푸잉이의 기술블로그
[Day14] Certified Kubernetes Administrator (CKA) with Practice Tests 본문
[Day14] Certified Kubernetes Administrator (CKA) with Practice Tests
data고수 2023. 1. 21. 05:53165강 Service Accounts
Useer account
-administrator accessing the cluster
-perform administrative tasks
-developer accessing the cluster
-deploy applications
service account
-application to interact with a kubernetes cluster
dashboard 생성
kubectl create serviceaccount dashboard-sa
dashboard 보기
kubectl get serviceaccount
- defaul 존재
- 토큰 자동으로 해당 pod에 mount
dashboard 자세히 보기
kubectl describe serviceaccount dashobards-sa
- secret object 생성
<순서>
service account 생성
올바른 권한 할당
역할 기반 제어 매커니즘
default service account는 매우 제한적
-> basic한 api queries에 운영되는 것이 허락됨
만약 다른 service account를 사용한다면, 생성한 service account에서 pod definitionfie service account를 수정하고,
새로운 service account 이름도 명시
edit은 x pod을 재생성 or 제거 해야함
create token 권장
167강. Image security
image: nginx
-> Docker'simage naming convention
image: docker.io/library/nginx (registry/image/repository)
<private repository>
docker login private-registry.io
docker run private-registry.io/apps/internal-app

170강 pre-requisite-security in docker
Docker가 설치된 host
- 여러 운영체제 프로세스
- docker daemon, ssh server
docker run ubuntu sleep 3600
-> ubuntu docker container 작동 (1시간)
sleep process-> ps aux command에서 PID1
<Linux Capabilities>
root user의 ability를 limit함
docker run --cap-drop or add or privileaged MAC-ADMIN ubuntu
171강 security contexts
pods 안에 containers
-> container/pod레벨에서 security 셋팅 환경 설정
user option으로 containers안에
securitycontex: runasuser, cpabilites, add 작성