K8S认证|CKS题库+答案| 11. AppArmor

目录

[11. AppArmor](#11. AppArmor)

[免费获取并激活 CKA_v1.31_模拟系统](#免费获取并激活 CKA_v1.31_模拟系统)

题目

开始操作:

1)、切换集群

2)、切换节点

[3)、切换到 apparmor 的目录](#3)、切换到 apparmor 的目录)

[4)、执行 apparmor 策略模块](#4)、执行 apparmor 策略模块)

[5)、修改 pod 文件](#5)、修改 pod 文件)

6)、编辑yaml文件

7)、应用yaml

8)、检查执行情况


11. AppArmor

免费获取并激活 CKA_v1.31_模拟系统

题目

您必须在以下Cluster/Node上完成此考题:

Cluster Master node Worker node

CKS01111 master node01

.
设置配置环境:

candidate@node01\]$ kubectl config use-context CKS01111 . **Context** APPArmor 已在 cluster 的工作节点 node02 上被启用。一个 APPArmor 配置文件已存在,但尚未被实施。 . **Task** . 在cluster 的工作节点 node02 上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。 . 编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。 最后,应用清单文件并创建其中指定的 Pod 。


bash 复制代码
参考连接:
https://kubernetes.io/zh-cn/docs/tutorials/security/apparmor/#example

开始操作:

1)、切换集群

bash 复制代码
kubectl config use-context CKS01111

2)、切换节点

bash 复制代码
ssh node02
sudo -i

3)、切换到 apparmor 的目录

bash 复制代码
cd /etc/apparmor.d/
cat nginx_apparmor 

查nginx_apparmor配置文件

bash 复制代码
root@node02:/etc/apparmor.d# cat nginx_apparmor
#include <tunables/global>
#nginx-profile-3                                        #检查这一行是否存在 存在则注释掉
profile nginx-profile-3 flags=(attach_disconnected) {
  #include <abstractions/base>
  file,
  # Deny all file writes.
  deny /** w,
}

4)、执行 apparmor 策略模块

bash 复制代码
apparmor_parser -q /etc/apparmor.d/nginx_apparmor
apparmor_status | grep nginx-profile-3

CKS模拟系统截图

5)、修改 pod 文件

bash 复制代码
root@node02:~# exit
logout
candidate@node02:~$ exit
logout
Connection to node02 closed.
candidate@node01:/$ 

6)、编辑yaml文件

bash 复制代码
vim /cks/KSSH00401/nginx-deploy.yaml

具体内容如下:

bash 复制代码
#添加 annotations,kubernetes.io/podx 名字要和 containers 里的 name 一样,nginx-profile-3 为前面在 worker node02 上执行的 apparmor 策略模块的名字。

apiVersion: v1
kind: Pod
metadata:
  name: podx
  annotations:
    container.apparmor.security.beta.kubernetes.io/podx: localhost/nginx-profile-3
spec:
  containers:
  - image: nginx:1.16
    imagePullPolicy: IfNotPresent
    name: podx
    command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 5h" ]
    resources: {}
  nodeSelector:
    name: node02
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

7)、应用yaml

bash 复制代码
kubectl apply -f /cks/KSSH00401/nginx-deploy.yaml

8)、检查执行情况

bash 复制代码
kubectl get pod
kubectl exec podx -- cat /proc/1/attr/current
kubectl exec podx -- touch /tmp/test

CKA高仿真环境简单演示视频

相关推荐
Madison-No71 小时前
【Linux】gcc/g++编辑器 && 初识动静态库 && 程序翻译过程
linux·服务器
小白不想白a2 小时前
【shell】每日shell练习:安全日志入侵检测/系统配置文件合规检查
运维·服务器
洛克大航海3 小时前
Linux 中新建用户
linux·运维·服务器
三口吃掉你3 小时前
Docker安装Elasticsearch、kibana、IK分词器
elasticsearch·docker·kibana·ik分词器
dehuisun3 小时前
jenkins流水线部署springboot项目
运维·jenkins
fly五行4 小时前
Windows 系统下使用 Docker 安装 Milvus 向量数据库
windows·docker·milvus
爱宇阳4 小时前
离线环境下运行 Docker 容器编排指南
docker·容器·eureka
蜜蜜不吃糖4 小时前
解决Vcenter告警datastore存储容量不足问题
linux·运维·服务器
zzz.104 小时前
top命令的详解
linux·服务器·网络
东城绝神4 小时前
《Linux运维总结:基于ARM64+X86_64架构CPU使用docker-compose一键离线部署redis 7.4.5容器版分片集群》
linux·运维·redis·架构·分片集群