k8s学习-CKS考试必过宝典

简介: k8s学习-CKS考试必过宝典

CKS考纲

集群安装:10%

使用网络安全策略来限制集群级别的访问

k8s学习-CKS真题-网络策略拒绝流量

使用CIS基准检查Kubernetes组件(etcd, kubelet, kubedns, kubeapi)的安全配置

k8s-CKS真题-CIS基准测试与安全扫描

正确设置带有安全控制的Ingress对象

保护节点元数据和端点

最小化GUI元素的使用和访问

在部署之前验证平台二进制文件

集群强化:15%

限制访问Kubernetes API

k8s学习-CKS真题-启用API Server认证,禁止匿名访问

使用基于角色的访问控制来最小化暴露

k8s学习-CKS真题-RoleBinding

谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限

k8s学习-CKS真题-Pod指定ServiceAccount

经常更新Kubernetes

系统强化:15%

最小化主机操作系统的大小(减少攻击面)

最小化IAM角色

最小化对网络的外部访问

k8s学习-CKS真题-网络策略精细化控制

适当使用内核强化工具,如AppArmor, seccomp

k8s学习-CKS真题-利用AppArmor进行应用行为限制

微服务漏洞最小化:20%

设置适当的OS级安全域,例如使用PSP, OPA,安全上下文

k8s-CKS真题-k8s安全策略PodSecurityPolicy

k8s学习-CKS真题-Context安全上下文

管理Kubernetes机密

k8s学习-CKS真题-secret创建、使用

在多租户环境中使用容器运行时 (例如gvisor, kata容器)

k8s学习-CKS真题-Runtime设置gVisor

使用mTLS实现Pod对Pod加密

k8s学习-CKS真题-TLS安全配置

供应链安全:20%

最小化基本镜像大小

保护您的供应链:将允许的注册表列入白名单,对镜像进行签名和验证

使用用户工作负载的静态分析(例如kubernetes资源,Docker文件)

k8s学习-CKS真题-Dockerfile和deployment优化

扫描镜像,找出已知的漏洞

k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描

k8s学习-CKS真题-Trivy扫描镜像安全漏洞

监控、日志记录和运行时安全:20%

在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动

k8s-CKS真题-故障排查Sysdig & falco

检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁

检测攻击的所有阶段,无论它发生在哪里,如何扩散

对环境中的不良行为者进行深入的分析调查和识别

确保容器在运行时不变

使用审计日志来监视访问

k8s学习-CKS真题-日志审计 log audit

报名

参考

k8s学习-CKA考试必过宝典

当时两个一起买的,两个券同时注册的

模拟考试

考试浏览器模拟

killercoda 60分钟场景

killer simulator

考试注意事项

考前

cks允许访问的资源更多,例如trivy falco等

https://docs.linuxfoundation.org/tc-docs/certification/certification-resources-allowed

其他注意事项参考k8s学习-CKA考试必过宝典

考中

k8s学习-CKA考试必过宝典类似

注意有事情需要离开座位和考官说,不然可能认定为可疑行为,直接停止考试了

考后

k8s学习-CKA考试必过宝典类似

考后24小时会收到结果,祝大家考试成功!!!

参考

CKS考纲

相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
2月前
|
存储 Kubernetes 持续交付
k8s学习
【10月更文挑战第1天】
101 4
|
2月前
|
Kubernetes 应用服务中间件 nginx
k8s学习--YAML资源清单文件托管服务nginx
k8s学习--YAML资源清单文件托管服务nginx
k8s学习--YAML资源清单文件托管服务nginx
|
2月前
|
Kubernetes 监控 测试技术
k8s学习--基于Ingress-nginx实现灰度发布系统
k8s学习--基于Ingress-nginx实现灰度发布系统
130 2
k8s学习--基于Ingress-nginx实现灰度发布系统
|
2月前
|
存储 Kubernetes 调度
|
2月前
|
Kubernetes API 调度
k8s学习--pod的所有状态详解(图例展示)
k8s学习--pod的所有状态详解(图例展示)
234 1
|
2月前
|
Kubernetes JavaScript 前端开发
k8s学习--chart包开发(创建chart包)
k8s学习--chart包开发(创建chart包)
127 1
|
2月前
|
Kubernetes 固态存储 调度
k8s学习--如何控制pod调度的位置
k8s学习--如何控制pod调度的位置
|
2月前
|
存储 Kubernetes 调度
k8s学习--k8s群集部署zookeeper应用及详细解释
k8s学习--k8s群集部署zookeeper应用及详细解释
106 0
|
2月前
|
Kubernetes 监控 测试技术
k8s学习--OpenKruise详细解释以及原地升级及全链路灰度发布方案
k8s学习--OpenKruise详细解释以及原地升级及全链路灰度发布方案
|
2月前
|
Kubernetes 关系型数据库 MySQL
k8s学习--利用helm部署应用mysql,加深helm的理解
k8s学习--利用helm部署应用mysql,加深helm的理解
288 0