当前位置：首页 > article >正文

CKS认证-kube-bench CIS 基准测试

article 2026/4/18 9:44:51

3. kube-bench CIS 基准测试问题Context针对 kubeadm 创建的 cluster 运行 CIS 基准测试工具时发现了多个必须立即解决的问题。Task通过配置修复所有问题并重新启动受影响的组件以确保新设置生效。修复针对 API服务器发现的所有以下违规行为:新版考试这个可能已经删除了这个题目这里我就不更新了怕误导大家下面答案中有相关实例大家可以参考一下:::info尽可能使用 Webhook 身份验证/授:::修复针对 etcd 发现的所有以下违规行为:正确答案注注注大意了啊这个模拟环境中没有这几个字段1、如果有–insecure-bind-address 这个字段答如果写了not set 不需要设置了那么你就直接删除即可不要去做修改哈谢谢2、–insecure-port参数设置为0答这个你就去题目中找到这个字段改为0就行。如果没有这个字段那么你就添加上修复针对 API服务器发现的所有以下违规行为:注意在修改已有文件前必须备份该文件防止修改有问题。需要备份到/tmp下别直接备份到相同路径下防止有问题。roothk8s-master01:~# cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/做下一题之前确保所有的 pod 都是 Running特别是 kube-apiserver-master01 也正常。考试时也要确保这个 apiserver 是正常的roothk8s-master01:~# cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/roothk8s-master01:~# vim /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/apiVersion: v1 kind: Pod metadata: labels: component: kube-apiserver tier: control-plane name: kube-apiserver namespace: kube-system spec: containers: - command: - kube-apiserver - --authorization-modeNode,RBAC##把AlwaysAllow改为Node和RBAC修复针对 Kubelet 发现的所有以下违规行为注意在修改文件之前一定要先备份备份备份。不要忘。。。千万不要在/etc/kubernetes/下备份可能会导致异常可以备份到/tmp 目录下。如果你找不到这个kubelet的配置文件你千万记住这个路径会告诉你这个文件的路径cat /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 中你也会看到 Environment“KUBELET_CONFIG_ARGS–config/var/lib/kubelet/config.yaml”。注大意了啊master和node都需要改kubelet的配置#注意webhook:cacheTTL: 0senabled: true这个字段可能默认没有需要自己添加考试的时候自己注意下roothk8s-master01:~# cp /var/lib/kubelet/config.yaml /tmproothk8s-master01:~# cd /var/lib/kubelet/roothk8s-master01:/var/lib/kubelet# vim config.yamlapiVersion: kubelet.config.k8s.io/v1beta1 authentication: anonymous:#修改 anonymous 下的将 true 改为 falseenabled:true#将 true 改为 falsewebhook: cacheTTL: 0s enabled:true#注意尽可能使用 Webhook 身份验证/授权。如果这里是false那你一定要修改为true否则和题目不对应了x509: clientCAFile: /etc/kubernetes/pki/ca.crt authorization:#修改 authorization 下的mode: Webhook#改为 Webhookwebhook:修复针对 etcd 发现的所有以下违规行为roothk8s-master01:~# cp /etc/kubernetes/manifests/etcd.yaml /tmproothk8s-master01:~# vim /etc/kubernetes/manifests/etcd.yaml1apiVersion: v12kind: Pod3metadata:7labels:8component: etcd9tier: control-plane10name: etcd11namespace: kube-system12spec:13containers:14- command:15- etcd18- --client-cert-authtrue#修改为 true编辑完后重新加载配置文件并重启 kubeletsystemctl daemon-reloadsystemctl restart kubelet查看状态上面这个结果是不行的必须等到下面查询结果出来之后才可以然后ssh 到从节点, 修改kubelet, 修改⽅法⼀样这一步骤待定不确定是否需要修改vim /var/lib/kubelet/config.yamlsystemctl daemon-reloadsystemctl restart kubelet

CKS认证-kube-bench CIS 基准测试

相关文章：

CKS认证-kube-bench CIS 基准测试

终极指南：3步为Windows 11 LTSC系统快速安装微软商店应用商店

如何快速部署Pravega流处理平台：完整安装与使用指南

Obsidian PDF导出终极指南：从新手到专家的完整解决方案

O-LIB高级使用技巧：自定义搜索参数、批量下载与云书架集成

别再对着.out文件发愁了！用Matlab H5read函数搞定gprMax数据读取（附完整代码）

UnrealPakViewer：三步掌握UE4 Pak文件分析工具，实现高效虚幻引擎资源管理

网盘下载速度革命：如何用开源工具突破8大平台限速瓶颈

实测对比：鲁班猫5跑YOLOv12，比树莓派5快多少？附性能优化小技巧

卷纱机PLC数据采集物联网解决方案

Calibre-Douban插件实战：高效获取豆瓣图书元数据的完整指南

AI视觉边缘设备部署优化：Jetson Orin 上 YOLOv8 + 相机 pipeline 全链路加速

Android系统开发深度解析：从驱动到优化与物联网应用

FigmaCN中文插件：终极指南让Figma设计更简单高效

告别虚拟机卡顿：在Windows上用WSL2搭建QNX开发环境（保姆级教程）

WarcraftHelper终极解决方案：5分钟让魔兽争霸3在Windows 11完美运行

如何在PDF中运行Linux？LinuxPDF虚拟输入输出系统的实现原理详解

从卫星照片到 actionable 信息：手把手拆解遥感图像解译的全流程与实战技巧

ParsecVDisplay终极指南：3个简单步骤搭建高性能Windows虚拟显示器

热键侦探：3分钟快速定位Windows快捷键冲突的终极指南

抖音内容高效下载与管理：douyin-downloader 实用指南

别再问多少钱一公里了！手把手教你拆解无人机倾斜摄影建模的真实成本（附Smart3D/DP-Smart实战避坑）

huatuo未来展望：从Unity到Godot引擎的技术演进路线

如何快速提升Vim代码可读性：indentLine插件的完整使用指南

一阶谓词逻辑：从理论基石到智能系统构建

Spyder 5新版本尝鲜指南：从界面汉化到高效调试，你的数据分析IDE该升级了

OBS StreamFX插件完全指南：如何用免费插件打造专业直播画面

tracetcp终极指南：免费TCP路由追踪工具快速上手

终极指南：如何用Codebox实现10+编程语言的智能开发与自动运行

千问3.5-9B数据库课程设计助手：从ER图到SQL语句智能生成