目前的所有題目為2024年10月后更新的最新題庫(kù)，考試的k8s版本為1.31.1

? 專欄其他文章:

• [CKS] K8S Admission Set Up
• [CKS] CIS基準(zhǔn)測(cè)試，修復(fù)kubelet和etcd不安全項(xiàng)
• [CKS] K8S NetworkPolicy Set Up
• [CKS] 利用Trivy對(duì)image進(jìn)行掃描
• [CKS] 利用falco進(jìn)行容器日志捕捉和安全監(jiān)控
• [CKS] Audit Log Policy
• [CKS] Create/Read/Mount a Secret in K8S
• [CKS] K8S Dockerfile和yaml文件安全檢測(cè)
• [CKS] K8S RuntimeClass SetUp
• [CKS] TLS Secrets創(chuàng)建與掛載
• [CKS] falco掃描發(fā)現(xiàn)訪問(wèn)指定文件pod
• [CKS] 使用ingress公開https服務(wù)
• [CKS] bom工具生成SPDX文檔
• [CKS] 執(zhí)行Pod安全標(biāo)準(zhǔn)
• [CKS] Docker守護(hù)進(jìn)程
• [CKS]啟用apiserver身份驗(yàn)證

BackGround

針對(duì) kubeadm創(chuàng)建的 cluster運(yùn)行CIS基準(zhǔn)測(cè)試工具時(shí)，發(fā)現(xiàn)了多個(gè)必須立即解決的問(wèn)題。

Task

通過(guò)配置修復(fù)所有問(wèn)題并重新啟動(dòng)受影響的組件以確保新的設(shè)置生效。

• 修復(fù)針對(duì)kubelet發(fā)現(xiàn)的所有以下違規(guī)行為：
  • 1.1.1 確保將 anonymous-auth 參數(shù)設(shè)置為 false FAIL
  • 1.1.2 確保 --authorization-mode 參數(shù)未設(shè)置為 AlwaysAllow FAIL

注意：盡可能使用Webhook身份驗(yàn)證/授權(quán)。

• 修復(fù)針對(duì)etcd發(fā)現(xiàn)的所有以下違規(guī)行為：
  • 2.1.1 確保 --client-cert-auth 參數(shù)設(shè)置為 true FAIL

Practice

Step 1: 切換到考試環(huán)境（通過(guò)ssh命令）考試的時(shí)候會(huì)給出來(lái)

Step 2: 修復(fù)kubelet不安全項(xiàng)目

• 1. 首先我們需要明確的是kubelet的配置文件所在位置為/var/lib/kubelet/config.yaml，這時(shí)我們就需要對(duì)kubelet的配置文件做出以下修改:

...
authentication:anonymous:enabled: falsewebhook:cacheTTL: 0senabled: true
...
authorization:mode: Webhookwebhook:cacheAuthorizedTTL: 0scacheUnauthorizedTTL: 0s

主要是對(duì)authentication.anonymous.enabled字段修改為false，authentication.webhook.enabled字段修改為true，authorization.mode.mode修改為Webhook

Step 3: 修復(fù)etcd不安全項(xiàng)目

1. 首先我們需要明確的是etcd的配置文件所在位置為/etc/kubernetes/manifests/etcd.yaml ，所以我們需要對(duì)etcd的文件內(nèi)容做出如下的更改

...
spec:containers:- command:...- --client-cert-auth=true...

就是將client-cert-auth字段設(shè)置為true

Step 4: 重啟kubelet

systemctl daemon-reload 
systemctl restart kubelet 

驗(yàn)證

大家可以使用kubectl get pod -A來(lái)進(jìn)行驗(yàn)證，如果所有pod都啟動(dòng)成功了，則代表這個(gè)題目你做正確了