Kubernetes、K8S CKS安全专家认证实践（24年新增K8S 1.30版部署内容）

Kubernetes、K8S CKS安全专家认证实践（24年新增K8S 1.30版部署内容） Kubernetes安全专家认证 CKS（Certified Kubernetes Security Specialist）是由云原生基金会(CNCF)推出的继 CKA 之后，业界备受关注的另一个高含金量的 K8S 认证，主要考察的就是如何排查及解决 Kubernetes 的安全隐患。Linux基金会的内容和社交媒体高级经理Dan Brown表示：“对于处理越来越多使用云技术的安全团队以及需要改善其安全性的云团队来说，这个认证至关重要”。 CKS 认证考试紧跟 Kubernetes 安全领域的最新发展趋势与最佳实践进行升级，以确保认证的 Kubernetes 安全专家（CKS）在构建、部署和运行期间拥有保护基于容器的应用程序和 Kubernetes 平台的广泛最佳实践的技能、知识和能力。无论你是第一次参加考试或是重考，只要在2024升级计划后参与考试，你将会参加最新版本的考试。 CKS 认证考试升级所涉及的考试领域将会产生下列变化？ CKS 考试中的权重(即集群设置、集群加固等)将保持不变，但请查看以下即将更新的测试的领域/ 能力(每个领域标题下方列出的一些添加/删除和更新的语言)以及几个领域的权重变化。这些变化反映了考生应该掌握的 Kubernetes 和云安全的最新知识。 CKS 真题分享 如何保护和强化容器镜像 在设计容器映像以运行您的代码时，请特别注意保护和强化措施，以防止黑客入侵和特权升级。在构建容器镜像时请记住以下几点：​ 使用特定的包版本，例如alpine:3.13.​ 不要以 root 身份运行 - 使用USER <username>来阻止 root 访问。​ securityContext在使用中使文件系统只读readOnlyRootFilesystem: true​ 使用删除 shell 访问RUN rm -rf /bin/*​ 如何最小化操作系统占用空间 容器层： 说明RUN、COPY和ADD创建容器层。其他指令创建临时中间图像并且不增加构建的大小。创建图层的说明会增加结果图像的大小。 典型的 Dockerfile 如下所示。RUN它使用指令添加单层。 多阶段构建 多阶段构建利用FROMDockerfile 中的多个语句。该FROM指令标志着构建的一个新阶段。它结合了多个FROM语句，允许利用以前的构建，以便有选择地将二进制文件复制到新的构建阶段，省略不必要的二进制文件。生成的 Docker 映像的大小要小得多，风险面也大大减少。​