[CKS] K8S Admission Set Up
最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于Admission。
What's Admission
Kubernetes Admission是Kubernetes集群中一种机制,用于控制和修改集群中的资源对象。它允许您在Kubernetes资源被创建、更新或删除之前,对资源做出预处理或修改。
Admission控制器运行在Kubernetes API服务器上,拦截所有传入的请求,并根据定义的策略对资源进行审查和修改。它可以用来实现各种强制策略,例如强制应用标准命名约定、强制资源配额或限制、自动注入辅助容器等。
Admission控制器可以使用多种方式实现,包括ValidatingAdmissionWebhook和MutatingAdmissionWebhook。ValidatingAdmissionWebhook用于对资源做出审查,例如校验资源的名称和标签是否符合规范。MutatingAdmissionWebhook则可以对资源进行修改,例如自动注入辅助容器。
通过使用Admission控制器,您可以增强Kubernetes的安全性、可靠性和一致性,并根据自己的需求对资源对象进行自定义处理。
Question 1
1. The cluster needs to be configured to scan incoming container images before running workloads. An image scanning service is already set up.
Modify the admission control configuration so that it will implicitly deny images, even if the image scanning service is unreachable. The global admission control configuration is at /etc/kubernetes/admission-control/admission-control.conf, and the specific configuration for the admission controller is at /etc/kubernetes/admission-control/imagepolicy.conf.
这段话的意思是需要对集群进行配置,以便在运行工作负载之前扫描传入的容器镜像。已经设置好了一个镜像扫描服务。要修改准入控制配置,使其在无法访问镜像扫描服务的情况下隐式拒绝镜像。全局准入控制配置位于/etc/kubernetes/admission-control/admission-control.conf,而准入控制器的具体配置位于/etc/kubernetes/admission-control/imagepolicy.conf。
Practice
1. 首先利用ssh切换到你的master节点上去
ssh k8s-control2. 在k8s-control中根据提供的imagepolicy.conf所在位置进行编辑设置以下内容:
"defaultAllow": false
Question 2
Add the URL of the image scanning service to the kubeconfig used by the admission controller.
The service can be reached at https://acg.trivy.k8s.webhook:8090/scan
这句话的意思是将image扫描服务的URL添加到由准入控制器使用的kubeconfig中。该服务可以通过https://acg.trivy.k8s.webhook:8090/scan访问。
Practice
在提供的imagepolicy.conf文件你会发现有以下的一段:
"kubeConfigFile": "/etc/kubernetes/admission-control/imagepolicy_backend.kubeconfig",/etc/kubernetes/admission-control/imagepolicy_backend.kubeconfig这就是你的kubeconfig文件
你需要咋里面修改以下内容
server: https://acg.trivy.k8s.webhook:8090/scan
Question 3
In the kube-apiserver manifest, enable any admission control plugin(s) necessary to scan images.
There are two Pod manifests in /home/cloud_user on the CLI server. If your setup is working, no-vulns-pod.yml should pass image validation, while vulns-pod.yml should fail due to vulnerabilities.
这段话的意思是,在kube-apiserver的配置文件中启用任何必要的准入控制插件来扫描镜像。
在CLI服务器的/home/cloud_user目录中有两个Pod 文件。如果您的设置正常工作,no-vulns-pod.yml应该通过镜像验证,而vulns-pod.yml应该由于存在漏洞而失败。
Practice
在这里就是需要将ImagePolicyWebhook给应用到kube-apiserver中
我们需要在/etc/kubernetes/manifests/kube-apiserver.yaml文件中修改如下内容:
--enable-admissions-plugins=NodeRestriction,ImagePolicyWebhook
验证
这里给我们在worker节点中提供了两个pod yml文件进行验证,我们可以利用kubectl create -f 来验证这两个pod,vulns-pod.yml将不会创建成功,no-vulns-pod.yml会创建成功
相关文章:
[CKS] K8S Admission Set Up
最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于Admission。 Whats Admission Kubernetes Admission是Kubernetes集群中一种机制,用于控制和修改集群中的资源对象。它允许您在Kubernetes资源被创建、更新或删除之前,对资源…...
前端学习Day13 CSS盒子的定位(固定定位篇“附练习”)
一、固定定位 固定定位 (position:fixed)其实是绝对定位的子类别,一个设置了 position:fixed 的元素是相对于视窗固定的,就算页面文档发生了滚动,它也会一直待在相同的地方。 ⚠️:固定定位会脱离文档流。…...
Tomcat 启动卡住,日志显示 At least one JAR was scanned for TLDs yet contained no TLDs.
现象 Tomcat 启动后,控制台输出卡在了: At least one JAR was scanned for TLDs yet contained no TLDs. Enable debug logging for this logger for a complete list of JARs that were scanned but no TLDs were found in them. Skipping unneeded JA…...
计算机网络:网络层 —— 移动 IP 技术
文章目录 IPv6IPv6 的诞生背景主要优势IPv6引进的主要变化 IPv6数据报的基本首部IPv6数据报首部与IPv4数据报首部的对比 IPv6数据报的拓展首部IPv6地址IPv6地址空间大小IPv6地址的表示方法 IPv6地址的分类从IPv4向IPv6过渡使用双协议栈使用隧道技术 网际控制报文协议 ICMPv6ICM…...
useCrudSchemas
摘要: useCrudSchemas 不是一个标准的JavaScript或数据库操作库函数,也不是一个广泛认知的术语。它可能是某个特定项目或应用程序中定义的一个自定义函数或方法,用于简化CRUD(创建、读取、更新、删除)操作。 在Web开发…...
SpringBoot3集成Junit5
目录 1. 确保项目中包含相关依赖2. 配置JUnit 53. 编写测试类4、Junit5 新增特性4.1 注解4.2 断言4.3 嵌套测试4.4 总结 在Spring Boot 3中集成JUnit 5的步骤相对简单。以下是你可以按照的步骤: 1. 确保项目中包含相关依赖 首先,确保你的pom.xml文件中…...
【EMNLP2024】阿里云人工智能平台 PAI 多篇论文入选 EMNLP2024
近期,阿里云人工智能平台 PAI 的多篇论文在 EMNLP2024 上入选。论文成果是阿里云与华南理工大学金连文教授团队、复旦大学王鹏教授团队共同研发。EMNLP 是人工智能自然语言处理领域的顶级国际会议,聚焦于自然语言处理技术在各个应用场景的学术研究&#…...
Spark的Shuffle过程
一、Shuffle 的作用是什么? Shuffle 操作可以理解为将集群中各个节点上的数据进行重新整理和分类的过程。这一概念源自 Hadoop 的 MapReduce 模型,Shuffle 是连接 Map 阶段和 Reduce 阶段的关键环节。在分布式计算中,每个计算节点通常只处理任…...
Java+Swing可视化图像处理软件
JavaSwing可视化图像处理软件 一、系统介绍二、功能展示1.图片裁剪2.图片缩放3.图片旋转4.图像灰度处理5.图像变形6.图像扭曲7.图像移动 三、系统实现1.ImageProcessing.java 四、其它1.其他系统实现2.获取源码 一、系统介绍 该系统实现了图片裁剪、缩放、旋转、图像灰度处理、…...
RDD转换算子:【mapValues、mapPartitions】
文章目录 1、mapValues算子功能语法举例 2、mapPartitions算子功能语法举例 1、mapValues算子 功能 针对二元组KV类型的RDD,对RDD中每个元素的Value进行map处理,结果放入一个新的RDD中 语法 def mapValues(self: RDD[Tuple[K,V]], f: (V) -> U) -…...
数组和指针的复杂关系
C语言中指针和数组的关系似乎很“纠结”,让人爱恨交织。本文试图帮助读者理清它们之间的复杂关系! 数组名的理解 数组元素在内存中是连续存放的,在C语言中,数组名有特殊的含义,它表示数组首元素的地址。因此…...
Linux系统I/O调优实例
文章目录 一 、资源限制二、测试硬盘速度: 一 、资源限制 限制用户资源配置文件:/etc/security/limits.conf [rootxuegod63 ~]# vim /etc/security/limits.conf 每行的格式: 用户名/用户组名 类型(软限制/硬限制) 选项 值 通常我们在服务器…...
记录Ubuntu OS的异常
PS: 参加过408改卷的ZJU ghsongzju.edu.cn 开启嘲讽: 你们知道408有多简单吗,操作系统真实水平自己知道就行~~ dmesg dmesg 是一个用于显示内核环形缓冲区消息的命令,主要用于查看系统启动时的消息、驱动程序加载信息、硬件错误…...
Vue 3 单元测试与E2E测试
在Vue 3应用的开发过程中,测试是一个至关重要的环节。它不仅能够确保代码的正确性,还能在后续的代码重构和升级过程中提供安全保障。本文将深入探讨Vue 3的单元测试(Unit Testing)和端到端测试(End-to-End Testing, E2…...
猫用空气净化器哪个牌子好?求除毛好、噪音小的宠物空气净化器!
换毛季家里孩子不省心,疯狂掉落的猫毛和空气中乱飞的浮毛可把我折磨死了。每天下班都要抽出时间来清理,不然这个家就不能要了。猫毛靠我自己可以打扫,浮毛还得借助宠物空气净化器这种专业工具。所以我最近着手做功课,打算入手一台…...
第十九课 Vue组件中的方法
Vue组件中的方法 组件中的方法拓展与实例对象中的方法拓展类似 <div id"app"><test></test> </div> <script>Vue.component(test, {template: <input type"button" value"这是个按钮组件" click"fun()…...
【JavaScript】V8,Nodejs 与浏览器
V8 V8 是一个 JavaScript engine,负责编译并执行 JavaScript 源代码,处理对象的内存分配,并对不再需要的对象进行垃圾收集。 V8 包含两个主要组件: Memory Heap:负责存储分配。 Call Stack:代码执行时&am…...
内存马浅析
之前在jianshu上写了很多博客,但是安全相关的最近很多都被锁了。所以准备陆陆续续转到csdn来。内存马前几年一直是个很热门的漏洞攻击手段,因为相对于落地的木马,无文件攻击的内存马隐蔽性、持久性更强,适用的漏洞场景也更多。 J…...
聊一聊Elasticsearch的基本原理与形成机制
1、搜索引擎的基本原理 通常搜索引擎包括:数据采集、文本分析、索引存储、搜索等模块,它们之间的协作流程如下图: 数据采集模块负责采集需要搜索的数据源。 文本分析模块是将结构化数据中的长文本切分成有实际意义的词,这样用户…...
应急救援无人车:用科技守护安全!
一、核心功能 快速进入危险区域: 救援无人车能够迅速进入地震、火灾、洪水等自然灾害或重大事故的现场,这些区域往往对人类救援人员构成极大威胁。 通过自主导航和环境感知技术,无人车能够避开危险区域,确保自身安全的同时&…...
详解Java之Spring MVC篇二
目录 获取Cookie/Session 理解Cookie 理解Session Cookie和Session的区别 获取Cookie 获取Session 获取Header 获取User-Agent 获取Cookie/Session 理解Cookie HTTP协议自身是“无状态”协议,但是在实际开发中,我们很多时候是需要知道请求之间的…...
flutter鸿蒙next 使用 InheritedWidget 实现跨 Widget 传递状态
在 Flutter 中,状态管理是开发过程中一个至关重要的部分。Flutter 提供了多种方式来实现组件间的状态传递,其中一种比较底层的方式是使用 InheritedWidget。虽然 InheritedWidget 主要用于将数据传递给其子树中的小部件,但它也是许多更高级状…...
计算机的错误计算(一百四十六)
摘要 探讨 MATLAB 中正切函数 tan(x)、余切函数 cot(x) 关于 附近数的计算精度问题。 例1. 已知 计算 直接贴图吧: 另外,16位的正确值分别为 -0.7837941516239115e10、-0.1275845192169577e-9、0.4782331334117711e7 与 0.2091030357653982e-…...
国标GB28181视频平台EasyCVR私有化视频平台工地防盗视频监控系统方案
一、方案背景 在当代建筑施工领域,安全监管和防盗监控是保障工程顺利进行和资产安全的关键措施。随着科技进步,传统的监控系统已不足以应对现代工地的安全挑战。因此,基于国标GB28181视频平台EasyCVR的工地防盗视频监控系统应运而生…...
CUDA系统学习之一软件堆栈架构
一、CPU与GPU体系架构 计算单元分布 CPU: 少量强大的ALU(算术逻辑单元),通常4-8个核心GPU: 大量小型ALU,成百上千个计算核心特点:GPU更适合并行计算,可以同时处理大量数据控制单元(Control) CPU: 较大的控制单元,复杂的…...
SpringBoot项目中替换指定版本的tomcat
需求:项目使用的SpringBoot框架,因低版本的tomcat的有安全漏洞,根据安全要求需要将项目的tomcat版本升级到9.0.89以上版本。 解决办法: 1、在pom.xml中排除SpringBoot的默认tomcat依赖; <dependency><groupId…...
【5.10】指针算法-快慢指针将有序链表转二叉搜索树
一、题目 给定一个单链表,其中的 元素按升序排序 ,将其转换为 高度平衡的二叉搜索树 。 本题中,一个高度平衡二叉树是指一个二叉树每个节点的左右两个子树的高度差的绝对值不超过 1。 示例: 给定的有序链表: [ -10 , -3 , 0 , …...
机器学习—前向传播的一般实现
可以写一个函数来实现一个密集的层,那是神经网络的单层,所以定义稠密函数,它将上一层的激活作为输入以及给定层神经元的参数w和b。看下边图片所展示的例子,把所有这些权重向量堆叠成一个矩阵,wnp.array([[1,-3,5][2,4,…...
极狐GitLab 签约足下科技,加速国产智驾操作系统的发展与普及
客户背景 足下科技是一家致力于成为智能汽车软件平台、产品与服务领导者的高科技企业,成立于 2022年 3 月,总部位于深圳市。足下科技自主研发的智能驾驶操作系统 Earth 和 Air 工具链,协助OEM和Tier1厂商降低算法和软件开发难度,…...
20241102在荣品PRO-RK3566开发板的预置Android13下适配宸芯的数传模块CX6603N
20241102在荣品PRO-RK3566开发板的预置Android13下适配宸芯的数传模块CX6603N 2024/11/2 18:04 在WIN10使用程序:ViewLink-4.0.7_0708-windows-x64.exe 在荣品PRO-RK3566开发板的预置Android13下使用:ViewLink-2023_12_21-release-0.2.6.apk adb install…...