CKS 試験問題 1
シミュレーション
クラスタで監査ログを有効にするには、ログバックエンドを有効にし、
1. ログは /var/log/kubernetes/kubernetes-logs.txt に保存されます。
2. ログファイルは 5 日間保持されます。
3. 最大で 10 個の古い監査ログ ファイルが保持されます。
ログに記録するための基本ポリシーを編集および拡張します。
1. RequestResponse での Cronjobs の変更
2. デプロイメントの変更のリクエスト本文を名前空間 kube-system に記録します。
3. コアと拡張機能内の他のすべてのリソースをリクエスト レベルでログに記録します。
4. エンドポイントまたは「system:kube-proxy」による監視リクエストをログに記録しない
クラスタで監査ログを有効にするには、ログバックエンドを有効にし、
1. ログは /var/log/kubernetes/kubernetes-logs.txt に保存されます。
2. ログファイルは 5 日間保持されます。
3. 最大で 10 個の古い監査ログ ファイルが保持されます。
ログに記録するための基本ポリシーを編集および拡張します。
1. RequestResponse での Cronjobs の変更
2. デプロイメントの変更のリクエスト本文を名前空間 kube-system に記録します。
3. コアと拡張機能内の他のすべてのリソースをリクエスト レベルでログに記録します。
4. エンドポイントまたは「system:kube-proxy」による監視リクエストをログに記録しない
CKS 試験問題 2
クラスター: スキャナー
マスターノード: コントロールプレーン
ワーカーノード: ワーカー1
次のコマンドを使用して、クラスター/構成コンテキストを切り替えることができます。
[desk@cli] $ kubectl config 使用コンテキスト スキャナー
与えられた条件:
Trivy のドキュメントを使用できます。
タスク:
Trivy オープンソース コンテナ スキャナーを使用して、名前空間 nato 内の Pod によって使用される重大な脆弱性を持つイメージを検出します。
重大度が「高」または「重大」の脆弱性を持つイメージを探し、それらのイメージを使用するポッドを削除します。
Trivy はクラスターのマスター ノードにプリインストールされています。Trivy を使用するには、クラスターのマスター ノードを使用します。
マスターノード: コントロールプレーン
ワーカーノード: ワーカー1
次のコマンドを使用して、クラスター/構成コンテキストを切り替えることができます。
[desk@cli] $ kubectl config 使用コンテキスト スキャナー
与えられた条件:
Trivy のドキュメントを使用できます。
タスク:
Trivy オープンソース コンテナ スキャナーを使用して、名前空間 nato 内の Pod によって使用される重大な脆弱性を持つイメージを検出します。
重大度が「高」または「重大」の脆弱性を持つイメージを探し、それらのイメージを使用するポッドを削除します。
Trivy はクラスターのマスター ノードにプリインストールされています。Trivy を使用するには、クラスターのマスター ノードを使用します。
CKS 試験問題 3
次のコマンドを使用して、クラスター/構成コンテキストを切り替えることができます。
[desk@cli] $ kubectl config 使用コンテキスト dev
デフォルトで拒否される NetworkPolicy は、他の NetworkPolicy が定義されていない名前空間で Pod が誤って公開されることを回避します。
タスク: 名前空間 test に、Ingress + Egress タイプのすべてのトラフィックに対して、deny-network という名前の新しい default-deny NetworkPolicy を作成します。新しい NetworkPolicy は、名前空間 test 内のすべての Ingress + Egress トラフィックを拒否する必要があります。
新しく作成された default-deny NetworkPolicy を、名前空間 test で実行されているすべての Pod に適用します。
スケルトンマニフェストファイルは/home/cert_masters/network-policy.yamlにあります。
[desk@cli] $ kubectl config 使用コンテキスト dev
デフォルトで拒否される NetworkPolicy は、他の NetworkPolicy が定義されていない名前空間で Pod が誤って公開されることを回避します。
タスク: 名前空間 test に、Ingress + Egress タイプのすべてのトラフィックに対して、deny-network という名前の新しい default-deny NetworkPolicy を作成します。新しい NetworkPolicy は、名前空間 test 内のすべての Ingress + Egress トラフィックを拒否する必要があります。
新しく作成された default-deny NetworkPolicy を、名前空間 test で実行されているすべての Pod に適用します。
スケルトンマニフェストファイルは/home/cert_masters/network-policy.yamlにあります。
CKS 試験問題 4
シミュレーション
ランタイム検出ツール Falco を使用して、Nginx の単一コンテナ内で新しく生成および実行されているプロセスを検出するフィルターを使用して、コンテナの動作を少なくとも 20 秒間分析します。
検出されたインシデントを含むインシデントファイルart /opt/falco-incident.txtを保存します。1行に1つずつ、次の形式で保存します。
[タイムスタンプ],[uid],[プロセス名]
ランタイム検出ツール Falco を使用して、Nginx の単一コンテナ内で新しく生成および実行されているプロセスを検出するフィルターを使用して、コンテナの動作を少なくとも 20 秒間分析します。
検出されたインシデントを含むインシデントファイルart /opt/falco-incident.txtを保存します。1行に1つずつ、次の形式で保存します。
[タイムスタンプ],[uid],[プロセス名]
CKS 試験問題 5
このタスクは、次のクラスター/ノードで完了する必要があります。 クラスター: trace マスターノード: master ワーカーノード: worker1 次のコマンドを使用して、クラスター/構成コンテキストを切り替えることができます: [desk@cli] $ kubectl config use-context trace 条件: Sysdig または Falco のドキュメントを使用できます。 タスク: 検出ツールを使用して、Pod tomcat に属する単一のコンテナーでプロセスが頻繁に生成され、奇妙な何かを実行するなどの異常を検出します。 使用できるツールは 2 つあります。 1. falco 2. sysdig ツールは、worker1 ノードにのみプリインストールされています。 新しく生成および実行されているプロセスを検出するフィルターを使用して、コンテナーの動作を少なくとも 40 秒間分析します。 インシデントファイルを /home/cert_masters/report に次の形式で保存します: [timestamp],[uid],[processName] 注: インシデントファイルはクラスターのワーカーノードに保存し、マスターノードには移動しないでください。
