CKS 試験問題 36
シミュレーション
名前空間テスト内に Nginx-pod という名前のポッドを作成し、任意のイングレスを使用して nginx-svc という名前の Nginx-pod のサービスを作成し、tls のセキュア ポートでイングレスを実行します。
名前空間テスト内に Nginx-pod という名前のポッドを作成し、任意のイングレスを使用して nginx-svc という名前の Nginx-pod のサービスを作成し、tls のセキュア ポートでイングレスを実行します。
CKS 試験問題 37
コンテナ イメージ スキャナーがクラスター上にセットアップされます。
ディレクトリ内の構成が不完全である
/etc/kubernetes/confcontrol および HTTPS エンドポイント https://test-server.local.8081/image_policy を備えた機能的なコンテナ イメージ スキャナー
ディレクトリ内の構成が不完全である
/etc/kubernetes/confcontrol および HTTPS エンドポイント https://test-server.local.8081/image_policy を備えた機能的なコンテナ イメージ スキャナー
CKS 試験問題 38
シミュレーション
クラスターワーカーノードで、準備したAppArmorプロファイルを適用します。
#include <調整可能/グローバル>
プロファイル nginx-deny flags=(attach_disconnected) {
#include <抽象/ベース>
ファイル、
# すべてのファイル書き込みを拒否します。
/** を拒否します。
}
EOF'
準備したマニフェスト ファイルを編集して、AppArmor プロファイルを含めます。
APIバージョン: v1
種類: ポッド
メタデータ:
名前: apparmor-pod
仕様:
コンテナ:
- 名前: apparmor-pod
画像: nginx
最後に、マニフェスト ファイルを適用し、それに指定された Pod を作成します。
確認: 制限されているディレクトリ内にファイルを作成してみてください。
クラスターワーカーノードで、準備したAppArmorプロファイルを適用します。
#include <調整可能/グローバル>
プロファイル nginx-deny flags=(attach_disconnected) {
#include <抽象/ベース>
ファイル、
# すべてのファイル書き込みを拒否します。
/** を拒否します。
}
EOF'
準備したマニフェスト ファイルを編集して、AppArmor プロファイルを含めます。
APIバージョン: v1
種類: ポッド
メタデータ:
名前: apparmor-pod
仕様:
コンテナ:
- 名前: apparmor-pod
画像: nginx
最後に、マニフェスト ファイルを適用し、それに指定された Pod を作成します。
確認: 制限されているディレクトリ内にファイルを作成してみてください。
CKS 試験問題 39
構成を介してすべての問題を修正し、影響を受けるコンポーネントを再起動して、新しい設定が有効になるようにします。
API サーバーに対して見つかった次の違反をすべて修正します:- a. RotateKubeletServerCertificate 引数が true に設定されていることを確認します。
b. アドミッション コントロール プラグイン PodSecurityPolicy が設定されていることを確認します。
c. --kubelet-certificate-authority 引数が適切に設定されていることを確認します。
Kubelet に対して見つかった次の違反をすべて修正します:- a. --anonymous-auth 引数が false に設定されていることを確認します。
b. --authorization-mode 引数が Webhook に設定されていることを確認します。
ETCD に対して見つかった以下の違反をすべて修正します:-
a. --auto-tls引数がtrueに設定されていないことを確認する
b. --peer-auto-tls引数がtrueに設定されていないことを確認します。
ヒント: ツールKube-Benchを使用する
API サーバーに対して見つかった次の違反をすべて修正します:- a. RotateKubeletServerCertificate 引数が true に設定されていることを確認します。
b. アドミッション コントロール プラグイン PodSecurityPolicy が設定されていることを確認します。
c. --kubelet-certificate-authority 引数が適切に設定されていることを確認します。
Kubelet に対して見つかった次の違反をすべて修正します:- a. --anonymous-auth 引数が false に設定されていることを確認します。
b. --authorization-mode 引数が Webhook に設定されていることを確認します。
ETCD に対して見つかった以下の違反をすべて修正します:-
a. --auto-tls引数がtrueに設定されていないことを確認する
b. --peer-auto-tls引数がtrueに設定されていないことを確認します。
ヒント: ツールKube-Benchを使用する
CKS 試験問題 40
次のコマンドを使用して、クラスター/構成コンテキストを切り替えることができます: [desk@cli] $ kubectl config use-context qa コンテキスト: ServiceAccount の指定が間違っているため、ポッドの実行に失敗します タスク: 既存の名前空間 qa に backend-qa という名前の新しいサービス アカウントを作成します。このアカウントは、どのシークレットにもアクセスできないようにする必要があります。フロントエンド ポッドの yaml を編集して、backend-qa サービス アカウントを使用します 注: フロントエンド ポッドの yaml は、/home/cert_masters/frontend-pod.yaml にあります