当前位置：首页 > article >正文

[CKS] 执行Pod安全标准

article 2024/11/18 14:02:02

目前的所有题目为2024年10月后更新的最新题库，考试的k8s版本为1.31.1

BackGround

为了符合要求，所有用户命名空间都强制执行受限的Pod安全标准。

Task

在confidential namespace中包含一个不符合限制性的Pod安全标准的Deployment。因此，其Pod无法被调度。

修改这个Deployment以符合标准，并验证Pod可以正常运行。

部署的清单文件可以在 ~/nginx-unprivileged.yaml找到。

Practice

Step 1: 尝试部署deployment，查看其中问题

kubectl create -f nginx-unprivileged.yaml

通过这个命令我们可以可以看到有一段Warning

Warning: would violate PodSecurity "restricted:latest": allowPrivilegeEscalation != false (container "nginx" must set securityContext.allowPrivilegeEscalation=false), unrestricted capabilities (container "nginx" must set securityContext.capabilities.drop=["ALL"]), runAsNonRoot != true (pod or container "nginx" must set securityContext.runAsNonRoot=true), seccompProfile (pod or container "nginx" must set securityContext.seccompProfile.type to "RuntimeDefault" or "Localhost")

针对这个Warning，我们可以对资源做出以下修改

Step 2：修改Deployment

将deployment.yml文件中添加如下内容：

...
spec:
  template:
    spec:
      containers:
        securityContext:
          allowPrivilegeEscalation: false
          runAsNonRoot: true
          capabilities:
            drop: ["ALL"]
          seccompProfile:
            type: RuntimeDefault
...

应用更改

kubectl apply -f nginx-unprivileged.yaml

验证

kubectl get deployment nginx-unprivileged-deployment -n confidential

在这里插入图片描述

查看全文

http://www.kler.cn/a/398775.html

Minikube 上安装 Argo Workflow

Linux下多线程

ReactPress与WordPress：两大开源发布平台的对比与选择

vue+svg圆形进度条组件

《InsCode AI IDE：编程新时代的引领者》

新手教学系列——善用 VSCode 工作区，让开发更高效

酒水分销积分商城小程序开发方案php+uniapp

go module使用

使用win32com将ppt(x)文件转换为pdf文件

【windows】校园网AP隔离解决方案笔记-解决校内设备之间无法互相通信的臭毛病-附破解程序

CC2学习记录

Rust：原子操作大全

antdesign对话框输出html格式

RHCE的学习（21）

Nuget For Unity插件介绍

Hadoop的汽车销量数据分析系统

Linux 实现TCP并发服务器

大模型呼叫中心，如何建设呼入机器人系统？

Ceph后端两种存储引擎介绍

FreeRTOS学习13——任务相关API函数

《Django 5 By Example》阅读笔记：p76-p104

20.useMediaQuery

HTTP 请求方式

从零入门激光SLAM（二十三）——direct_visual_lidar_calibration全型号激光雷达-相机标定包

永磁同步电机负载估计算法--直接计算法

【C#】C#编程基础：探索控制台应用与数据操作