自学内容网 自学内容网
自学内容网 > 正文

[CKS] K8S Admission Set Up

🕗 发布于 2024-11-06 12:54 kubernetes  容器  云原生  

最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于Admission。

What's Admission

Kubernetes Admission是Kubernetes集群中一种机制,用于控制和修改集群中的资源对象。它允许您在Kubernetes资源被创建、更新或删除之前,对资源做出预处理或修改。

Admission控制器运行在Kubernetes API服务器上,拦截所有传入的请求,并根据定义的策略对资源进行审查和修改。它可以用来实现各种强制策略,例如强制应用标准命名约定、强制资源配额或限制、自动注入辅助容器等。

Admission控制器可以使用多种方式实现,包括ValidatingAdmissionWebhook和MutatingAdmissionWebhook。ValidatingAdmissionWebhook用于对资源做出审查,例如校验资源的名称和标签是否符合规范。MutatingAdmissionWebhook则可以对资源进行修改,例如自动注入辅助容器。

通过使用Admission控制器,您可以增强Kubernetes的安全性、可靠性和一致性,并根据自己的需求对资源对象进行自定义处理。

Question 1

1. The cluster needs to be configured to scan incoming container images before running workloads. An image scanning service is already set up.

Modify the admission control configuration so that it will implicitly deny images, even if the image scanning service is unreachable. The global admission control configuration is at /etc/kubernetes/admission-control/admission-control.conf, and the specific configuration for the admission controller is at /etc/kubernetes/admission-control/imagepolicy.conf.

这段话的意思是需要对集群进行配置,以便在运行工作负载之前扫描传入的容器镜像。已经设置好了一个镜像扫描服务。要修改准入控制配置,使其在无法访问镜像扫描服务的情况下隐式拒绝镜像。全局准入控制配置位于/etc/kubernetes/admission-control/admission-control.conf,而准入控制器的具体配置位于/etc/kubernetes/admission-control/imagepolicy.conf。

Practice

1. 首先利用ssh切换到你的master节点上去

ssh k8s-control

2. 在k8s-control中根据提供的imagepolicy.conf所在位置进行编辑设置以下内容:

"defaultAllow": false

Question 2

Add the URL of the image scanning service to the kubeconfig used by the admission controller.

The service can be reached at https://acg.trivy.k8s.webhook:8090/scan

这句话的意思是将image扫描服务的URL添加到由准入控制器使用的kubeconfig中。该服务可以通过https://acg.trivy.k8s.webhook:8090/scan访问。

Practice

在提供的imagepolicy.conf文件你会发现有以下的一段:

      "kubeConfigFile": "/etc/kubernetes/admission-control/imagepolicy_backend.kubeconfig",

/etc/kubernetes/admission-control/imagepolicy_backend.kubeconfig这就是你的kubeconfig文件

你需要咋里面修改以下内容

server: https://acg.trivy.k8s.webhook:8090/scan

Question 3

In the kube-apiserver manifest, enable any admission control plugin(s) necessary to scan images.

There are two Pod manifests in /home/cloud_user on the CLI server. If your setup is working, no-vulns-pod.yml should pass image validation, while vulns-pod.yml should fail due to vulnerabilities.

这段话的意思是,在kube-apiserver的配置文件中启用任何必要的准入控制插件来扫描镜像。

在CLI服务器的/home/cloud_user目录中有两个Pod 文件。如果您的设置正常工作,no-vulns-pod.yml应该通过镜像验证,而vulns-pod.yml应该由于存在漏洞而失败。

Practice

在这里就是需要将ImagePolicyWebhook给应用到kube-apiserver中

我们需要在/etc/kubernetes/manifests/kube-apiserver.yaml文件中修改如下内容:

--enable-admissions-plugins=NodeRestriction,ImagePolicyWebhook

 验证

这里给我们在worker节点中提供了两个pod yml文件进行验证,我们可以利用kubectl create -f 来验证这两个pod,vulns-pod.yml将不会创建成功,no-vulns-pod.yml会创建成功


原文地址:https://blog.csdn.net/agjllxchjy/article/details/143463375

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

  • 【机器学习导引】ch4-决策树

    信息熵的公式表示样本集合的无序程度,信息增益则衡量某个属性的划分能够降低多少无序程度。通常在决策树的构建中,会选择信息增益最大的属性进行划分。独立发生,它们的联合概率可以表示为各自概率的乘积,因此对应

    阅读更多2024-11-06
  • STM32——ADC

    12位ADC是一种逐次逼近型模拟数字转换器。它有多达18个通道,可测量16个外部和2个内部 信号源。各通道的A/D转换可以单次、连续、扫描或间断模式执行。ADC的结果可以左对齐或右 对齐方式存储在16

    阅读更多2024-11-06
  • conda进行本地环境打包和转移使用

    为实际的文件名和环境名,并且目标机器上的Conda路径与您打包时的机器路径相匹配(这里假设是Miniconda路径)。如果目标机器上没有安装Conda,您可能需要先安装Conda。来打包环境并不是一个

    阅读更多2024-11-06
  • 快速排序的深入优化——三路划分,内省排序(C语言)

    决定快排性能的关键点是每次单趟排序后,key对数组的分割,如果每次选key基本⼆分居中,那么快 排的递归树就是颗均匀的满⼆叉树,性能最佳。但是实践中虽然不可能每次都是⼆分居中,但是性能 也还是可控的。

    阅读更多2024-11-06
  • BuildCTF 2024 web

    subprocess.check_output可以执行系统命令 , 利用file传参的值进行一个命令执行, 绕过一下(在bp里面做的)审计一下代码, 直接利用给出的密钥生成role为admin的用户,

    阅读更多2024-11-06
  • SpringBoot在线教育系统:微服务架构

    同时,一个大型的计算机网站系统,必须有一个正确的设计指导思想,通过合理选择数据结构、网络结构、操作系统以及开发环境,构成一个完善的网络体系结构,才能充分发挥计算机信息管理的优势。网站设计的关键问题是外

    阅读更多2024-11-06
  • Stage模型开发指导

    Ability类型的Module: 用于实现应用的功能和特性。每一个Ability类型的Module编译后,会生成一个以.hap为后缀的文件,我们称其为HAP(Harmony Ability Pack

    阅读更多2024-11-06
  • 大模型面试题:目前大模型中的位置编码有哪些?

    它通过正弦和余弦函数的组合为每个位置创建编码,波长呈几何级数排列,使得每个位置的编码都是独特的,并且能够捕获位置之间的相对关系。公式如下: 其中,表示位置,代表embedding的维度,代表的是emb

    阅读更多2024-11-06
  • SpringBoot在线教育系统:多语言支持

    5系统详细实现5.1 普通管理员管理管理员可以对普通管理员账号信息进行添加修改删除操作。具体界面的展示如图5.1所示。图5.1 普通管理员管理界面5.2 课程管理员管理管理员可以对课程管理员进行添加修

    阅读更多2024-11-06
  • Python设计模式探究:单例模式实现及应用解析

    单例模式在需要管理全局状态或资源的场景中非常有用。然而,过度使用单例模式可能导致代码难以测试和维护,因此在使用单例模式时需要慎重考虑。总的来说,单例模式是一种常见的设计模式,可以帮助我们确保类只有一个

    阅读更多2024-11-06
自学内容网
Copyright © 2015-2024