人行-笔试准备

> 以下内容,均代表个人观点,欢迎交流~ ## 职业能力测试 ### 常识判断 ![image-20230218215939537](https://img2023.cnblogs.com/blog/1928790/202302/1928790-20230219185724933-173557524

Kubernetes 审计(Auditing)

Kubernetes 审计(Auditing),Kubernetes 审计简介,审计策略简介,引入审计,启用审计,记录审计阶段为:ResponseStarted,审计级别为Metadata,apiVersion为group: "" 的日志,只记录audit命名空间里的日志,只记录audit命名空间的...

Kubernetes容器生命周期 —— 钩子函数详解(postStart、preStop)

1、概述 容器生命周期钩子(Container Lifecycle Hooks)监听容器生命周期的特定事件,并在事件发生时执行已注册的回调函数。 钩子函数能够感知自身生命周期中的事件,并在相应的时刻到来时运行用户指定的程序代码。 kubernetes在主容器的启动之后和停止之前提供了两个钩子函数:

配置pod拉取harbor容器镜像仓库私有镜像:secret保存账号密码

配置pod拉取harbor容器镜像仓库私有镜像:secret保存账号密码,Docker-Registry类型的Secret简介,镜像仓库简介,搭建Harbor容器镜像仓库,安装Harbor,创建项目,推送镜像到harbor镜像仓库,使用secret保存harbor账号密码拉取私有仓库的镜像

使用Kubesec检查YAML文件安全

使用Kubesec检查YAML文件安全,YAML文件是Kubernetes配置的主要载体,因此,检查YAML文件的安全性对于确保Kubernetes集群的安全至关重要,Kubesec简介,使用Kubesec检查YAML文件安全,kubesec scan podyamlsafe.yaml

容器镜像安全:安全漏洞扫描神器Trivy

容器镜像安全:安全漏洞扫描神器Trivy,Trivy是一款由aquasecurity团队开发的容器镜像安全漏洞扫描工具,Trivy简介,Trivy漏洞扫描原理,CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,Trivy漏洞扫描原理简单来说就是:*...

人工智能大模型之开源大语言模型汇总(国内外开源项目模型汇总)

人工智能大模型之开源大语言模型汇总(国内外开源项目模型汇总) Large Language Model (LLM) 即大规模语言模型,是一种基于深度学习的自然语言处理模型,它能够学习到自然语言的语法和语义,从而可以生成人类可读的文本。 所谓"语言模型",就是只用来处理语言文字(或者符号体系)的 AI

准入控制器(Admission Controller):ResourceQuota,ImagePolicyWebhook

准入控制器(Admission Controller):ResourceQuota,ImagePolicyWebhook ,准入控制器简介,为什么需要准入控制器,启用/禁用ResourceQuota资源配额,查看默认启用/禁用的准入控制器插件,ResourceQuota资源配额示例,禁用Resour...

以沙箱的方式运行容器:安全容器Kata Containers

以沙箱的方式运行容器:安全容器Kata Containers,Kata Containers,安全容器,gVisor,Kata Containers 的本质,就是一个轻量化虚拟机,Gvisor与Kata区别对比,配置docker使用kata作为runtime,安装docker,安装kata,配置do...

详解Kubernetes Pod优雅退出

1、概述 Pod优雅关闭是指在Kubernetes中,当Pod因为某种原因(如版本更新、资源不足、故障等)需要被终止时,Kubernetes不会立即强制关闭Pod,而是首先尝试以一种“优雅”的方式关闭Pod。这个过程允许Pod中的容器有足够的时间来响应终止信号(默认为SIGTERM),并在终止前完成

以沙箱的方式运行容器:安全容器gvisor

以沙箱的方式运行容器:安全容器gvisor,安全容器隔离技术,Gvisor简介,容器runtime简介,docker容器缺陷,配置docker使用gVisor作为runtime,升级系统内核,安装gvisor,配置docker默认的runtime为gVisor,docker使用gVisor作为run...

OPA Gatekeeper:Kubernetes的策略和管理

OPA Gatekeeper:Kubernetes的策略和管理,在kubernetes上安装OPA Gatekeeper,gatekeeper规则,使用gatekeeper禁止某些网站的镜像创建pod,使用gatekeeper禁止创建LoadBalancer类型的Services服务,CustomR...

docker使用Open Policy Agent(OPA)进行访问控制

docker使用Open Policy Agent(OPA)进行访问控制,OPA 是一个开源的通用策略引擎,可以评估策略并做出决策,Rego 是一种用于编写策略的语言,是 OPA 的核心组成部分,docker安装OPA插件,启用OPA,OPA规则之允许docker所有操作,OPA规则之禁止docke...

Pod安全策略:PodSecurityPolicy(PSP)

Pod安全策略:PodSecurityPolicy(PSP),PodSecurityPolicy 简介,为什么需要 PodSecurityPolicy,启用PodSecurityPolicy(PSP),PSP规则之禁止创建特权用户pod,PSP规则之限定数据卷使用某一个目录,PSP规则之限定数据卷的...

使用sysdig查看容器里的系统调用

使用sysdig查看容器里的系统调用,sysdig -p "*%evt.num %evt.cpu %proc.name (%thread.tid) %evt.dir %evt.type %evt.args",sysdig -p "*%evt.time,%proc.name,%evt.type" ...

在kubernetes里使用seccomp限制容器的系统调用

在kubernetes里使用seccomp限制容器的系统调用,Secure Computing Mode,系统调用,使用seccomp限制docker容器系统调用,strace -fqc,SCMP_ACT_ALLOW,SCMP_ACT_LOG,SCMP_ACT_ERRNO,配置seccomp允许po...

在kubernetes里使用AppArmor限制容器对资源的访问

在kubernetes里使用AppArmor限制容器对资源的访问,AppArmor,强制访问控制(MAC),SELinux,使用AppArmor限制nginx程序访问目录,complain模式,enforce模式,aa-autodep,aa-logprof,aa-complain,aa-enforc...

删除不必要的内核模块

删除不必要的内核模块,lsmod,删除模块:modprobe -r i2c_piix4,加载模块:modprobe i2c_piix4 ,blacklist evbug

配置Ingress支持HTTPS访问(二):使用cert-manager申请证书

配置Ingress支持HTTPS访问(二):使用cert-manager申请证书,Kubernetes,Docker,Ubuntu ,Ingress,HTTPS,Let's Encrypt,cert-manager,CA,SSL/TLS证书,SSL/TLS证书,ClusterIssuer,Issue...

Kubernetes集群中配置Ingress支持HTTPS访问(一):cfssl

Kubernetes集群中配置Ingress支持HTTPS访问(一):cfssl ,Kubernetes,docker ,HTTPS,Ingress,对称加密,非对称加密,中间人攻击,CA,NodePort,LoadBalancer