CKS 試験問題 6
etcd に保存されているシークレットは保存時には安全ではありません。etcdctl コマンド ユーティリティを使用して、たとえば次のシークレット値を見つけることができます。- ETCDCTL_API=3 etcdctl get /registry/secrets/default/cks-secret --cacert="ca.crt " --cert="server.crt" --key="server.key" 出力
暗号化構成を使用して、プロバイダー AES-CBC と ID を使用してリソースのシークレットを保護するマニフェストを作成し、保管時のシークレット データを暗号化し、すべてのシークレットが新しい構成で暗号化されるようにします。
暗号化構成を使用して、プロバイダー AES-CBC と ID を使用してリソースのシークレットを保護するマニフェストを作成し、保管時のシークレット データを暗号化し、すべてのシークレットが新しい構成で暗号化されるようにします。
CKS 試験問題 7
コンテクスト
デフォルト拒否の NetworkPolicy は、他の NetworkPolicy が定義されていない名前空間で Pod が誤って公開されることを回避します。
タスク
タイプ Egress のすべてのトラフィックをテストする名前空間に、defaultdeny という名前の新しいデフォルト拒否 NetworkPolicy を作成します。
新しい NetworkPolicy は、名前空間テストですべての Egress トラフィックを拒否する必要があります。
新しく作成したdefault-deny NetworkPolicyを、名前空間テストで実行されているすべてのPodに適用します。
デフォルト拒否の NetworkPolicy は、他の NetworkPolicy が定義されていない名前空間で Pod が誤って公開されることを回避します。
タスク
タイプ Egress のすべてのトラフィックをテストする名前空間に、defaultdeny という名前の新しいデフォルト拒否 NetworkPolicy を作成します。
新しい NetworkPolicy は、名前空間テストですべての Egress トラフィックを拒否する必要があります。
新しく作成したdefault-deny NetworkPolicyを、名前空間テストで実行されているすべてのPodに適用します。
CKS 試験問題 8
名前空間 test-system で実行されている nginx-pod という名前の既存の Pod を指定して、使用されている service-account-name を取得し、その内容を /candidate/KSC00124.txt に置きます。 名前空間 test-system に dev-test-role という名前の新しいロールを作成します。名前空間タイプのリソースに対して更新操作を実行できるシステム。
CKS 試験問題 9
既存の名前空間のデフォルトに backend-sa という名前の新しい ServiceAccount を作成します。これには、名前空間のデフォルト内のポッドを一覧表示する機能があります。
名前空間のデフォルトに backend-pod という名前の新しいポッドを作成し、新しく作成した sa backend-sa をポッドにマウントし、ポッドがポッドを一覧表示できることを確認します。
ポッドが実行されていることを確認します。
名前空間のデフォルトに backend-pod という名前の新しいポッドを作成し、新しく作成した sa backend-sa をポッドにマウントし、ポッドがポッドを一覧表示できることを確認します。
ポッドが実行されていることを確認します。
CKS 試験問題 10
準備された runsc という名前のランタイム ハンドラーを使用して、gvisor-rc という名前の RuntimeClass を作成します。
gVisor ランタイム クラスで実行するために、Namespace サーバーにイメージ Nginx のポッドを作成します。
gVisor ランタイム クラスで実行するために、Namespace サーバーにイメージ Nginx のポッドを作成します。