[desk@cli] $ k create sa backend-qa -n qa
sa/backend-qa 생성됨
[desk@cli] $ k 역할 가져오기, 역할 바인딩 -n qa
qa 네임스페이스에서 리소스를 찾을 수 없습니다.
[desk@cli] $ k create role backend -n qa --resource pods,namespaces,configmaps --verb list
# 비밀에 접근할 수 없음
[desk@cli] $ k create rolebinding backend -n qa --role backend --serviceaccount qa:backend-qa
[desk@cli] $ vim /home/cert_masters/frontend-pod.yaml
API 버전: v1
종류: 포드
메타데이터:
이름: 프론트엔드
투기:
serviceAccountName: backend-qa # 이것을 추가
이미지: nginx
이름: 프론트엔드
[desk@cli] $ k 적용 -f /home/cert_masters/frontend-pod.yaml
포드 생성
[desk@cli] $ k create sa backend-qa -n qa
serviceaccount/backend-qa 생성됨
[desk@cli] $ k 역할 가져오기, 역할 바인딩 -n qa
qa 네임스페이스에서 리소스를 찾을 수 없습니다.
[desk@cli] $ k create role backend -n qa --resource pods,namespaces,configmaps --verb list role.rbac.authorization.k8s.io/backend 생성
[desk@cli] $ k create rolebinding backend -n qa --role backend --serviceaccount qa:backend-qa rolebinding.rbac.authorization.k8s.io/backend 생성됨
[desk@cli] $ vim /home/cert_masters/frontend-pod.yaml
API 버전: v1
종류: 포드
메타데이터:
이름: 프론트엔드
투기:
serviceAccountName: backend-qa # 이것을 추가
이미지: nginx
이름: 프론트엔드
[desk@cli] $ k 적용 -f /home/cert_masters/frontend-pod.yaml 포드/프론트엔드 생성 https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/ pod/ 프론트엔드 생성
[desk@cli] $ k 적용 -f /home/cert_masters/frontend-pod.yaml 포드/프론트엔드 생성 https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/

API 서버에서 발견된 다음 위반 사항을 모두 수정하십시오.- a. RotateKubeletServerCertificate 인수가 true로 설정되었는지 확인하십시오.
API 버전: v1
종류: 포드
메타데이터:
생성 타임스탬프: null
라벨:
구성 요소: kubelet
계층: 컨트롤 플레인
이름: kubelet
네임스페이스: kube-system
투기:
컨테이너:
- 명령:
- kube 컨트롤러 관리자
+ - --feature-gates=RotateKubeletServerCertificate=true
이미지: gcr.io/google_containers/kubelet-amd64:v1.6.0
활성 프로브:
실패 임계값: 8
http받기:
호스트: 127.0.0.1
경로: /healthz
포트: 6443
체계: HTTPS
초기지연초: 15
시간 초과초: 15
이름: kubelet
자원:
요청:
CPU: 250m
volumeMounts:
- 마운트 경로: /etc/kubernetes/
이름: k8s
읽기 전용: 참
- 마운트 경로: /etc/ssl/certs
이름: 인증서
- 마운트 경로: /etc/pki
이름: pki
호스트 네트워크: 참
볼륨:
- 호스트 경로:
경로: /etc/kubernetes
이름: k8s
- 호스트 경로:
경로: /etc/ssl/certs
이름: 인증서
- 호스트 경로:
경로: /etc/pki
이름: pki
비. 승인 제어 플러그인 PodSecurityPolicy가 설정되어 있는지 확인하십시오.
감사: "/bin/ps -ef | grep $apiserverbin | grep -v grep"
테스트:
test_items:
- 플래그: "--enable-admission-plugins"
비교하다:
op: 있다
값: "PodSecurityPolicy"
설정: 참
교정: |
설명서에 따라 환경에 따라 Pod 보안 정책 개체를 생성합니다.
그런 다음 API 서버 포드 사양 파일 $apiserverconf를 편집합니다.
마스터 노드에서 --enable-admission-plugins 매개변수를 PodSecurityPolicy를 포함하는 값으로 설정합니다.
--enable-admission-plugins=...,PodSecurityPolicy,...
그런 다음 API 서버를 다시 시작하십시오.
득점: 사실
씨. --kubelet-certificate-authority 인수가 적절하게 설정되었는지 확인하십시오.
감사: "/bin/ps -ef | grep $apiserverbin | grep -v grep"
테스트:
test_items:
- 플래그: "--kubelet-certificate-authority"
설정: 참
교정: |
Kubernetes 문서를 따르고 apiserver와 kubelets 간의 TLS 연결을 설정하십시오. 그런 다음 API 서버 포드 사양 파일을 편집합니다.
마스터 노드에서 $apiserverconf를 만들고 --kubelet-certificate-authority 매개변수를 인증 기관의 인증서 파일 경로로 설정합니다.
--kubelet-certificate-authority=<ca-string>
득점: 사실
ETCD에 대해 발견된 다음 위반 사항을 모두 수정합니다.
ㅏ. --auto-tls 인수가 true로 설정되지 않았는지 확인하십시오.
마스터 노드에서 etcd 포드 사양 파일 $etcdconf를 편집하고 --auto-tls 매개변수를 제거하거나 false로 설정합니다. --auto-tls=거짓 b. --peer-auto-tls 인수가 true로 설정되지 않았는지 확인하십시오. 마스터 노드에서 etcd 포드 사양 파일 $etcdconf를 편집하고 --peer-auto-tls 매개변수를 제거하거나 false로 설정하십시오. --peer-auto-tls=거짓

kubectl을 사용하여 CSR을 만들고 승인합니다.
CSR 목록 가져오기:
kubectl은 CSR을 얻습니다.
CSR 승인:
kubectl 인증서 승인 myuser
인증서 받기
CSR에서 인증서를 검색합니다.
kubectl get csr/myuser -o yaml
다음은 john에게 NEW_CRD 리소스를 생성할 수 있는 권한을 부여하는 역할 및 역할 바인딩입니다.
kubectl apply -f roleBindingJohn.yaml --as=john
rolebinding.rbac.authorization.k8s.io/john_external-rosource-rb 생성 종류: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 메타데이터:
이름: john_crd
네임스페이스: Development-John
과목:
- 종류: 사용자
이름: 존
API 그룹: rbac.authorization.k8s.io
역할 참조:
종류: ClusterRole
이름: crd 생성
종류: ClusterRole
API 버전: rbac.authorization.k8s.io/v1
메타데이터:
이름: crd 생성
규칙:
- API 그룹: ["kubernetes-client.io/v1"]
자원: ["NEW_CRD"]
동사: ["만들기, 나열, 가져오기"]

[desk@cli] $ ssh 작업자1
[worker1@cli] $apparmor_parser -q /etc/apparmor.d/nginx
[worker1@cli] $aa 상태 | 그렙 nginx
nginx-프로필-1
[worker1@cli] $로그아웃
[desk@cli] $vim nginx-deploy.yaml
메타데이터 아래에 다음 줄을 추가합니다.
주석: # 이 줄을 추가합니다.
container.apparmor.security.beta.kubernetes.io/<컨테이너 이름>: localhost/nginx-profile-1
[desk@cli] $kubectl apply -f nginx-deploy.yaml
설명
[desk@cli] $ ssh 작업자1
[worker1@cli] $apparmor_parser -q /etc/apparmor.d/nginx
[worker1@cli] $aa 상태 | 그렙 nginx
nginx-프로필-1
[worker1@cli] $로그아웃
[desk@cli] $vim nginx-deploy.yaml

[desk@cli] $kubectl apply -f nginx-deploy.yaml pod/nginx-deploy 생성 참조: https://kubernetes.io/docs/tutorials/clusters/apparmor/ pod/nginx-deploy 생성
[desk@cli] $kubectl apply -f nginx-deploy.yaml pod/nginx-deploy 생성 참조: https://kubernetes.io/docs/tutorials/clusters/apparmor/

kubectl을 사용하여 CSR을 만들고 승인합니다.
CSR 목록 가져오기:
kubectl은 CSR을 얻습니다.
CSR 승인:
kubectl 인증서 승인 myuser
인증서 받기
CSR에서 인증서를 검색합니다.
kubectl get csr/myuser -o yaml
다음은 john에게 NEW_CRD 리소스를 생성할 수 있는 권한을 부여하는 역할 및 역할 바인딩입니다.
kubectl apply -f roleBindingJohn.yaml --as=john
rolebinding.rbac.authorization.k8s.io/john_external-rosource-rb 생성 종류: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 메타데이터:
이름: john_crd
네임스페이스: Development-John
과목:
- 종류: 사용자
이름: 존
API 그룹: rbac.authorization.k8s.io
역할 참조:
종류: ClusterRole
이름: crd 생성
종류: ClusterRole
API 버전: rbac.authorization.k8s.io/v1
메타데이터:
이름: crd 생성
규칙:
- API 그룹: ["kubernetes-client.io/v1"]
자원: ["NEW_CRD"]
동사: ["만들기, 나열, 가져오기"]