CKS 試験問題 16
次のコマンドを使用して、クラスター/構成コンテキストを切り替えることができます。
[desk @ cli] $ kubectl config use-context dev
デフォルト拒否のNetworkPolicyは、他のNetworkPolicyが定義されていない名前空間でポッドを誤って公開しないようにします。
タスク:Ingress + Egressタイプのすべてのトラフィックの名前空間テストでdeny-networkという名前の新しいdefault-denyNetworkPolicyを作成します。新しいNetworkPolicyは、名前空間テストのすべてのIngress+Egressトラフィックを拒否する必要があります。
新しく作成されたdefault-denyNetworkPolicyを、名前空間テストで実行されているすべてのポッドに適用します。
スケルトンマニフェストファイルは/home/cert_masters/network-policy.yamlにあります。
[desk @ cli] $ kubectl config use-context dev
デフォルト拒否のNetworkPolicyは、他のNetworkPolicyが定義されていない名前空間でポッドを誤って公開しないようにします。
タスク:Ingress + Egressタイプのすべてのトラフィックの名前空間テストでdeny-networkという名前の新しいdefault-denyNetworkPolicyを作成します。新しいNetworkPolicyは、名前空間テストのすべてのIngress+Egressトラフィックを拒否する必要があります。
新しく作成されたdefault-denyNetworkPolicyを、名前空間テストで実行されているすべてのポッドに適用します。
スケルトンマニフェストファイルは/home/cert_masters/network-policy.yamlにあります。
CKS 試験問題 17
シミュレーション
kubesec dockerイメージを使用して、指定されたYAMLマニフェストをスキャンし、アドバイスされた変更を編集して適用し、4ポイントのスコアで合格しました。
kubesec-test.yaml
apiVersion:v1
種類:ポッド
メタデータ:
名前:kubesec-デモ
仕様:
コンテナ:
-名前:kubesec-デモ
画像:gcr.io/google-samples/node-hello:1.0
securityContext:
readOnlyRootFilesystem:true
ヒント:docker run -i kubesec / kubesec:512c5e0 scan /dev/stdin <kubesec-test.yaml
kubesec dockerイメージを使用して、指定されたYAMLマニフェストをスキャンし、アドバイスされた変更を編集して適用し、4ポイントのスコアで合格しました。
kubesec-test.yaml
apiVersion:v1
種類:ポッド
メタデータ:
名前:kubesec-デモ
仕様:
コンテナ:
-名前:kubesec-デモ
画像:gcr.io/google-samples/node-hello:1.0
securityContext:
readOnlyRootFilesystem:true
ヒント:docker run -i kubesec / kubesec:512c5e0 scan /dev/stdin <kubesec-test.yaml
CKS 試験問題 18
シミュレーション
名前空間テストシステムで実行されているnginx-podという名前の既存のポッドを前提として、使用されているservice-account-nameをフェッチし、コンテンツを/candidate/KSC00124.txtに配置します。名前空間test-にdev-test-roleという名前の新しいロールを作成します。名前空間タイプのリソースに対して更新操作を実行できるシステム。
dev-test-role-bindingという名前の新しいRoleBindingを作成します。これは、新しく作成されたロールをポッドのServiceAccount(名前空間test-systemで実行されているNginxポッドにあります)にバインドします。
名前空間テストシステムで実行されているnginx-podという名前の既存のポッドを前提として、使用されているservice-account-nameをフェッチし、コンテンツを/candidate/KSC00124.txtに配置します。名前空間test-にdev-test-roleという名前の新しいロールを作成します。名前空間タイプのリソースに対して更新操作を実行できるシステム。
dev-test-role-bindingという名前の新しいRoleBindingを作成します。これは、新しく作成されたロールをポッドのServiceAccount(名前空間test-systemで実行されているNginxポッドにあります)にバインドします。
CKS 試験問題 19
allow-npという名前のネットワークポリシーを作成します。これにより、名前空間ステージング内のポッドが、同じ名前空間内の他のポッドのポート80に接続できるようになります。
ネットワークポリシーを確認します:-
1.ポート80でリッスンしていないポッドへのアクセスを許可しません。
2.名前空間のステージングではなく、ポッドからのアクセスを許可しません。
ネットワークポリシーを確認します:-
1.ポート80でリッスンしていないポッドへのアクセスを許可しません。
2.名前空間のステージングではなく、ポッドからのアクセスを許可しません。
CKS 試験問題 20
johnという名前のユーザーを作成し、CSR要求を作成し、承認後にユーザーの証明書を取得します。
ロール名john-roleを作成して、名前空間johnのシークレット、ポッドを一覧表示します
最後に、john-role-bindingという名前のRoleBindingを作成して、新しく作成されたロールjohn-roleを名前空間johnのユーザーjohnにアタッチします。
確認するには:kubectlauthCLIコマンドを使用して権限を確認します。
ロール名john-roleを作成して、名前空間johnのシークレット、ポッドを一覧表示します
最後に、john-role-bindingという名前のRoleBindingを作成して、新しく作成されたロールjohn-roleを名前空間johnのユーザーjohnにアタッチします。
確認するには:kubectlauthCLIコマンドを使用して権限を確認します。
