무료 온라인 액세스 LinuxFoundation.CKS.v2022-09-06.q24 모의 시험 (Page 2)

CKS 문제 1

네임스페이스 스테이징의 포드가 동일한 네임스페이스에 있는 다른 포드의 포트 80에 연결할 수 있도록 하는 allow-np라는 네트워크 정책을 생성합니다.
네트워크 정책:-
1. 포트 80에서 수신 대기하지 않는 포드에 대한 액세스를 허용하지 않습니다.
2. 네임스페이스 스테이징이 아닌 Pod에서 액세스를 허용하지 않습니다.

CKS 문제 2

클러스터: 입학 클러스터
마스터 노드: 마스터
작업자 노드: 작업자1
다음 명령을 사용하여 클러스터/구성 컨텍스트를 전환할 수 있습니다.
[desk@cli] $ kubectl 구성 사용 컨텍스트 승인 클러스터
문맥:
컨테이너 이미지 스캐너가 클러스터에 설정되었지만 아직 클러스터 구성에 완전히 통합되지 않았습니다. 완료되면 컨테이너 이미지 스캐너는 취약한 이미지를 스캔하고 사용을 거부해야 합니다.
일:
모든 서비스와 파일이 준비되고 배치된 클러스터의 마스터 노드에서 전체 작업을 완료해야 합니다.
/etc/Kubernetes/config 디렉토리의 불완전한 구성과 HTTPS 끝점 https://imagescanner.local:8181/image_policy가 있는 기능적인 컨테이너 이미지 스캐너가 있는 경우:
1. 필요한 플러그인을 활성화하여 이미지 정책 생성
2. 제어 구성을 확인하고 암시적 거부로 변경합니다.
3. 제공된 HTTPS 끝점을 올바르게 가리키도록 구성을 편집합니다. 마지막으로 취약한 리소스 /home/cert_masters/test-pod.yml 배포를 시도하여 구성이 작동하는지 테스트합니다. 참고: 컨테이너 이미지 스캐너의 로그 파일은 다음 위치에서 찾을 수 있습니다. /var/log/policy/scanner.log

정답:

[master@cli] $ cd /etc/Kubernetes/config
1. 명시적으로 거부하도록 kubeconfig 편집
[master@cli] $ vim kubeconfig.json
"defaultAllow": false # false로 변경
2. ~/.kube/config에서 값을 가져와 서버 매개변수를 수정합니다.
[master@cli] $cat /etc/kubernetes/config/kubeconfig.yaml | 그렙 서버
섬기는 사람:
3. ImagePolicyWebhook 활성화
[master@cli] $ vim /etc/kubernetes/manifests/kube-apiserver.yaml
- --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook # 이것을 추가
- --admission-control-config-file=/etc/kubernetes/config/kubeconfig.json # 이 설명 추가
[desk@cli] $ ssh 마스터
[master@cli] $ cd /etc/Kubernetes/config
[master@cli] $ vim kubeconfig.json
{
"이미지 정책": {
"kubeConfigFile": "/etc/kubernetes/config/kubeconfig.yaml",
"허용 TTL": 50,
"거부TTL": 50,
"재시도백오프": 500,
"defaultAllow": true # 삭제
"defaultAllow": false # 이것을 추가
}
}

참고: 여기에서 누락된 값을 볼 수 있으므로 이 값을 어디서 얻을 수 있습니까?
[master@cli] $cat ~/.kube/config | 그렙 서버
또는
[master@cli] $cat /etc/kubernetes/manifests/kube-apiserver.yaml

[master@cli] $vim /etc/kubernetes/config/kubeconfig.yaml

[master@cli] $ vim /etc/kubernetes/manifests/kube-apiserver.yaml - --enable-admission-plugins=NodeRestriction # 삭제 - --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook # 추가 - -- Admission-control-config-file=/etc/kubernetes/config/kubeconfig.json # 이 참조 추가: https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/
- --enable-admission-plugins=NodeRestriction # 삭제
- --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook # 이것을 추가
- --admission-control-config-file=/etc/kubernetes/config/kubeconfig.json # 추가
[master@cli] $ vim /etc/kubernetes/manifests/kube-apiserver.yaml - --enable-admission-plugins=NodeRestriction # 삭제 - --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook # 추가 - -- Admission-control-config-file=/etc/kubernetes/config/kubeconfig.json # 이 참조 추가: https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/

CKS 문제 3

시뮬레이션
런타임 감지 도구 Falco를 사용하여 Nginx의 단일 컨테이너에서 새로 생성 및 실행 프로세스를 감지하는 필터를 사용하여 최소 20초 동안 컨테이너 동작을 분석합니다.
감지된 인시던트가 포함된 인시던트 파일 아트 /opt/falco-incident.txt를 저장합니다. 한 줄에 하나씩 형식으로
[타임스탬프],[uid],[프로세스 이름]

A. 이에 대한 피드백을 보내주십시오.

CKS 문제 4

컨테이너 이미지 스캐너가 클러스터에 설정됩니다.
디렉토리에 불완전한 구성이 주어졌을 때
/etc/kubernetes/confcontrol 및 HTTPS 끝점 https://test-server.local.8081/image_policy가 있는 기능적 컨테이너 이미지 스캐너

A. 1. 승인 플러그인을 활성화합니다.

CKS 문제 5

시뮬레이션
수신 및 송신 트래픽 유형의 모든 트래픽을 거부하는 네임스페이스 테스트에서 deny-all이라는 새 NetworkPolicy를 작성하십시오.

다른 버전: 427LinuxFoundation.CKS.v2025-12-12.q105; 759LinuxFoundation.CKS.v2025-05-19.q37; 749LinuxFoundation.CKS.v2024-03-01.q40; 1013LinuxFoundation.CKS.v2023-10-13.q39; 968LinuxFoundation.CKS.v2023-01-07.q26; 1156LinuxFoundation.CKS.v2022-02-01.q26

최근 업로드: 258ACAMS.CAMS.v2026-01-15.q822; 153Microsoft.GH-300.v2026-01-15.q65; 132NACE.NACE-CIP1-001.v2026-01-15.q34; 156Salesforce.MCE-Admn-201.v2026-01-14.q54; 155Salesforce.MC-101.v2026-01-14.q41; 162Google.Professional-Cloud-Architect.v2026-01-14.q101; 145RUCKUS.RCWA.v2026-01-14.q48; 140SOCRA.CCRP.v2026-01-14.q43; 130CompTIA.FC0-U71.v2026-01-13.q88; 192APICS.CPIM.v2026-01-13.q161