《Kubernetes/K8S CKS安全专家认证实践》2023新课,基于k8s 1.26版本 帮助学员掌握CKS考试所必备的安全相关技能,同时提供考题原题分析,帮助学员轻松拿下CKS认证考试
K8S认证工程师(CKA)考试(最新版,实测可靠)
最新发布
m0_60125201的博客
03-28 1264
k8s的全部考试答案,亲测真实可靠,博主CKA,CKS已过,欢迎交流。
安装k8s步骤
weixin_43923229的博客
09-01 519
安装k8s操作 转自以下链接 https://www.cnblogs.com/linxqjy/p/14768914.html 设置vm 静态ip: vim /etc/netplan/00-installer-config.yaml network: ethernets: ens33: dhcp4: no dhcp6: no addresses: [192.168.189.131/24] gateway4: 192.168.189.2 n
CKS 认证备考指南
KubeSphere
09-15 936
作者:scwang18,主要负责技术架构,在容器云方向颇有研究。 前言 CKA 和 CKS 是 Linux 基金会联合 CNCF 社区组织的云原生技术领域权威的技术水平认证考试,考试采用实操方式进行。CKS 全称是 Certified Kubernetes Security Specialist,它在一个模拟真实的环境中测试考生对 Kubernetes 和云安全的知识。在参加 CKS 考试之前,必须已经通过 CKA(Kubernetes 管理员认证),在获得 CKA 证书之后才可以预约 CKS 考试。C
CKS认证是什么?
mianbaojiayou的博客
01-17 5991
CKSKubernetes认证体系下的认证CKS全称是Certified Kubernetes Security Specialist,中文名就是Kubernetes安全专家认证,考取这个证书之后证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的必要能力,并且有资格在专业环境中执行这些任务。 CKS和CKA认证一样都是实操的认证考试,它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,考生必须已经通过Kubernetes管理
kubernetes认证-CKA、CKS考试
西京刀客
04-17 2万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKSKubernetes 认证安全专家。预计202011月开放,须先通过CKA认证
K8S容器技能认证 -CKA&CKS认证从零到一
m0_57042151的博客
12-16 4116
CKA (Certifified Kubernetes Administrator),旨在确保 CKA 认证人员具有履行 Kubernetes 管理员职责的技能、知识和能力。通过认证Kubernetes管理员具备了包括基础安装和配置、管理产品级别的Kubernetes 集群方面的能力。它是对Kubernetes操作人员对Kubernetes核心应用能力的一种检测,也是企业较看重的技术能力之一。
K8S认证2023CKS考题-Sysdig&Falco(解析+答案
u014481728的博客
10-27 2260
K8S认证2023CKS考题-Sysdig&Falco(解析+答案
2024 CKS 题库 | 5、日志审计 log audit
aifeier的博客
02-15 627
日志审计这一题需要自己调整的内容还是挺多的,因此要非常仔细,建议修改前备份一下原始的环境,要不然修改错了就会导致集群崩溃。添加以下参数:注意空格要对齐,不建议放到最后,建议按照下图的位置放这四条信息。在cluster中启用审计日志。注意:基本策略位于 cluster 的 master 节点上。定义审计策略yaml文件位置,通过hostpath挂载。不要删除原有规则, 可以在下面继续追加题目要求的规则。它仅指定不记录的内容。此外,添加一个全方位的规则以在。注意:不要忘记应用修改后的策略。
Kubernetes/K8S CKS安全专家认证实践(2023新课,基于k8s 1.26版本)
05-29
分享一套cks课程——Kubernetes/K8S CKS安全专家认证实践(2023新课,基于k8s 1.26版本)
Kubernetes安全专家认证 (CKS)1.20模拟题答案中文版
爱死亡机器人
06-07 4736
问题 12 | 黑客秘密 任务权重:8% 使用上下文: kubectl config use-context restricted@infra-prod 您需要调查Namespace restricted中可能的权限逃逸。上下文以用户身份进行身份验证,该用户 restricted仅具有有限的权限并且不应能够读取Secret值。 试图找到的密码键值秘密,并在命名空间。将解码后的明文值写入文件,和. secret1 secret2 secret3 restricted/opt/course/12/se
Kubernetes安全专家认证 (CKS)1.20模拟题英文版答案
热门推荐
爱死亡机器人
06-04 10万+
CKS Simulator Kubernetes 1.20 https://killer.sh Pre Setup Once you’ve gained access to your terminal it might be wise to spend ~1 minute to setup your environment. Set these: alias k=kubectl ​ export do="–dry-run=client -o yaml" # like short for dry output
那些,关于CKA&CKS认证的那些事儿?
最美dee时光的博客
11-26 832
遥想2020初,疫情封城封村之际,工作之余在B站将尚硅谷的linux中的k8s视频完整系统的学习了一遍,自此像是打通了任督二脉一般,开启了对k8s的探索之旅,一路也是磕磕绊绊的在工作中使用k8s。终于在23的6月仲夏,在同事的鼓励下,报考了CKA认证,之后又考了CKS,再次将k8s的知识点贯穿了一遍,也算是从最初的朦胧到现在的掌握形成了一个闭环。
k8s学习-CKS真题-RoleBinding
关注网络安全、云原生安全
02-05 850
生成web-pod.yaml,修改添加serviceAccountName,之后创建。查找service-account-web绑定的role。
cks k8s真题带详细答案
06-08
以下是一些可能出现在CKS考试中的真题,以及对应的详细答案: 1. 如何禁用Kubernetes API Server的匿名访问? 答:可以通过修改Kubernetes API Server的配置文件来禁用匿名访问。具体方法如下: 在Kubernetes API Server的配置文件中添加以下选项: ``` - --anonymous-auth=false ``` 然后重新启动Kubernetes API Server即可。 2. 如何配置Kubernetes API Server使用TLS证书进行双向认证? 答:可以通过修改Kubernetes API Server的配置文件来配置TLS证书进行双向认证。具体方法如下: 首先,生成CA证书和服务器证书: ``` $ openssl genrsa -out ca.key 2048 $ openssl req -new -key ca.key -out ca.csr $ openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt $ openssl genrsa -out server.key 2048 $ openssl req -new -key server.key -out server.csr $ openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -out server.crt ``` 然后,在Kubernetes API Server的配置文件中添加以下选项: ``` - --tls-cert-file=server.crt - --tls-private-key-file=server.key - --client-ca-file=ca.crt - --tls-cert-file=server.crt - --tls-private-key-file=server.key ``` 最后,重新启动Kubernetes API Server即可。 3. 如何为Kubernetes Pod中的应用程序提供安全的服务发现? 答:可以通过使用Kubernetes的Service来为Pod中的应用程序提供安全的服务发现。具体方法如下: 首先,创建一个Service,并将其类型设置为ClusterIP: ``` apiVersion: v1 kind: Service metadata: name: my-service spec: type: ClusterIP ports: - name: http port: 80 targetPort: 8080 ``` 然后,在Pod的配置文件中添加以下环境变量: ``` env: - name: MY_SERVICE_HOST value: my-service - name: MY_SERVICE_PORT value: "80" ``` 这样,在Pod中就可以通过访问MY_SERVICE_HOST和MY_SERVICE_PORT来访问Service提供的服务了。 4. 如何保护Kubernetes Pod中的敏感信息? 答:可以通过使用Kubernetes的Secret来保护Pod中的敏感信息。具体方法如下: 首先,创建一个Secret对象,并将需要保护的密钥和值存储在其中: ``` apiVersion: v1 kind: Secret metadata: name: my-secret type: Opaque data: username: dXNlcm5hbWU= password: cGFzc3dvcmQ= ``` 接着,在Pod的配置文件中使用该Secret: ``` apiVersion: v1 kind: Pod metadata: name: my-pod spec: containers: - name: my-container image: my-image env: - name: DB_USERNAME valueFrom: secretKeyRef: name: my-secret key: username - name: DB_PASSWORD valueFrom: secretKeyRef: name: my-secret key: password ``` 这样,在Pod中就可以通过访问DB_USERNAME和DB_PASSWORD来访问Secret中存储的敏感信息了。 5. 如何检查Kubernetes集群中的Pod是否使用了最新的安全补丁? 答:可以通过使用Kubernetes的SecurityContext来检查Pod是否使用了最新的安全补丁。具体方法如下: 首先,在Pod的配置文件中添加以下SecurityContext: ``` securityContext: runAsNonRoot: true readOnlyRootFilesystem: true allowPrivilegeEscalation: false ``` 然后,在容器中运行以下命令: ``` apt-get update apt-get upgrade ``` 这样就可以检查Pod中的容器是否使用了最新的安全补丁。 6. 如何限制用户在Kubernetes集群中的访问权限? 答:可以通过使用Kubernetes的Role和RoleBinding来限制用户在Kubernetes集群中的访问权限。具体方法如下: 首先,创建一个Role对象,指定该对象可以访问的资源和操作: ``` apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: my-role rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] ``` 接着,创建一个RoleBinding对象,将该Role对象绑定到指定的用户或组: ``` apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: my-role-binding subjects: - kind: User name: my-user roleRef: kind: Role name: my-role apiGroup: rbac.authorization.k8s.io ``` 这样,用户my-user就可以访问该Role对象指定的资源和操作了。 7. 如何配置Kubernetes集群的网络策略以保护Pod之间的通信? 答:可以通过使用Kubernetes的NetworkPolicy来配置网络策略以保护Pod之间的通信。具体方法如下: 首先,创建一个NetworkPolicy对象,指定该对象可以访问的Pod标签和端口: ``` apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: my-network-policy spec: podSelector: matchLabels: app: my-app ingress: - from: - podSelector: matchLabels: role: my-role ports: - protocol: TCP port: 80 ``` 然后,在Pod的配置文件中添加以下标签: ``` metadata: labels: app: my-app role: my-role ``` 这样,只有包含标签app=my-app且来自Pod标签为role=my-role的流量才可以访问Pod。 8. 如何为Kubernetes集群中的节点和Pod提供安全的存储? 答:可以通过使用Kubernetes的StorageClass和PersistentVolumeClaim来为集群中的节点和Pod提供安全的存储。具体方法如下: 首先,创建一个StorageClass对象,指定该对象可以使用的存储类型和访问模式: ``` apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: my-storage-class provisioner: my-provisioner parameters: type: my-type accessMode: ReadWriteOnce ``` 然后,在Pod的配置文件中创建一个PersistentVolumeClaim对象,用于申请存储: ``` apiVersion: v1 kind: PersistentVolumeClaim metadata: name: my-pvc spec: accessModes: - ReadWriteOnce resources: requests: storage: 1Gi storageClassName: my-storage-class ``` 这样,Pod就可以通过挂载PersistentVolumeClaim来访问安全的存储了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西攻城狮北

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值