CKS 문제 6
기존 네임스페이스 기본값에 backend-sa라는 새 ServiceAccount를 생성합니다. 이 서비스 계정에는 기본 네임스페이스 내부에 팟(Pod)을 나열할 수 있는 기능이 있습니다.
기본 네임스페이스에 backend-pod라는 새 포드를 생성하고 새로 생성된 sa backend-sa를 포드에 탑재하고 포드가 포드를 나열할 수 있는지 확인합니다.
Pod가 실행 중인지 확인합니다.
기본 네임스페이스에 backend-pod라는 새 포드를 생성하고 새로 생성된 sa backend-sa를 포드에 탑재하고 포드가 포드를 나열할 수 있는지 확인합니다.
Pod가 실행 중인지 확인합니다.
CKS 문제 7
런타임 감지 도구 Falco를 사용하여 Nginx의 단일 컨테이너에서 새로 생성 및 실행 프로세스를 감지하는 필터를 사용하여 최소 20초 동안 컨테이너 동작을 분석합니다.
CKS 문제 8
시뮬레이션
준비된 runsc라는 런타임 핸들러를 사용하여 untrusted라는 RuntimeClass를 만듭니다.
gVisor 런타임 클래스에서 실행되도록 기본 네임스페이스에서 이미지 alpine:3.13.2의 포드를 생성합니다.
확인: 포드를 실행하고 dmesg를 실행하면 다음과 같은 출력이 표시됩니다.
준비된 runsc라는 런타임 핸들러를 사용하여 untrusted라는 RuntimeClass를 만듭니다.
gVisor 런타임 클래스에서 실행되도록 기본 네임스페이스에서 이미지 alpine:3.13.2의 포드를 생성합니다.
확인: 포드를 실행하고 dmesg를 실행하면 다음과 같은 출력이 표시됩니다.
CKS 문제 9
시뮬레이션
준비된 runsc라는 런타임 핸들러를 사용하여 gvisor-rc라는 RuntimeClass를 만듭니다.
네임스페이스 서버에서 gVisor 런타임 클래스에서 실행할 이미지 Nginx의 포드를 만듭니다.
준비된 runsc라는 런타임 핸들러를 사용하여 gvisor-rc라는 RuntimeClass를 만듭니다.
네임스페이스 서버에서 gVisor 런타임 클래스에서 실행할 이미지 Nginx의 포드를 만듭니다.
CKS 문제 10
다음 클러스터/노드에서 이 작업을 완료해야 합니다.
클러스터: 추적
마스터 노드: 마스터
작업자 노드: 작업자1
다음 명령을 사용하여 클러스터/구성 컨텍스트를 전환할 수 있습니다.
[desk@cli] $ kubectl 구성 사용 컨텍스트 추적
주어진: Sysdig 또는 Falco 문서를 사용할 수 있습니다.
일:
탐지 도구를 사용하여 Pod tomcat에 속한 단일 컨테이너에서 이상한 것을 자주 생성하고 실행하는 프로세스와 같은 이상을 탐지합니다.
두 가지 도구를 사용할 수 있습니다.
1. 팔코
2. 시스템 디그
도구는 worker1 노드에만 사전 설치됩니다.
새로 생성 및 실행 프로세스를 감지하는 필터를 사용하여 최소 40초 동안 컨테이너의 동작을 분석합니다.
인시던트 파일을 /home/cert_masters/report에 다음 형식으로 저장합니다.
[타임스탬프],[uid],[프로세스 이름]
참고: 인시던트 파일은 클러스터의 작업자 노드에 저장해야 하며 마스터 노드로 옮기지 마십시오.
클러스터: 추적
마스터 노드: 마스터
작업자 노드: 작업자1
다음 명령을 사용하여 클러스터/구성 컨텍스트를 전환할 수 있습니다.
[desk@cli] $ kubectl 구성 사용 컨텍스트 추적
주어진: Sysdig 또는 Falco 문서를 사용할 수 있습니다.
일:
탐지 도구를 사용하여 Pod tomcat에 속한 단일 컨테이너에서 이상한 것을 자주 생성하고 실행하는 프로세스와 같은 이상을 탐지합니다.
두 가지 도구를 사용할 수 있습니다.
1. 팔코
2. 시스템 디그
도구는 worker1 노드에만 사전 설치됩니다.
새로 생성 및 실행 프로세스를 감지하는 필터를 사용하여 최소 40초 동안 컨테이너의 동작을 분석합니다.
인시던트 파일을 /home/cert_masters/report에 다음 형식으로 저장합니다.
[타임스탬프],[uid],[프로세스 이름]
참고: 인시던트 파일은 클러스터의 작업자 노드에 저장해야 하며 마스터 노드로 옮기지 마십시오.
