目录
[10. Trivy 扫描镜像安全漏洞](#10. Trivy 扫描镜像安全漏洞)
[免费获取并激活 CKA_v1.31_模拟系统](#免费获取并激活 CKA_v1.31_模拟系统)
10. Trivy 扫描镜像安全漏洞
免费获取并激活 CKA_v1.31_模拟系统
题目
您必须在以下Cluster/Node上完成此考题:
Cluster Master node Worker node
CKS01010 master node01
.
设置配置环境:
candidate@node01$ kubectl config use-context CKS01010
.
Task
.
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。
查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。
.
注意:Trivy 仅安装在 cluster 的 master 节点上,
在工作节点上不可使用。
你必须切换到 cluster 的 master 节点才能使用 Trivy。
开始操作:
1)、切换集群
bash
kubectl config use-context CKS010102)、切换到master并提权
bash
ssh master
sudo -i3)、查看Pod和镜像对应关系
查看Pod
bash
kubectl get pod -n kaminoCKS模拟环境截图
查看Pod包含的镜像
bash
kubectl describe pod tri111 -n kamino | grep Image: | awk '{print $2}' CKS模拟环境截图
合并查看Pod与镜像的对应关系
bash
for Pod in `kubectl get pod -n kamino | grep Running | awk '{print $1}'`; do echo $Pod -- `kubectl describe pod $Pod -n kamino | grep Image: | awk '{print $2}' `; doneCKS模拟环境截图
4)、查看并去重镜像名称
bash
kubectl describe pod -n kamino | grep -i image: |awk '{print $2}' | sort -uCKS模拟环境截图
5)、扫描所有镜像,检查镜像安全性
bash
for i in `kubectl describe pod -n kamino | grep -i image: |awk '{print $2}' | sort -u`; do trivy -q image -s HIGH,CRITICAL $i | grep -iEB3 "HIGH:|CRITICAL:" ; doneCKS模拟环境截图,以下是扫出来有问题的镜像,为了安全不能在集群使用下列镜像
6)、删除Pod
删除使用问题镜像的Pod,并查看是否成功
bash
kubectl -n kamino delete pod tri111
kubectl -n kamino delete pod tri222
kubectl -n kamino delete pod tri333
kubectl get pod -n kaminoCKS模拟环境截图,使用问题镜像的Pod已被删除
CKA高仿真环境简单演示视频