目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
BackGround
安全审计发现某个Deployment有不合规的服务账号令牌,这可能导致安全漏洞。
Task
-
首先,修改monitoring namespace中现有的stats-monitor-sa ServiceAccount,以关闭API凭据自动挂载。
-
然后,修改monitoring namespace中现有的stats-monitor Deployment, 以注入装载在/var/run/secrets/kubernetes.io/serviceaccount/token的ServiceAccount令牌。
使用名为token的投射卷,来注入ServiceAccount令牌,并确保它以只读方式挂载。
部署的清单配置文件可以在以下位置找到:
~/stats-monitor/deployment.yaml
Practice
题目参考文档为: https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/
Step 1: 修改SA,关闭API凭据自动挂载
kubectl edit sa -n monitoring stats-monitor-sa
在yml文件的最后加入automountServiceAccountToken: false
这一段则代表,关闭API凭据自动挂载
Step 2:修改deployment挂载SA
vi deployment.yaml
添加以下标红内容,这个在我发的那个wiki里面可以找到,不需要特别记忆
修改完成后,执行下面的命令
kubectl apply -f deployment.yaml