푸잉이의 기술블로그

[Day14] Certified Kubernetes Administrator (CKA) with Practice Tests 본문

IT/Kubernetes

[Day14] Certified Kubernetes Administrator (CKA) with Practice Tests

data고수 2023. 1. 21. 05:53

165강 Service Accounts

 

Useer account

-administrator accessing the cluster

-perform administrative tasks

-developer accessing the cluster

-deploy applications 

 

service account

-application to interact with a kubernetes cluster

 

dashboard 생성

kubectl create serviceaccount dashboard-sa

 

dashboard 보기

kubectl get serviceaccount 

 - defaul 존재 

 - 토큰 자동으로 해당 pod에 mount 

dashboard 자세히 보기 

kubectl describe serviceaccount dashobards-sa

  - secret object 생성 

<순서>

service account 생성

올바른 권한 할당

역할 기반 제어 매커니즘 

default service account는 매우 제한적 

-> basic한 api queries에 운영되는 것이 허락됨

 

만약 다른 service account를 사용한다면, 생성한 service account에서 pod definitionfie service account를 수정하고, 

새로운 service account 이름도 명시

edit은 x pod을 재생성 or 제거 해야함

 

create token 권장

 

167강. Image security

image: nginx

-> Docker'simage naming convention

image: docker.io/library/nginx (registry/image/repository)

<private repository>

docker login private-registry.io

docker run private-registry.io/apps/internal-app

 

170강 pre-requisite-security in docker

Docker가 설치된 host

  - 여러 운영체제 프로세스

  - docker daemon, ssh server

docker run ubuntu sleep 3600

-> ubuntu docker container 작동 (1시간)

sleep process-> ps aux command에서 PID1  

<Linux Capabilities>

root user의 ability를 limit함 

docker run --cap-drop or add or privileaged MAC-ADMIN ubuntu

 

171강 security contexts

pods 안에 containers

-> container/pod레벨에서 security 셋팅 환경 설정  

user option으로 containers안에 

securitycontex: runasuser, cpabilites, add 작성

 

Comments