CKS 문제 16
컨텍스트: 클러스터: prod 마스터 노드: master1 작업자 노드: worker1
다음 명령을 사용하여 클러스터/구성 컨텍스트를 전환할 수 있습니다.
[desk@cli] $ kubectl config use-context prod
작업: 주어진 Dockerfile(ubuntu:18:04 이미지 기반) /home/cert_masters/Dockerfile을 분석하고 편집하여 파일에 존재하는 두 가지 지침(중요한 보안/모범 사례 문제)을 수정합니다.
주어진 매니페스트 파일 /home/cert_masters/mydeployment.yaml을 분석하고 편집하여 파일에 존재하는 두 필드(보안/모범 사례 문제)를 수정합니다.
참고: 구성 설정을 추가하거나 제거하지 마십시오. 기존 구성 설정만 수정하여 두 구성 설정이 더 이상 보안/모범 사례 문제가 되지 않도록 하십시오. 작업에 권한이 없는 사용자가 필요한 경우 사용자 ID가 65535인 nobody 사용자를 사용하십시오.
다음 명령을 사용하여 클러스터/구성 컨텍스트를 전환할 수 있습니다.
[desk@cli] $ kubectl config use-context prod
작업: 주어진 Dockerfile(ubuntu:18:04 이미지 기반) /home/cert_masters/Dockerfile을 분석하고 편집하여 파일에 존재하는 두 가지 지침(중요한 보안/모범 사례 문제)을 수정합니다.
주어진 매니페스트 파일 /home/cert_masters/mydeployment.yaml을 분석하고 편집하여 파일에 존재하는 두 필드(보안/모범 사례 문제)를 수정합니다.
참고: 구성 설정을 추가하거나 제거하지 마십시오. 기존 구성 설정만 수정하여 두 구성 설정이 더 이상 보안/모범 사례 문제가 되지 않도록 하십시오. 작업에 권한이 없는 사용자가 필요한 경우 사용자 ID가 65535인 nobody 사용자를 사용하십시오.
CKS 문제 17
다음 명령을 사용하여 클러스터/구성 컨텍스트를 전환할 수 있습니다. [desk@cli] $ kubectl config use-context test-account 작업: 클러스터에서 감사 로그를 활성화합니다.
그렇게 하려면 로그 백엔드를 활성화하고 다음 사항을 확인하세요.
1. 로그는 /var/log/Kubernetes/logs.txt에 저장됩니다.
2. 로그 파일은 5일간 보관됩니다.
3. 최대 10개의 오래된 감사 로그 파일이 보관됩니다.
기본 정책은 /etc/Kubernetes/logpolicy/audit-policy.yaml에 제공됩니다. 로깅하지 않을 내용만 지정합니다. 참고: 기본 정책은 클러스터의 마스터 노드에 있습니다.
기본 정책을 편집하고 확장하여 다음을 기록합니다. 1. RequestResponse 수준에서 노드 변경 2. 네임스페이스 프런트엔드에서 persistentvolumes의 요청 본문 변경 3. 메타데이터 수준에서 모든 네임스페이스의 ConfigMap 및 Secret 변경 또한 메타데이터 수준에서 다른 모든 요청을 기록하는 포괄적인 규칙을 추가합니다. 참고: 수정된 정책을 적용하는 것을 잊지 마세요.
그렇게 하려면 로그 백엔드를 활성화하고 다음 사항을 확인하세요.
1. 로그는 /var/log/Kubernetes/logs.txt에 저장됩니다.
2. 로그 파일은 5일간 보관됩니다.
3. 최대 10개의 오래된 감사 로그 파일이 보관됩니다.
기본 정책은 /etc/Kubernetes/logpolicy/audit-policy.yaml에 제공됩니다. 로깅하지 않을 내용만 지정합니다. 참고: 기본 정책은 클러스터의 마스터 노드에 있습니다.
기본 정책을 편집하고 확장하여 다음을 기록합니다. 1. RequestResponse 수준에서 노드 변경 2. 네임스페이스 프런트엔드에서 persistentvolumes의 요청 본문 변경 3. 메타데이터 수준에서 모든 네임스페이스의 ConfigMap 및 Secret 변경 또한 메타데이터 수준에서 다른 모든 요청을 기록하는 포괄적인 규칙을 추가합니다. 참고: 수정된 정책을 적용하는 것을 잊지 마세요.
CKS 문제 18
다음 클러스터/노드에서 이 작업을 완료해야 합니다.클러스터: immutable-cluster 마스터 노드: master1 작업자 노드: worker1 다음 명령을 사용하여 클러스터/구성 컨텍스트를 전환할 수 있습니다.[desk@cli] $ kubectl config use-context immutable-cluster 컨텍스트: 컨테이너를 상태 비저장 및 불변으로 설계하는 것이 가장 좋습니다.작업: prod 네임스페이스에서 실행 중인 Pod를 검사하고 상태 비저장이 아니거나 불변이 아닌 모든 Pod를 삭제합니다.상태 비저장 및 불변에 대한 다음과 같은 엄격한 해석을 사용합니다.1. 컨테이너 내부에 데이터를 저장할 수 있는 Pod는 상태 비저장이 아닌 것으로 처리해야 합니다.참고: 데이터가 실제로 컨테이너 내부에 저장되어 있는지 여부에 대해 걱정할 필요가 없습니다.2. 어떤 식으로든 권한이 있도록 구성된 Pod는 잠재적으로 상태 비저장이 아니거나 불변이 아닌 것으로 처리해야 합니다.
CKS 문제 19
클러스터: qa-cluster
마스터 노드: master 워커 노드: worker1
다음 명령을 사용하여 클러스터/구성 컨텍스트를 전환할 수 있습니다.
[desk@cli] $ kubectl config use-context qa-cluster
일:
dev 네임스페이스에서 실행되는 Pod 제품에 대한 액세스를 제한하기 위해 restricted-policy라는 이름의 NetworkPolicy를 생성합니다.
다음 Pod만 Pod products-service에 연결하도록 허용합니다.
1. qa 네임스페이스의 Pod
2. 레이블 environment: stage가 있는 Pod, 모든 네임스페이스
마스터 노드: master 워커 노드: worker1
다음 명령을 사용하여 클러스터/구성 컨텍스트를 전환할 수 있습니다.
[desk@cli] $ kubectl config use-context qa-cluster
일:
dev 네임스페이스에서 실행되는 Pod 제품에 대한 액세스를 제한하기 위해 restricted-policy라는 이름의 NetworkPolicy를 생성합니다.
다음 Pod만 Pod products-service에 연결하도록 허용합니다.
1. qa 네임스페이스의 Pod
2. 레이블 environment: stage가 있는 Pod, 모든 네임스페이스
CKS 문제 20
시뮬레이션
런타임 감지 도구인 Falco를 사용하여 Nginx의 단일 컨테이너에서 새로 생성되고 실행되는 프로세스를 감지하는 필터를 사용하여 최소 20초 동안 컨테이너 동작을 분석합니다.
감지된 사고를 포함하는 사고 파일 art /opt/falco-incident.txt를 저장합니다. 한 줄에 하나씩, 형식:
[타임스탬프],[uid],[프로세스 이름]
런타임 감지 도구인 Falco를 사용하여 Nginx의 단일 컨테이너에서 새로 생성되고 실행되는 프로세스를 감지하는 필터를 사용하여 최소 20초 동안 컨테이너 동작을 분석합니다.
감지된 사고를 포함하는 사고 파일 art /opt/falco-incident.txt를 저장합니다. 한 줄에 하나씩, 형식:
[타임스탬프],[uid],[프로세스 이름]




