当前位置: 首页 > news >正文

咨询服务公司网站建设天津西青区租房

news 2025/11/8 0:12:03
咨询服务公司网站建设,天津西青区租房,公共资源交易中心官网首页,纯静态网站seo最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于Admission。 Whats Admission Kubernetes Admission是Kubernetes集群中一种机制,用于控制和修改集群中的资源对象。它允许您在Kubernetes资源被创建、更新或删除之前,对资源…

最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于Admission。

What's Admission

Kubernetes Admission是Kubernetes集群中一种机制,用于控制和修改集群中的资源对象。它允许您在Kubernetes资源被创建、更新或删除之前,对资源做出预处理或修改。

Admission控制器运行在Kubernetes API服务器上,拦截所有传入的请求,并根据定义的策略对资源进行审查和修改。它可以用来实现各种强制策略,例如强制应用标准命名约定、强制资源配额或限制、自动注入辅助容器等。

Admission控制器可以使用多种方式实现,包括ValidatingAdmissionWebhook和MutatingAdmissionWebhook。ValidatingAdmissionWebhook用于对资源做出审查,例如校验资源的名称和标签是否符合规范。MutatingAdmissionWebhook则可以对资源进行修改,例如自动注入辅助容器。

通过使用Admission控制器,您可以增强Kubernetes的安全性、可靠性和一致性,并根据自己的需求对资源对象进行自定义处理。

Question 1

1. The cluster needs to be configured to scan incoming container images before running workloads. An image scanning service is already set up.

Modify the admission control configuration so that it will implicitly deny images, even if the image scanning service is unreachable. The global admission control configuration is at /etc/kubernetes/admission-control/admission-control.conf, and the specific configuration for the admission controller is at /etc/kubernetes/admission-control/imagepolicy.conf.

这段话的意思是需要对集群进行配置,以便在运行工作负载之前扫描传入的容器镜像。已经设置好了一个镜像扫描服务。要修改准入控制配置,使其在无法访问镜像扫描服务的情况下隐式拒绝镜像。全局准入控制配置位于/etc/kubernetes/admission-control/admission-control.conf,而准入控制器的具体配置位于/etc/kubernetes/admission-control/imagepolicy.conf。

Practice

1. 首先利用ssh切换到你的master节点上去

ssh k8s-control

2. 在k8s-control中根据提供的imagepolicy.conf所在位置进行编辑设置以下内容:

"defaultAllow": false

Question 2

Add the URL of the image scanning service to the kubeconfig used by the admission controller.

The service can be reached at https://acg.trivy.k8s.webhook:8090/scan

这句话的意思是将image扫描服务的URL添加到由准入控制器使用的kubeconfig中。该服务可以通过https://acg.trivy.k8s.webhook:8090/scan访问。

Practice

在提供的imagepolicy.conf文件你会发现有以下的一段:

      "kubeConfigFile": "/etc/kubernetes/admission-control/imagepolicy_backend.kubeconfig",

/etc/kubernetes/admission-control/imagepolicy_backend.kubeconfig这就是你的kubeconfig文件

你需要咋里面修改以下内容

server: https://acg.trivy.k8s.webhook:8090/scan

Question 3

In the kube-apiserver manifest, enable any admission control plugin(s) necessary to scan images.

There are two Pod manifests in /home/cloud_user on the CLI server. If your setup is working, no-vulns-pod.yml should pass image validation, while vulns-pod.yml should fail due to vulnerabilities.

这段话的意思是,在kube-apiserver的配置文件中启用任何必要的准入控制插件来扫描镜像。

在CLI服务器的/home/cloud_user目录中有两个Pod 文件。如果您的设置正常工作,no-vulns-pod.yml应该通过镜像验证,而vulns-pod.yml应该由于存在漏洞而失败。

Practice

在这里就是需要将ImagePolicyWebhook给应用到kube-apiserver中

我们需要在/etc/kubernetes/manifests/kube-apiserver.yaml文件中修改如下内容:

--enable-admissions-plugins=NodeRestriction,ImagePolicyWebhook

 验证

这里给我们在worker节点中提供了两个pod yml文件进行验证,我们可以利用kubectl create -f 来验证这两个pod,vulns-pod.yml将不会创建成功,no-vulns-pod.yml会创建成功

http://www.yayakq.cn/news/692114/

相关文章:

  • 淘宝有WordPress网站搭建吗北京装饰公司排行 2019
  • 合作社做网站有用吗seo sem推广
  • 西安 医疗网站建设广州营销网站制作
  • 苏州 规划建设局网站原生小程序是什么
  • python 网站开发实战常州网站建设案例
  • 学院网站建设工作会议如何上传到网站根目录
  • 织梦wap手机网站模板做网站的财务需求
  • 免费网站建设建议网络游戏名字
  • 航运网站建设计划书深圳龙华区福城街道
  • wordpress手机站h5优化在线crm网站
  • 网站创建多少年了wordpress注册会员无法收到邮件
  • 深圳整站全网推广销售方案怎么做
  • 网站制作中文版山东网站建设公司推荐
  • 双流区的规划建设局网站个人网站可以做咨询吗
  • 北京网站设计制作教程wordpress ajax 分页插件
  • 建设网站企业哪家好龙岗做网站哪里找
  • 网站上的图片做多大网站建设听取需求
  • 购买保险的网站seo关键词的优化技巧
  • 网站制作合同网站开发脚本语言和数据库
  • 网站建设与网页设计pptwordpress自动易语言
  • 河南浪博网站建设做网站后台的叫什么
  • 西安手机网站案例二手房地产中介网站建设
  • 小韩网站源码修改WordPress网站
  • 大连模板网站制作价格wordpress手机上打不开
  • 5118站长网站预装wordpress然后
  • 网站建设公司的排名怎么免费做文学网站
  • 三一国际网站设计eclipse tomcat 网站开发
  • 火炬开发区网站建设广州哪家公司做网站
  • 网站建设平台协议书模板下载做电影网站需多大的空间
  • 西安广告设计制作公司如何进行营销型企业网站的优化