任務
注意:你必須在 cluster 的 master節點上完成整個考題,所有服務和文件都已被準備好並放置在該節點上。
給定一個目錄 /etc/kubernetes/epconfig中不完整的配置以及具有 HTTPS 端點 https://acme.local:8082/image_policy 的功能性容器鏡像掃描器:
1. 啓用必要的插件來創建鏡像策略
2. 校驗控制配置並將其更改爲隱式拒絕(implicit deny)
3. 編輯配置以正確指向提供的 HTTPS 端點
最後,通過嘗試部署易受攻擊的資源 /cks/img/web1.yaml 來測試配置是否有效。
你可以在/var/log/imagepolicy/roadrunner.log 找到容器鏡像掃描儀的日誌文件。
解題
- 修改/etc/kubernetes/epconfig/admission_configuration.json,將defaultAllow設置爲false
"defaultAllow": false
- 修改/etc/kubernetes/epconfig/kubeconfig.yml,添加webhook server地址
cluster:
certificate-authority: /path/to/ca.pem
server: https://acme.local:8082/image_policy # 增加該行
- 備份配置文件
mkdir -p /opt/backup/16
cp -f /etc/kubernetes/manifests/kube-apiserver.yaml /opt/backup/16
- 修改配置文件
- --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook #添加ImagePolicyWebhook
- --admission-control-config-file=/etc/kubernetes/epconfig/admission_configuration.json #添加配置文件路徑
- mountPath: /etc/kubernetes/epconfig #添加掛載,具體參考配置文件其他範例
name: epconfig
readOnly: true
- name: epconfig
hostPath:
path: /etc/kubernetes/epconfig
- 重啓kubelet並檢查
systemctl daemon-reload
systemctl restart kubelet
- 部署/cks/img/web1.yaml進行測試檢查
kubectl apply -f /cks/img/web1.yaml
參考
https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#imagepolicywebhook