什么是StorageClass 前置准备 nfs server nfs server地址:192.168.2.152 nsf path:/data k8s集群 集群版本:1.22 容器:containerd 1.6 创建rbac 参考https://github.com/kubernetes-retired/external-storage/blob/master/nfs-clien
什么是wsl wsl,Windows Subsystem for Linux,是微软在win10以后推出的专为windows的linux环境。作用很简单,可以在windows中获得linux运行环境,完全直连计算机硬件,无需虚拟机虚拟硬件,而且不会影响windows运行。 为什么使用wsl wsl跟其他虚拟机不一样的是深度嵌入windows,安装后无缝进入,无需单独的虚拟机,无需双引导。而且wsl
Context 一个现有的 Kubernetes 集群,英通过更新其中一部分组件的 TLS 配置来进行加固。 Task 修改 API 服务器和 etcd 之间通信的 TLS 配置。 对于 API 服务器,删除对除 TLS 1.3 及更高版本之外的所有 TLS 版本的支持。 此外,删除对象 TLS_AES_128_GCM_SHA256 之外的所有密码套件的支持。 确保应用配置的更改 对于 etcd,
Context cluster 上设置了容器镜像扫描器,但尚未完全集成到 cluster 的配置中。 完成后,容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。 Task 注意:你必须在 cluster 的 master 节点上完成整个考题,所有服务和文件都已被准备好并放置在该节点上。 给定一个目录 /etc/kubernetes/epconfig 中不完整的配置, 以及具有 HTTPS 端点 ht
Context 由 kubeadm 创建的 cluster 的 Kubernetes API 服务器,出于测试目的, 临时配置允许未经身份验证和未经授权的访问,授予匿名用户 cluster-admin 的访问权限. Task 重新配置 cluster 的 Kubernetes APl 服务器,以确保只允许经过身份验证和授权的 REST 请求。 使用授权模式 Node , RBAC 和准入控制器 N
Context Container Security Context应在特定namespace中修改Deployment。 Task 按照如下要求修改 sec-ns 命名空间里的 Deployment secdep 用ID为 30000 的用户启动容器(设置用户ID为: 30000) 不允许进程获得超出其父进程的特权(禁止allowPrivilegeEscalation) 以只读方式加载容器的根
创建磁盘文件 qemu-img create -f qcow2 minio02.qcow2 50G 编辑配置文件 # 关闭虚拟机 virsh shutdown cx05 # 编辑配置 virsh edit cx05 <disk type='file' device='disk'> <driver name='qemu' type='qcow2'
解: 这个题无法打开命令官方页面,所以只能靠系统内提示 先切换到node02节点,题目全部在node02节点上完成 ssh node02 通过系统提示查找命令格式和所需要的信息 # 查找命令写法 sysdig -h # -p选项中具体参数timestamp , uid/username , processName怎么写 sysdig -l | grep time sysdig -
Context: APPArmor 已在 cluster 的工作节点node02上被启用。一个 APPArmor 配置文件已存在,但尚未被实施。 Task: 在 cluster 的工作节点node02上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有APPArmor 配置文件。 编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单
Task: 使用 Trivy 开源容器扫描器检测 namespace kamino 中 具有严重漏洞的镜像 的 Pod。 查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod 。 注意:Trivy 仅安装在 cluster 的 master 节点上, 在工作节点上不可使用。 你必须切换到 cluster 的 master 节点才能使用 Trivy 解: 先列出n
Task 创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 中运行的 Pod products-service 的访问。 只允许以下 Pod 连接到 Pod products-service namespace qaqa 中的 Pod 位于任何 namespace,带有标签 environment: testing 的
Context 该 cluster 使用 containerd 作为 CRI 运行时。containerd 的默认运行时处理程序是 runc 。 containerd 已准备好支持额外的运行时处理程序 runsc (gVisor)。 Task 使用名为 runsc 的现有运行时处理程序,创建一个名为 untrusted 的 RuntimeClass。 更新 namespace server 中的所
Task 分析和编辑给定的Dockerfile /cks/docker/Dockerfile(基于ubuntu:16.04 镜像), 并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。 分析和编辑给定的清单文件 /cks/docker/deployment.yaml , 并修复在文件中拥有突出的安全/最佳实践问题的两个字段。 注意:请勿添加或删除配置设置;只需修改现有的配置设置让以上两个配置
删除kvm虚拟机报错 解决办法: virsh undefine --nvram "name of VM"
Task 在 namespace istio-system 中获取名为 db1-test 的现有 secret 的内容 将 username 字段存储在名为 /cks/sec/user.txt 的文件中,并将password 字段存储在名为 /cks/sec/pass.txt 的文件中。 注意:你必须创建以上两个文件,他们还不存在。 注意:不要在以下步骤中使用/修改先前创建的文件,如果需要,可以创
Task 在cluster中启用审计日志。为此,请启用日志后端,并确保: 日志存储在 /var/log/kubernetes/audit-logs.txt 日志文件能保留 10 天 最多保留 2 个旧审计日志文件 /etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。 注意:基本策略位于 cluster 的 master 节
Context 绑定到 Pod 的 ServiceAccount 的 Role 授予过度宽松的权限。完成以下项目以减少权限集。 Task 一个名为 web-pod 的现有 Pod 已在 namespace db 中运行。 编辑绑定到 Pod 的 ServiceAccount service-account-web 的现有 Role,仅允许只对 services 类型的资源执行 get 操作。 在
一个默认拒绝(default-deny)的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。 Task 为所有类型为 Ingress+Egress 的流量在 namespace testing 中创建一个名为 denypolicy 的新默认拒绝 NetworkPolicy 。 此新的 NetworkPolicy 必须拒绝 namespa
环境准备 操作系统版本: k8s节点情况: k8s版本和docker版本 docker镜像 其中fastdds是基于Ubuntu-fastdds镜像,在其中编译ddsdemo(项目地址) docker镜像来源:https://www.eprosima.com/index.php/component/ars/repository/eprosima-fast-dds/eprosima-fast
您组织的安全策略包括: ServiceAccount不得自动挂载API凭据 ServiceAccount名称必须以“-sa”结尾 清单文件 /cks/sa/pod1.yaml 中指定的Pod由于ServiceAccount指定错误而无法调度。 请完成以下项目: Task 在现有namespace qa 中创建一个名为 backend-sa 的新ServiceAccount, 确保此Servi
题目: 针对 kubeadm创建的 cluster运行CIS基准测试工具时,发现了多个必须立即解决的问题 通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。 修复针对 API 服务器发现的所有以下违规行为: 1.2.7 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL 1.2.8
项目中需要实现udp组播通信,查询StackOverflow得出解决方案: StackOverflow链接 经测试两种模式都可以实现pod间组播通信 第一种在pod配置中只用添加hostNetwork: true就可以了 这里主要记录一下第二种如何实现 官方链接 根据官方的操作指南来,首先是创建一个daemonset来安装cni插件,这个插件可以兼容已有的cni插件 kubectl apply
k8s下设置contaierd为容器引擎的情况下无法识别gpu资源 Failed to initialize NVML: could not load NVML library If this is a GPU node, did you set the docker default runtime to nvidia解决办法
设置时区,这样安装依赖时候就不需要选 ENV TZ=Asia/Shanghai RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo '$TZ' > /etc/timezone
bench.h:38:10: fatal error: rpc/rpc.h: No such file or directory 解决办法:dnf -y install libtirpc libtirpc-devel cp /usr/include/tirpc/rpc/* /usr/include/rpc/ fatal error: netconfig.h: No such file or
secret密钥 设置配置环境: [candidate@node-1] $ kubectl config use-context k8s COPY Task 在 test 命名空间,创建一个名为 mysecret 的密钥,其值 username 为 devuser 和 password为A!B*d$zDsb= 在 test 命名空间,创建一个 pod,镜像使用 nginx:1.16 ,名字为 m
securitycontext权能 设置配置环境: [candidate@node-1] $ kubectl config use-context k8s COPY Task 在 test 命名空间,有一个名为 secnginx 的 pod,修改此 pod,为容器添加CAP_NET_ADMIN 和 CAP_SYS_TIME 权能 解法 打开kubernetes.io搜索权能 解答: 切换环境
设置配置环境: [candidate@node-1] $ kubectl config use-context k8s COPY Task 在 qutt 命名空间,创建一个名为 myquota 的 Quota,该资源 Quota 具有 1 个CPU, 1G 内存和 2个 pod的硬限制。 解答: kubernetes.io搜索quota vim myquota.yaml kubectl ap
PV/PVC 设置配置环境: [candidate@node-1] $ kubectl config use-context k8s COPY Task 在 node02 节点上创建一个文件 /opt/KDSP00101/data/index.html ,内容为 WEPKEY=7789 使用 hostPath 创建一个名为 task-pv-volume 的 PersistentVolume ,
修改deployment镜像 设置配置环境: [candidate@node-1] $ kubectl config use-context k8s COPY Task 在 namespace default 中的一个 Deployment 由于指定了错误的容器镜像而失败。 找出此 Deployment 并修复问题 参考: kubectl --help COPY 解答: 切换环境 kubect
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
