【从问题中去学习k8s】k8s中的常见面试题(夯实理论基础)(十)

  本站以分享各种运维经验和运维所需要的技能为主

《python零基础入门》:python零基础入门学习

《python运维脚本》: python运维脚本实践

《shell》:shell学习

《terraform》持续更新中:terraform_Aws学习零基础入门到最佳实战

《k8》从问题中去学习k8s

《docker学习》暂未更新

《ceph学习》ceph日常问题解决分享

《日志收集》ELK+各种中间件

《运维日常》运维日常

《linux》运维面试100问

《DBA》db的介绍使用(mysql、redis、mongodb...)

思考一下问题:

46、简述Kubernetes PodSecurityPolicy机制?

47、简述Kubernetes PodSecurityPolicy机制能实现哪些安全策略?

48、简述Kubernetes网络模型?

49、简述Kubernetes CNI模型?

50、简述Kubernetes网络策略?

参考答案:

46、简述Kubernetes PodSecurityPolicy机制?
Kubernetes PodSecurityPolicy是为了更精细地控制Pod对资源的使用方式以及提升安全策略。在开启
PodSecurityPolicy准入控制器后,Kubernetes默认不允许创建任何Pod,需要创建PodSecurityPolicy
策略和相应的RBAC授权策略(Authorizing Policies),Pod才能创建成功。

47、简述Kubernetes PodSecurityPolicy机制能实现哪些安全策略?
在PodSecurityPolicy对象中可以设置不同字段来控制Pod运行时的各种安全策略,常见的有:
特权模式:privileged是否允许Pod以特权模式运行。
宿主机资源:控制Pod对宿主机资源的控制,如hostPID:是否允许Pod共享宿主机的进程空间。
用户和组:设置运行容器的用户ID(范围)或组(范围)。
提升权限:AllowPrivilegeEscalation:设置容器内的子进程是否可以提升权限,通常在设置非root
用户(MustRunAsNonRoot)时进行设置。
SELinux:进行SELinux的相关配置。

48、简述Kubernetes网络模型?
Kubernetes网络模型中每个Pod都拥有一个独立的IP地址,并假定所有Pod都在一个可以直接连通的、
扁平的网络空间中。所以不管它们是否运行在同一个Node(宿主机)中,都要求它们可以直接通过对方
的IP进行访问。设计这个原则的原因是,用户不需要额外考虑如何建立Pod之间的连接,也不需要考虑
如何将容器端口映射到主机端口等问题。
同时为每个Pod都设置一个IP地址的模型使得同一个Pod内的不同容器会共享同一个网络命名空间,也就
是同一个Linux网络协议栈。这就意味着同一个Pod内的容器可以通过localhost来连接对方的端口。
在Kubernetes的集群里,IP是以Pod为单位进行分配的。一个Pod内部的所有容器共享一个网络堆栈
(相当于一个网络命名空间,它们的IP地址、网络设备、配置等都是共享的)。

49、简述Kubernetes CNI模型?
CNI提供了一种应用容器的插件化网络解决方案,定义对容器网络进行操作和配置的规范,通过插件的
形式对CNI接口进行实现。CNI仅关注在创建容器时分配网络资源,和在销毁容器时删除网络资源。在
CNI模型中只涉及两个概念:容器和网络。
容器(Container):是拥有独立Linux网络命名空间的环境,例如使用Docker或rkt创建的容器。容器
需要拥有自己的Linux网络命名空间,这是加入网络的必要条件。
网络(Network):表示可以互连的一组实体,这些实体拥有各自独立、唯一的IP地址,可以是容器、
物理机或者其他网络设备(比如路由器)等。
对容器网络的设置和操作都通过插件(Plugin)进行具体实现,CNI插件包括两种类型:CNI Plugin和
IPAM(IP Address Management)Plugin。CNI Plugin负责为容器配置网络资源,IPAM Plugin负责对
容器的IP地址进行分配和管理。IPAM Plugin作为CNI Plugin的一部分,与CNI Plugin协同工作。

50、简述Kubernetes网络策略?
为实现细粒度的容器间网络访问隔离策略,Kubernetes引入Network Policy。
Network Policy的主要功能是对Pod间的网络通信进行限制和准入控制,设置允许访问或禁止访问的客
户端Pod列表。Network Policy定义网络策略,配合策略控制器(Policy Controller)进行策略的实现。

 

你可能感兴趣的:(k8s,学习,kubernetes,容器)