k8s学习-CKS真题-K8S安全策略PodSecurityPolicy

目录

  • 题目
  • 环境搭建
  • 解题
  • 参考


题目

Task
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。
查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。
注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。
你必须切换到 cluster 的 master 节点才能使用 Trivy。

环境搭建

下载trivy

https://github.com/aquasecurity/trivy/releases/tag/v0.34.0

安装
k8s学习-CKS真题-K8S安全策略PodSecurityPolicy_第1张图片
读者根据自己的操作系统版本安装即可。

创建命名空间和pod
命令

kubectl create ns kamino
kubectl run nginx --image=nginx -n kamino
kubectl run alpine --image=alpine:3.14 -n kamino

截图
k8s学习-CKS真题-K8S安全策略PodSecurityPolicy_第2张图片

解题

获取所有镜像
命令

kubectl get po -n kamino -o yaml | grep image:

截图
在这里插入图片描述
第一需要下载库(考试时不需要)
命令

trivy image -s "HIGH,CRITICAL" alphine:3.14

截图
k8s学习-CKS真题-K8S安全策略PodSecurityPolicy_第3张图片
之后添加–skip-update参数即可
命令

trivy image --skip-update -s "HIGH,CRITICAL" nginx:latest

结果

一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。

kubectl get pods -n kamino -o jsonpath='{range .items[*]}{.metadata.name}{"\t"}{range .spec.containers[*]}{.image}{"\n"}{end}{end}' | tr ' ' '\n' | sort -u | xargs -I {} trivy --skip-update --severity "HIGH,CRITICAL" {} | tee res.txt

删除pod命令

kubectl delete po xxx -n kamino

参考

github-trivy
更多k8s相关内容,请看文章:k8s学习-思维导图与学习笔记

你可能感兴趣的:(#,云原生安全,kubernetes,CKS,Pod)