Kubernetes认证有哪些?
首先感谢尚硅谷的各位老师!本文是学习尚硅谷K8S的课程笔记,分享给大家。
本文主要介绍了Kubernetes认证的CKA和CKS两个认证,包括认证介绍和学习内容。
证书介绍: Linux Foundation开源软件学园-Linux_云技术_Kubernetes专业考试认证_K8s_CKA_CKS
Kubernetes认证官网介绍: Training
CKA-CKS学习途径推荐
视频课程
KubeSphere 官网、B站、Udemy …..…
GitHub
https:// github.com/kelseyhighto wer/kubernetes-the-hard-way
https:// github.com/kabary/kuber netes-cka/wiki
https:// github.com/walidshaari/ Kubernetes-Certified-Administrator
https:// github.com/walidshaari/ Certified-Kubernetes-Security-Specialist
CKS官方资源
Production-Grade Container Orchestration
https:// github.com/kubernetes
https:// github.com/kubernetes/
A Trivy: htps:// http:// aquasecurity.github.io/ trivy/Sysdig: https:// docs.sysdig.com/
Falco: The Falco Project
App Armor: https:// gitlab.com/apparmor/app armor/-/wikis/Documentation
练习实践
Katacodekillersh
公有云托管集群
minikube、kubeadm、kubekey .....
CKA学习途径推荐-知识点梳理
25%-集群架构,安装和配置
管理基于角色的访问控制(RBAC)
https:// kubernetes.io/docs/refe rence/access-authn-authz/rbac/
使用Kubeadm安装基本集群
设置基础架构以部署Kubernetes集群
https:// kubernetes.io/docs/setu p/production-environment/tools/kubeadm/create-cluster-kubeadm/
管理高可用性的Kubernetes集群
https:// kubernetes.io/docs/task s/administer-cluster/hihly-available-control-plane/
使用Kubeadm在Kubernetes集群上执行版本升级
etcd备份和还原
https:// kubernetes.io/docs/task s/administer-cluster/configure-upgrade-etcd/
15%-工作负载和调度
了解部署以及如何执行滚动更新和回滚
Deployments Perform a Rollback on a DaemonSet
使用ConfigMaps和Secrets配置应用程序
https:// kubernetes.io/docs/task s/configure-pod-container/configure-pod-configmap Secrets
https:// kubernetes.io/docs/task s/inject-data-application/distribute-credentials-secure/
了解如何扩容应用程序
https:// kubernetes.io/docs/tuto rials/kubernetes-basics/scale/scale-intro/
了解如何创建健壮的、自修复的应用程序部署
Using kubectl to Create a Deployment
了解Pod 资源限制
Resource Management for Pods and Containers
了解清单管理和通用模板工具
https:// kubernetes.io/docs/refe rence/kubectl/
20%-服务和网络
了解集群节点上的主机网络配置·理解Pods之间的连通性选择适当的容器网络插件
https:// kubernetes.io/docs/conc epts/cluster-administration/networking/
了解 ClusterlP、NodePortLoadBalancer服务类型和端点
了解如何使用Ingresscontrollers和Ingress
https:// kubernetes.io/docs/conc epts/services-networking/ingress/
了解如何配置和使用CoreDNS
https:// kubernetes.io/docs/task s/administer-cluster/coredns/
10%-存储
了解 storage classespersistentvolumes
了解 volume modeaccessmodes和卷回收策略
了解 persistent volume claims
https:// kubernetes.io/docs/conc epts/storage/storage-classes/ Volumes
https:// kubernetesio/docs/conce pts/storage/persistent-volumes/
了解如何为应用配置持久化存储
https:// kubernetes.io/docs/task s/configure-pod-container/configure-volume-storage/
30%-故障排除
查看集群和节点日志
管理容器标准输出和标准错误日志
https:// kubernetes.io/docs/conc epts/cluster-administration/logging
了解如何监视应用程序
https:// kubernetes.io/docs/task s/debug-application-cluster/resource-usage-monitoring https:// kubernetes.io/docs/task s/debug-application-cluster/resource-metrics-pipeline/
应用程序故障排除
https:// kubernetes.io/docs/task s/debug-application-cluster/
集群组件故障排除·网络故障排除
Using CoreDNS for Service Discovery
https:// kubernetes.io/docs/task s/debug-application-cluster/debug-cluster/
https:// kubernetes.io/docs/setu p/production-environment/tools/kubeadm/troubleshooting-kubeadm/
CKS学习途径推荐-知识点梳理
10%-集群安装
·使用网络安全策略来限制集群级别的访问·保护节点元数据和端点
https:// kubernetes.io/docs/conc epts/services-networking/network-policies
使用CIS 基准检查 Kubernetes组件(etcdkubeletkubednskubeapi)的安全配置
使用开源检测工具:kube-bench
正确设置带有安全控制的Ingress对象
https:// kubernetes.io/docs/conc epts/services-networking/ingress/
最小化GUI元素的使用和访问
https:// aithub.com/kubernetes/d ashboard/blob/master/docs/user/access-control/README.md
在部署之前验证平台二进制文件
https:// github.com/kubernetes/k ubernetes/releases
15%-集群强化
·限制访问KubernetesAPI
https:// kubernetes.io/docs/task s/administer-cluster/access-cluster-api/
Controlling Access to the Kubernetes API
Accessing the Kubernetes API from a Pod
使用基于角色的访问控制来最小化暴露(RBAC)
谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限
Configure Service Accounts for Pods
Kubernetes版本升级
15%-系统强化
最小化主机操作系统的大小(减少攻击面)
Securing a Cluster modules
最小化IAM角色
https:// kubernetes.io/docs/refe rence/access-authn-authz/rbac
最小化对网络的外部访问
loadbalancer-service
适当使用内核强化工具,如AppArmorseccomp
https:// kubernetes.io/docs/tuto rials/clusters/apparmor
https:// kubernetes.io/docs/tuto rials/clusters/seccomp/
https:// kubernetes.io/docs/tuto rials/clusters/apparmor/#securing-a-pod
Configure a Security Context for a Pod or Container
20%-微服务漏洞最小化
设置适当的 OS 级安全域,例如:PSPOPA,security contexts
https:// kubernetes.io/docs/conc epts/policy/pod-security-policy/
OPA Gatekeeper: Policy and Governance for Kubernetes
Configure a Security Context for a Pod or Container
管理 Kubernetes密钥
在多租户环境中使用沙箱容器运行时(例如gvisorkata容器)
使用mTLS实现Pod对Pod加密
Manage TLS Certificates in a Cluster
20%-供应链安全
最小化基础镜像
Top 20 Dockerfile best practices for security – Sysdig
将允许的镜像仓库加入白名单,对镜像进行签名和验证
工作负载静态分析(e.q.kubernetes resourcesdocker files)
https:// kubernetes.io/blog/2018 /07/18/11-waysnottogethacked/#7-statically-analyse-yam
扫描镜像,找出已知的漏洞
https:// github.com/aquasecurity /trivy#quick-start
20%-监控、日志记录和运行时安全
在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动
https:// kubernetes.io/docs/tuto rials/clusters/seccomp/
检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁。检测攻击的所有阶段,无论它发生在哪里,如何扩散
深入分析、调查和识别环境中异常行为。使用审计日志来监视访问
https:// kubernetes.io/docs/task s/debug-application-cluster/audit/
确保容器在运行时不变
https:// kubernetes.io/docs/conc epts/policy/pod-security-policy/
技巧方法总结
1.熟练使用的命令行工具善用-h/--help
kubectl/systemctl/journalctl
CKS:kube-bench/trivy/sysdig/strace/Isof
2.设置 kubectl 自动补全,尽量使用kubectl,避免手敲vaml
自动补全:source<(kubectl completion bash)
dry-run: kubectl--dry-run=client -o yaml
3.将重点内容文档整理至浏览器标签