目录题目环境搭建解题参考题目该cluster使用containerd作为CRI运行时。containerd的默认运行时处理程序是runc。containerd已准备好支持额外的运行时处理程序runsc(gVisor)。Task使用名为runsc的现有运行时处理程序，创建一个名为untrusted的RuntimeClass。更新namespaceserver中的所有Pod以在gVisor上运行。您可以在/cks/gVisor/rc.yaml中找到一个模版清单。环境搭建安装gVisor使用以下命令下载gvisor安装包：wgethttps://storage.googleapis.com/gvis

不等更新题库CKS题库1、kube-bench修复不安全项Context:针对kubeadm创建的cluster运行CIS基准测试工具时，发现了多个必须立即解决的问题。Task:通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。修复针对API服务器发现的所有以下违规行为：1.2.7Ensurethatthe--authorization-modeargumentisnotsettoAlwaysAllowFAIL1.2.8Ensurethatthe--authorization-modeargumentincludesNodeFAIL1.2.9Ensurethatthe--autho

题目k8sAppArmor访问控制Context:APPArmor已在cluster的工作节点node02上被启用。一w个APPArmor配置文件已存在，但尚未被实施。Task:在cluster的工作节点node02上，实施位于于/etc/apparmor.d/nginx_apparmor的现有APPArmor配置文件。编辑位于/cks/KSSH00401/nginx-deploy.yaml的现有清单文件以应用AppArmor配置文件。最后，应用清单文件并创建其中指定的Pod。注意：考试时，考题里已表明APPArmor在工作节点上，所以你需要ssh到开头写的工作节点上。在模拟环境，你需要ssh

题目 k8s审计日志AuditTask在cluster中启用审计日志。为此，请启用日志后端，并确保：日志存储在 /var/log/kubernetes/audit-logs.txt日志文件能保留 10 天最多保留 2 个旧审计日志文件/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。注意：基本策略位于cluster的master节点上。编辑和扩展基本策略以记录：RequestResponse级别的 persistentvolumes 更改namespace front-apps 中 configmaps 更改的请求体

题目k8s修复Dockerfile和Deployment修复Task分析和编辑给定的Dockerfile/cks/docker/Dockerfile（基于ubuntu:16.04镜像），并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。分析和编辑给定的清单文件/cks/docker/deployment.yaml，并修复在文件中拥有突出的安全/最佳实践问题的两个字段。注意：请勿添加或删除配置设置；只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。注意：如果您需要非特权用户来执行任何项目，请使用用户ID65535的用户nobody。只修改即可，不需要创建。参考Pod安全性

题目k8s集群镜像扫描ImagePolicyWebhookContextcluster上设置了容器镜像扫描器，但尚未完全集成到cluster的配置中。完成后，容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。Task注意：你必须在cluster的master节点上完成整个考题，所有服务和文件都已被准备好并放置在该节点上。给定一个目录/etc/kubernetes/epconfig中不完整的配置，以及具有HTTPS端点https://image-bouncer-webhook.default.svc:1323/image_policy的功能性容器镜像扫描器：启用必要的插件来创建镜像策略校验控制配置

题目：默认网络策略Context一个默认拒绝（default-deny）的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。Task为所有类型为 Ingress+Egress 的流量在namespace testing 中创建一个为 denypolicy 的新默认拒绝NetworkPolicy。此新的NetworkPolicy必须拒绝namespace testing 中的所有的 Ingress+Egress 流量。将新创建的默认拒绝NetworkPolicy应用在namespace testing 中运行的所有Pod。你可以在 /

题目：k8sKube-Bench不安全项修复Context:针对kubeadm创建的cluster运行CIS基准测试工具时，发现了多个必须立即解决的问题。Task:通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。修复针对API服务器发现的所有以下违规行为：1.2.7Ensurethatthe--authorization-modeargumentisnotsettoAlwaysAllow FAIL1.2.8Ensurethatthe--authorization-modeargumentincludesNode FAIL1.2.9Ensurethatthe--authorizat

前言：cka和cks认证真的比较恶心，他们的那个PSIBridgeSecureBrowser真的非常卡。吐槽完毕，不废话，直接上真题解析。CKS总共是16道题，题目顺序是打乱的，由于认证系统非常卡，因此，不建议使用官方文档，本文采用尽量避开官方文档的方式解析。注：考试使用的是kubernetes1.25，整个系统有N个kubernetes集群。一，kube-bench修复不安全项题目：Context针对kubeadm创建的cluster运行CIS基准测试工具时，发现了多个必须立即解决的问题。Task通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。修复针对API服务器发现的所有以下

题目k8s启用APIserver认证Context由kubeadm创建的cluster的KubernetesAPI服务器，出于测试目的，临时配置允许未经身份验证和未经授权的访问，授予匿名用户cluster-admin的访问权限。Task重新配置cluster的KubernetesAPl服务器，以确保只允许经过身份验证和授权的REST请求。使用授权模式Node,RBAC和准入控制器NodeRestriction。删除用户system:anonymous的ClusterRoleBinding来进行清理。注意：所有kubectl配置环境/文件也被配置使用未经身份验证和未经授权的访问。你不必更改它，但