CKS考试中的真题,以及对应的详细答案

最新推荐文章于 2024-01-12 17:04:41 发布
最新推荐文章于 2024-01-12 17:04:41 发布
阅读量1.1k 收藏 9
点赞数
文章标签: kubernetes docker linux cks
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44320761/article/details/131093142
版权

1、如何禁用Kubernetes API Server的匿名访问?

答:可以通过修改Kubernetes API Server的配置文件来禁用匿名访问。具体方法如下:
在Kubernetes API Server的配置文件中添加以下选项:

- --anonymous-auth=false

然后重新启动Kubernetes API Server即可。

2、如何配置Kubernetes API Server使用TLS证书进行双向认证?

答:可以通过修改Kubernetes API Server的配置文件来配置TLS证书进行双向认证。具体方法如下:
首先,生成CA证书和服务器证书:

$ openssl genrsa -out ca.key 2048
$ openssl req -new -key ca.key -out ca.csr
$ openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

$ openssl genrsa -out server.key 2048
$ openssl req -new -key server.key -out server.csr
$ openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -out server.crt

3、如何为Kubernetes Pod中的应用程序提供安全的服务发现?

答:可以通过使用Kubernetes的Service来为Pod中的应用程序提供安全的服务发现。具体方法如下:
首先,创建一个Service,并将其类型设置为ClusterIP:

apiVersion: v1
kind: Service
metadata:
  name: my-service
spec:
  type: ClusterIP
  ports:
  - name: http
    port: 80
    targetPort: 8080

然后,在Pod的配置文件中添加以下环境变量:

env:
- name: MY_SERVICE_HOST
  value: my-service
- name: MY_SERVICE_PORT
  value: "80"

这样,在Pod中就可以通过访问MY_SERVICE_HOST和MY_SERVICE_PORT来访问Service提供的服务了。

4、如何保护Kubernetes Pod中的敏感信息?

答:可以通过使用Kubernetes的Secret来保护Pod中的敏感信息。具体方法如下:
首先,创建一个Secret对象,并将需要保护的密钥和值存储在其中:

apiVersion: v1
kind: Secret
metadata:
  name: my-secret
type: Opaque
data:
  username: dXNlcm5hbWU=
  password: cGFzc3dvcmQ=

接着,在Pod的配置文件中使用该Secret:

apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  containers:
  - name: my-container
    image: my-image
    env:
    - name: DB_USERNAME
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: username
    - name: DB_PASSWORD
      valueFrom:
        secretKeyRef:
          name: my-secret
          key: password

这样,在Pod中就可以通过访问DB_USERNAME和DB_PASSWORD来访问Secret中存储的敏感信息了。

5、如何检查Kubernetes集群中的Pod是否使用了最新的安全补丁?

答:可以通过使用Kubernetes的SecurityContext来检查Pod是否使用了最新的安全补丁。具体方法如下:
首先,在Pod的配置文件中添加以下SecurityContext:

securityContext:
  runAsNonRoot: true
  readOnlyRootFilesystem: true
  allowPrivilegeEscalation: false

然后,在容器中运行以下命令:

apt-get update
apt-get upgrade

这样就可以检查Pod中的容器是否使用了最新的安全补丁。

6、如何限制用户在Kubernetes集群中的访问权限?

答:可以通过使用Kubernetes的Role和RoleBinding来限制用户在Kubernetes集群中的访问权限。具体方法如下:
首先,创建一个Role对象,指定该对象可以访问的资源和操作:

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: my-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

接着,创建一个RoleBinding对象,将该Role对象绑定到指定的用户或组:

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: my-role-binding
subjects:
- kind: User
  name: my-user
roleRef:
  kind: Role
  name: my-role
  apiGroup: rbac.authorization.k8s.io

这样,用户my-user就可以访问该Role对象指定的资源和操作了。

7、如何配置Kubernetes集群的网络策略以保护Pod之间的通信?

答:可以通过使用Kubernetes的NetworkPolicy来配置网络策略以保护Pod之间的通信。具体方法如下:
首先,创建一个NetworkPolicy对象,指定该对象可以访问的Pod标签和端口:

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: my-network-policy
spec:
  podSelector:
    matchLabels:
      app: my-app
  ingress:
  - from:
    - podSelector:
        matchLabels:
          role: my-role
    ports:
    - protocol: TCP
      port: 80

然后,在Pod的配置文件中添加以下标签:

metadata:
  labels:
    app: my-app
    role: my-role

这样,只有包含标签app=my-app且来自Pod标签为role=my-role的流量才可以访问Pod。

8、如何为Kubernetes集群中的节点和Pod提供安全的存储?

答:可以通过使用Kubernetes的StorageClass和PersistentVolumeClaim来为集群中的节点和Pod提供安全的存储。具体方法如下:
首先,创建一个StorageClass对象,指定该对象可以使用的存储类型和访问模式:

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: my-storage-class
provisioner: my-provisioner
parameters:
  type: my-type
  accessMode: ReadWriteOnce

然后,在Pod的配置文件中创建一个PersistentVolumeClaim对象,用于申请存储:

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: my-pvc
spec:
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 1Gi
  storageClassName: my-storage-class

这样,Pod就可以通过挂载PersistentVolumeClaim来访问安全的存储了。
葒脃坧頭
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CKS 2024年四月最新题库
pooopun的博客
04-28 440
CKS认证考试解题步骤。2024 4月最新版
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
LFS260-labs_V2021-01-07.pdf
CKS考试之 Trivy 镜像扫描
sinat_33076015的博客
09-07 201
切换 Context 后, ssh 到对应的 master 节点。
k8s学习-CKS考试必过宝典
关注网络安全、云原生安全
06-12 1269
使用用户工作负载的静态分析(例如kubernetes资源,Docker文件)在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动。保护您的供应链:将允许的注册表列入白名单,对镜像进行签名和验证。检测物理基础架构,应用程序,网络,数据,用户和工作负载的威胁。设置适当的OS级安全域,例如使用PSP, OPA,安全上下文。谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限。检测攻击的所有阶段,无论它发生在哪里,如何扩散。考后24小时会收到结果,祝大家考试成功!
CKS考试心得
最新发布
yuan_jiaoyoung的博客
01-12 1583
考前须知:1、一共16题,100分66分及格,考试有两次机会考试准备:1、护照或或者包含英文名字证件2、要选择工作日的早上或者晚上考试,千万不要选择周末去考,否则卡到怀疑人生,影响考试结果3、提前1小时等待考试,关闭VM,webex、teams等服务就花了30分钟。
CKS考试之TLS通信配置
sinat_33076015的博客
09-06 271
登录到 master 节点之后。
cks 试题
爱死亡机器人
01-16 5858
文章目录1.镜像扫描ImagePolicyWebhook2. sysdig检测pod3. clusterroole4. AppArmor5. PodSecurityPolicy6. 网络策略7. dockerfile检测及yaml文件问题8. pod安全9. 创建SA10. trivy检测镜像安全11. 创建secret12. kube-benct13. gVsior14. 审计15. 默认网络策略 考试信息 2小时 15-20题目 预约时间同CKA,32小时出成绩 满分不到100分,87分或93分,但6
Kubernetes CKS 1.20 - 真题 (第1题)
#真题在线#
06-08 2906
2021年CKS 1.20 考试题,总计15题, 欢迎大家探讨答案
CKS1.23 考试题整理(1)-secret
april_4的博客
04-06 1653
创建Secret 题目 1 在namespaceistio-system获取名为db1-test的现有secret的内容 将username字段存储在名为/cks/sec/user.txt的文件,并将password字段存储在名为/cks/sec/pass.txt的文件。 注意:你必须创建以上两个文件,他们还不存在。 注意:不要在以下步骤使用/修改先前创建的文件,如果需要,可以创建新的临时文件。 2 在istio-systemnamespace创建一个名为db2-test的新s...
Kubernetes CKS 1.20 - 真题 (第13题)
#真题在线#
06-04 1117
k8s学习-CKS真题-网络策略精细化控制
关注网络安全、云原生安全
03-04 1259
解释:对于dev-team命名空间下标签打了run=products-service的Pod的如流量进行限制,打了kubernetes.io/metadata.name=qaqa标签的命名空间下的Pod都可以访问,打了environment=testing标签的Pod都可以访问。创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 运行的 Pod products-service 的访问。创建products-service。
CKS 试题训练【1】
爱死亡机器人
04-11 2777
文章目录1. 考点:Use Role Based Access Controls to minimize exposure试题 1:RBAC授权问题第1步:检查当前 RBAC rules第2步:创建其他RBAC rules2. 考点:Setup appropriate OS level security domains e.g. using PSP, OPA, security contexts试题1:使用OPA策略提高安全性3. 考点:Detect threats within physical infr
CKS1.23 考试题整理(5)-RBCA
april_4的博客
04-11 1131
题目 一个名为web-pod的现有Pod已在 namespace db运行。 编辑绑定到 Pod 的 ServiceAccount service-account-web的现有Role,仅允许只对 services类型的资源执行 get操作。 在namespace db创建一个名为role-2 ,并仅允许只对 namespaces类型的资源执行delete操作的新 Role。 创建一个名为role-2-binding的新 RoleBinding,将新创建的 Role 绑定到 Pod 的Servi
云原生|kubernetes|2022年底cks真题解析(1-10)
zsk_john的技术分享专用博客
01-15 4311
解析: 这一题是两个任务,第一个任务是dockerfile的安全排查,dockerfile里是镜像版本不正确,需要修改为ubuntu:16.04还一个是USER指定的是root,修改为nobody就可以了,十分简单的两个地方。 第二个任务是/cks/docker/deployment.yaml文件的安全排查,一个是pod的安全上下文权限问题,一个是标签问题
cks 2022考试真题详细答案
06-09
很抱歉,我无法提供CKS 2022考试真题详细答案,因为考试的内容和策略是有版权保护的,未经授权不可随意传播。此外,考试真题答案也是保密的,他们只能在考试时向考生提供。作为AI助手,我无法获取或提供未经授权的内容。建议您通过官方网站或相关社区获取更多关于CKS考试的信息和资料,也可以参加相应的培训课程来提高自己的技能和经验。祝您成功通过CKS考试

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值