K8S认证|CKS题库+答案| 11. AppArmor

藥瓿亭2025-06-13 0:00

目录

[11. AppArmor](#11. AppArmor)

[免费获取并激活 CKA_v1.31_模拟系统](#免费获取并激活 CKA_v1.31_模拟系统)

题目

开始操作:

1)、切换集群

2)、切换节点

[3)、切换到 apparmor 的目录](#3)、切换到 apparmor 的目录)

[4)、执行 apparmor 策略模块](#4)、执行 apparmor 策略模块)

[5)、修改 pod 文件](#5)、修改 pod 文件)

6)、编辑yaml文件

7)、应用yaml

8)、检查执行情况

11. AppArmor

免费获取并激活 CKA_v1.31_模拟系统

题目

您必须在以下Cluster/Node上完成此考题:

Cluster Master node Worker node

CKS01111 master node01

.
设置配置环境:

candidate@node01$ kubectl config use-context CKS01111

.
Context
APPArmor 已在 cluster 的工作节点 node02 上被启用。一个 APPArmor 配置文件已存在,但尚未被实施。
.

Task

.
在cluster 的工作节点 node02 上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。
.
编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。
最后,应用清单文件并创建其中指定的 Pod 。

bash 复制代码 
参考连接:
https://kubernetes.io/zh-cn/docs/tutorials/security/apparmor/#example

开始操作:

1)、切换集群

bash 复制代码 
kubectl config use-context CKS01111

2)、切换节点

bash 复制代码 
ssh node02
sudo -i

3)、切换到 apparmor 的目录

bash 复制代码 
cd /etc/apparmor.d/
cat nginx_apparmor

查nginx_apparmor配置文件

bash 复制代码 
root@node02:/etc/apparmor.d# cat nginx_apparmor
#include <tunables/global>
#nginx-profile-3                                        #检查这一行是否存在 存在则注释掉
profile nginx-profile-3 flags=(attach_disconnected) {
  #include <abstractions/base>
  file,
  # Deny all file writes.
  deny /** w,
}

4)、执行 apparmor 策略模块

bash 复制代码 
apparmor_parser -q /etc/apparmor.d/nginx_apparmor
apparmor_status | grep nginx-profile-3

CKS模拟系统截图

5)、修改 pod 文件

bash 复制代码 
root@node02:~# exit
logout
candidate@node02:~$ exit
logout
Connection to node02 closed.
candidate@node01:/$

6)、编辑yaml文件

bash 复制代码 
vim /cks/KSSH00401/nginx-deploy.yaml

具体内容如下:

bash 复制代码 
#添加 annotations,kubernetes.io/podx 名字要和 containers 里的 name 一样,nginx-profile-3 为前面在 worker node02 上执行的 apparmor 策略模块的名字。

apiVersion: v1
kind: Pod
metadata:
  name: podx
  annotations:
    container.apparmor.security.beta.kubernetes.io/podx: localhost/nginx-profile-3
spec:
  containers:
  - image: nginx:1.16
    imagePullPolicy: IfNotPresent
    name: podx
    command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 5h" ]
    resources: {}
  nodeSelector:
    name: node02
  dnsPolicy: ClusterFirst
  restartPolicy: Always
status: {}

7)、应用yaml

bash 复制代码 
kubectl apply -f /cks/KSSH00401/nginx-deploy.yaml

8)、检查执行情况

bash 复制代码 
kubectl get pod
kubectl exec podx -- cat /proc/1/attr/current
kubectl exec podx -- touch /tmp/test

CKA高仿真环境简单演示视频

相关推荐
Jooolin2 小时前
从 DeepSeek、Qwen 到 GPT:一次企业级 AI 知识库项目的模型选型复盘
人工智能·云原生·ai编程
pixcarp3 小时前
知识库系统的内容资产闭环怎么设计
服务器·数据库·后端·golang
江畔柳前堤4 小时前
github实战指南01-账号配置与 SSH 密钥
运维·人工智能·深度学习·ssh·github·pyqt·信号处理
Moshow郑锴5 小时前
Ubuntu 26.04 中文输入法 : fcitx5+Rime中州韵引擎
linux·运维·ubuntu
莫名的好感°6 小时前
手机RAR解压怎么选?2026年二季度四款产品问答
服务器·网络·智能手机
皮皮蟹虾饺7 小时前
DNS协议指南:从报文格式到安全加密与 K8s 实战
安全·容器·kubernetes
小赖同学啊8 小时前
智能连接器集群化高可用生产方案
linux·运维·人工智能
wanghao6664558 小时前
DevOps 从入门到实践:构建高效交付流水线
运维·devops
阿里云云原生8 小时前
AI Agent 如何“驾驭”云监控?实测自然语言驱动的全链路可观测运维
云原生
qq_546937278 小时前
从“能用”到“超神”,DeepSeek++给网页版装上“大脑”和“手脚”,支持长期记忆、MCP工具与自动化任务!
运维·自动化
热门推荐
01HTTP 与 HTTPS 的区别:从原理到实战详解022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?032026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点062026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf07AI科技热点日报 | 2026年6月1日08《置身钉内》原文-可播放阅读09Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析10上线仅72小时被强制下架:Claude Fable 5 的短命