K8S认证|CKS题库+答案| 7. Dockerfile 检测

目录

[7. Dockerfile 检测](#7. Dockerfile 检测)

[免费获取并激活 CKA_v1.31_模拟系统](#免费获取并激活 CKA_v1.31_模拟系统)

题目

开始操作:

1)、切换集群

[2)、修改 Dockerfile](#2)、修改 Dockerfile)

[3)、 修改 deployment.yaml](#3)、 修改 deployment.yaml)


7. Dockerfile 检测

免费获取并激活 CKA_v1.31_模拟系统

题目

您必须在以下Cluster/Node上完成此考题:

Cluster Master node Worker node

CKS00707 master node01

.

设置配置环境:

candidate@node01$ kubectl config use-context CKS00707

.

Task

.
分析和编辑给定的 Dockerfile /cks/docker/Dockerfile (基于 ubuntu:16.04 镜像),
并修复在文件中拥有的突出的安全/最佳实践问题的 两个指令
.
分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,
并修复在文件中拥有突出的安全/最佳实践问题的 两个字段
.
注意:请勿添加或删除配置设置;只需修改现有的配置设置让以上 两个 配置设置都不再有安全/最佳实践问题。
.
注意:如果您需要非特权用户来执行任何项目,请使用用户 ID 65535 的用户 nobody 。
.
只修改即可,不需要创建。

开始操作:

1)、切换集群

bash 复制代码
kubectl config use-context CKS00707

2)、修改 Dockerfile

bash 复制代码
vim /cks/docker/Dockerfile

指定稳定的镜像版本,一般lastest稳定性尚待验证

bash 复制代码
#修改基础镜像为题目要求的 ubuntu:16.04
FROM ubuntu:16.04

CKS模拟系统截图

将容器启动时的程序运行用户改成nobody低权限用户

bash 复制代码
#仅将 CMD 上面的 USER root 修改为 USER nobody,不需要改其他的 USER root。
USER nobody

CKS模拟系统截图

3)、修改 deployment.yaml

bash 复制代码
vim /cks/docker/deployment.yaml

更改labels

bash 复制代码
#emplate 里标签跟上面的内容不一致,所以需要将原先的 run: couchdb 修改为 app: couchdb
apiVersion: apps/v1
kind: Deployment
metadata:
  name: couchdb
  namespace: default
  labels:
    app: couchdb                                 #标签
    version: stable
spec:
  replicas: 1
  revisionHistoryLimit: 3
  selector:
    matchLabels:
      app: couchdb                               #标签
      version: stable
  template:
    metadata:
      labels:
        app: couchdb                             #标签,run: couchdb改为app: couchdb
        version: stable
    spec:
      containers:
      - name: couchdb

CKS模拟系统截图

更改Pod安全标准设置

bash 复制代码
#确保 'privileged': 为 False 
#确保'readonlyRootFilesystem': 为 True
#确保'runAsUser': 为 65535
...
 volumeMounts:
          - name: database-storage
            mountPath: /var/lib/database
        securityContext:
          {'capabilities': {'add': ['NET_BIND_SERVICE'], 'drop': ['all']}, 'privileged': False, 'readOnlyRootFilesystem': True, 'runAsUser': 65535}
        resources:
...

CKS模拟系统截图


CKA高仿真环境简单演示视频

相关推荐
阿里云大数据AI技术13 小时前
阿里云 EMR AI 助手正式发布:从问答工具到全栈智能运维助手
运维·人工智能
辉的技术笔记15 小时前
Dify 自部署为什么跑不动?6 层瓶颈诊断法教你定位
docker
阿里云云原生1 天前
研发视角的新突破:当 AI Coding 工具集成全域运维诊断,排查线上故障只需 3 分钟
云原生
SkyWalking中文站1 天前
认识 Horizon UI · 6/17:Trace 探索器
运维·监控·自动化运维
程序员老赵2 天前
Docker 部署 Redmine:老牌开源项目管理部署实测记录
docker·开源·团队管理
程序员老赵2 天前
服务器文件不想 SFTP 上传?Docker 跑个 File Browser,浏览器就能管理
服务器·docker·开源
火车叼位2 天前
写给初级开发者:SSL、SSH、HTTPS 与证书体系全解析
运维
小猿姐2 天前
唯品会大规模数据库云原生实践:基于 KubeBlocks 管理数千实例的统一运维之路
运维·elasticsearch·云原生
阿里云云原生3 天前
AgentTeams 和 Claude Tag 都进入群聊模式,是新范式还是新叙事?
云原生·agent
SkyWalking中文站3 天前
认识 Horizon UI · 5/17:3D 基础设施地图
运维·监控·自动化运维