- 博客(633)
- 收藏
- 关注
RSS订阅
原创 CKS-CN 1.32考试之路----总
本专栏是针对考试真题拆解考试报名可以访问:https://training.linuxfoundation.cn/certificates/16参考前提: 考生必须有CKA证书且在有效期内.中文版考试日常价格为: 3,648.00.英文版日常价格:3,318.00.考试内容一致,只是便宜的没有中文监考.约考前可以先去google搜下打折券,一般会有6-8折券.黑色星期5时候会有对折券,也会有CKA+CKS捆绑优惠.当然也有CKA+CKS+CKAD的捆绑甚至于5门捆绑券考试方式:线上考试。
2025-07-02 16:12:42
752
原创 Cilium动手实验室: 精通之旅---免费获取所有33个credly Cilium徽章
目前备考CCA(Cilium Certified Associate).在学习和备考的过程中发现,通过完成LAB可以免费获取credly的徽章.无疑这是一举两得的事情.我是个徽章收集爱好者.那么就开始边学习边收集徽章的学习之路吧.不得不说这些实操的Lab还是有一定难度的.通过16个渐进式实验掌握Cilium的核心能力,每个Lab完成将解锁专属徽章。每10个徽章能多领一个成就徽章。(后续还会增加)如果只为了徽章,可以只看每篇文章最后一章的最终实验,复制我的代码提交即可获取到对应徽章.
2025-06-03 10:04:29
573
原创 红帽考试全解析
接触红帽考试已经10多个年头了.目前是Level 6,先后考了10门RHCA课程另外有4门是仅学习但还没有参加考试.下面我和大家分享一下,我理解的红帽考试和学习方法.红帽考试主要分为3个等级RHCSA,RHCE,RHCA以下是我参加过的考试课程号学习难度实用程度考题数量考试难度3584521537425170447(已无法考)251702103318326033153280331033162213243623。
2025-04-16 12:41:33
944
原创 Istio ICA考试之路----总
从21年初开始接触学习istio24年3月开始准备ICA考试24年4月ICA考试经历大概由选择题变为实操题24年5月18日完成ICA考试,19日收到通过邮件Istio整个学习过程大概200个小时左右.准备考试大概40个小时左右.啥也不说上图。
2024-05-20 09:41:38
2081
2
原创 RHCA礼品领取步骤
考过RHCA的5门课程后会收到5份单科+1份RHCA电子证书.其实还有一份玻璃证书+笔记本A面贴纸+红帽ID号短袖T恤可以领取.领取地址如下: http://redhat.brandfuel.com在第一框内填写红帽ID就是考试时填写的9位id号,每3位用-分割第二个框填写姓,就是证书上第二个空格进入官网后在右上角有个链接可以点进去,我之前点掉了现在就看不到了,就是红框位置.
2023-09-28 08:48:02
1635
8
原创 Kind部署metrics-server报错: Readiness probe failed: HTTP probe failed with statuscode: 500修复
至此Readiness probe failed: HTTP probe failed with statuscode: 500问题修复。修改components.yaml中以下2行内容,–kubelet-insecure-tls默认不存在需要加上。此时查看metrics是否已经生效。再次确认pod状态及日志。
2025-07-15 13:34:47
192
原创 CKS-CN考试之路----16
确认system:anonymous clusterrolebinding。至此CKS 1.32所有16题全部完成.删除system:anonymous。
2025-07-02 15:37:37
72
原创 CKS-CN考试之路----15
容器镜像策略 ImagePolicyWebhook2. 解题2.1 切换环境2.2 配置Image Policy2.3 配置kube-config2.4 配置kube-apiserver重启服务等待kube-apiserver这个pod正常和预期一样,使用latest作为tag的镜像被拒绝使用.3. 验证测试脚本测试
2025-07-02 15:27:04
154
原创 CKS-CN考试之路----14
此时命名空间所在的pods中已经附加了istio sidecar。确认peerauthentications正确创建。此时sidecar还没有注入。确认sidecar被正确注入。按题意修改命名空间名字。
2025-07-02 13:30:01
199
原创 CKS-CN考试之路----13
用id命令查看,用gpasswd -d删除,最后再次确认developer不再含有docker组。重启docker.socket和docker.service。获取docker.service的路径。
2025-07-02 13:04:55
215
原创 CKS-CN考试之路----11
显然是alpine-b的镜像有libcrypto3-3.1.4-r5。新版本发布老版本会被回收,此时pod只剩下2个container。我们依次测试是哪个镜像里包含libcrypto3。可以看到alpine的pod有3个副本.
2025-07-02 12:41:01
207
原创 CKS-CN考试之路----10
获取当前系统下1.32.2具体版本。这2段效果一模一样.喜欢哪个用哪个。确认node02节点版本。升级版本----装B版。升级版本----平民版。
2025-07-02 11:09:57
166
原创 CKS-CN考试之路----08
没有报错就是配置正确,如果报错检查"true"是否带了双引号。确认ingress是否被正常创建并获取到了ip地址。查看prod02命名空间下的资源信息。显然服务也是被正常解析到了.老规矩先获取到样例文件。
2025-07-02 10:07:23
216
原创 CKS-CN考试之路----07
打开官网:https://kubernetes.io/docs/concepts/services-networking/network-policies/#default-deny-all-ingress-traffic。应用配置没有报错就可以.如果有报错就根据报错内容对对应项进行修改。显然,apline命名空间是无法访问到data/nginx的。测试alpine的容器是否可以访问data/nginx。常见prod容器用来测试访问data中的容器,并应用。创建data中可被访问的容器。
2025-07-02 09:50:09
568
原创 CKS-CN考试之路----06
根据文档和题意修改/etc/kubernetes/manifests/kube-apiserver.yaml。编辑/etc/kubernetes/logpolicy/sample-policy.yaml。如果文件存在那么说明大致没什么问题了.日志审计 log audit。重启kubelet使配置生效。再次确认集群状态正常。
2025-06-30 13:32:15
249
原创 CKS-CN考试之路----05
正常来说没有报错就没什么大问题,有报错一般就是追加的那几行对齐有问题,或者是tab不是空格模式.安全上下文 Container Security Context。编辑sec-ns_deployment.yaml。
2025-06-30 13:09:04
170
原创 CKS-CN考试之路----04
根据上面信息我们知道,这个pod运行在default命名空间下,pod名字为cpu-77cd5ddcbf-bvb8w。可以从/etc/falco/falco_rules.yaml中获得相关内容,大概在文件的460行左右.编辑/etc/falco/falco_rules.local.yaml。7c688a8bfd69即是我们想要获得的docker id。将行为不当 Pod 的 Deployment 缩放为零副本。根据我们刚才定义的rule生成报告。访问/dev/mem 的 Pod。那么如果考试记不住怎么办?
2025-06-30 12:52:48
197
原创 CKS-CN考试之路----03
这题不需要去生成image和生成deployment所以只需要去检测对应的值即可。编辑/cks/docker/Dockerfile,修改最后第二行的值。编辑/cks/docker/deployment.yaml。
2025-06-30 11:17:38
430
原创 CKS-CN考试之路----02
其实我们根据题目也可以知道秘钥是叫clever-cactus。稍作等待后,确认pod的状态,如果是1/1基本就没问题了。这步不一定做.目的是确定秘钥的名字。
2025-06-30 11:01:19
206
原创 CKS-CN考试之路----01
练习时候方便我们做题和检测,我们开2个窗口左侧是root@base在使用帮助及最后检测,右侧是每题具体登录和做题操作.cks考试是通过ssh进行切换考试节点的,每题必须在对应的节点上完成,否则就没分.所以这步务必根据题意完成,不能遗漏.等待5分钟左右,执行以下命令确认集群及kubelet服务正常。修复Kubelet和etcd不安全问题。修改以下3行内容并保存退出。修改以下1行内容并保存退出。
2025-06-30 10:38:56
471
原创 Cilium动手实验室: 精通之旅---33.Foundations: Getting Started with Kubernetes Networking & Cilium
与世界的连接不是源 NAT,因此外部端点会将 Pod 的 IP 地址视为源。现在,让我们部署一个内部 HTTPRoute 来平衡新旧 Death Star 之间的流量,将 80% 的流量发送到旧的 Death Star,将 20% 的流量发送到新的 Death Star。相反,你需要安装(和配置)一个 Ingress Controller,这是一个程序(通常在集群中),它将连接到 Kubernetes API 服务器,检查 Ingress 资源,并使用它们来实现它们,大多数情况下使用 L7 反向代理技术。
2025-06-18 08:57:31
125
原创 Cilium动手实验室: 精通之旅---32.Getting Started with the Isovalent Load Balancer
相反,它被发送到后端,后端自行执行 TLS 终止。这显示了 T1 节点(用于 L3/L4 负载均衡)和 T2 节点(用于 L5-L7 负载均衡)的数量、VIP 和服务的数量,以及当前部署的每项服务的状态。它必须是 Opaque 类型的密钥,每个用户作为键,每个相应的密码作为值。除了 IP 后端之外,Isovalent Load Balancer 还支持主机名,例如,这允许代理外部服务。因此,他们希望将对 Death Star 服务的访问配置为 TLS 直通,并将为其后端提供 CA 证书。
2025-06-18 08:47:37
467
原创 Cilium动手实验室: 精通之旅---31.Isovalent Enterprise for Cilium: Security Visibility
在本实验中,它被配置为将事件流发送到与 S3 兼容的存储桶(在本例中为 MinIO),以便 Timescape 可以解析它并将其提供给 Hubble UI。在本实验中,我们使用的是 Timescape lite 模式,其中 Hubble Enterprise 配置为将日志直接发送到 Timescape 推送 API。部分中,默认的 CNI 已被禁用,因此集群在启动时将没有任何 Pod 网络。到目前为止,我们已经以 compact 格式可视化了事件,该格式提供了颜色和表情符号,以便于人工作员解析。
2025-06-17 09:41:42
1279
原创 Cilium动手实验室: 精通之旅---30.Isovalent Enterprise for Cilium: Cilium Multi-Networking
LAB环境地址。
2025-06-17 09:33:53
468
原创 SHELL脚本进阶---堡垒机实现
客户机通过防火墙规则拒绝其他服务器的连接请求.部署一个堡垒机会显得稍微臃肿一点.正好看到了阿里云的Linux堡垒机界面,那么就用shell搞个差不多的功能,在一台管理机上实现.我们可以按播放键或者拖动进度条查看具体做了哪些事情,甚至于执行的命令在红框内也做了展示。由于堡垒机需要到一点审计的功能,我们使用Cockpit来实现。内网中有个非常小的独立环境需要有堡垒机实现登录工作.键选择服务器,到了35以后会更新出后续的清单。好了.堡垒机的大部分功能我们都实现了。,它又能显示出之前的服务器清单。
2025-06-16 17:03:57
1006
原创 Cilium动手实验室: 精通之旅---29.Discovery: SecOps Engineer
Hubble 知道 disney.com 和 swapi.dev 的域名,因为 Cilium 已配置为代理 DNS 流量并缓存来自 Kube DNS 的 DNS 响应,从而提供了一种通过 DNS 名称检查和保护流量的方法。(这是有道理的,因为我们之前看到,由于网络策略的实施,X-Wings 不允许访问死星)!这意味着这个特定的流程是通过相互身份验证来保护的,这是这两个身份之间的 Cilium 网络策略中的一个额外参数。的出现次数,然后将生成的 JSON 日志通过管道传输到映像中提供的。
2025-06-16 08:36:20
685
原创 Cilium动手实验室: 精通之旅---28.Discovery: Cloud Network Engineer
类型的服务,但它没有外部 IP。Cilium 原生支持 BGP,使您能够设置与网络设备(如架顶式设备)的 BGP 对等连接,并将 Kubernetes IP 范围(Pod CIDR 和服务 IP)公布到更广泛的数据中心网络。现在我们知道 Kubernetes 集群已准备就绪,让我们在本实验期间假设您的集群位于银河系💫的另一端,在 Trilon 扇区一个名为 Batuu 🪐 的星球上。如您所见,使用 Hubble CLI 或 UI,您可以观察集群中的网络流,无论它们是 IPv4 还是 IPv6!
2025-06-16 08:32:18
581
原创 Cilium动手实验室: 精通之旅---27.Discovery: Platform Engineer
部署了应用程序工作负载使用新的 Kubernetes 标准为传入流量配置安全入口和网关,将流量路由到您的资源。测试安全网关的流量管理功能,以将流量均衡行为更改为我们的高可用性工作负载。了解应用程序工作负载服务映射并查看工作负载之间的通信以及第 7 层的可见性,例如 HTTP 请求路径。结合使用 Cilium、Hubble 和 Grafana 深入了解可观测性功能,以协助 Kubernetes 网络故障排除。这里没有额外的考试,直接哪个小徽章。
2025-06-13 08:29:50
706
1
原创 Cilium动手实验室: 精通之旅---26.Cilium Host Firewall
这是正常的,因为 CNI 被禁用了,我们将在下一步安装 Cilium。部分中,默认的 CNI 已被禁用,因此集群在启动时将没有任何 Pod 网络。相反,Cilium 被部署到集群中以提供此功能。现在我们可以制作一个 default-deny 规则,因为我们知道我们不会阻止我们对 API 服务器的访问。因此,此规则会有效地阻止所有流向节点的流量,除非它来自集群内部。每个连接都应该成功,这表明我们能够使用从主机到集群中的任何节点的 SSH。为了实现这一点,我们需要识别在给定节点上运行的 Cilium pod。
2025-06-13 08:24:54
977
原创 Cilium动手实验室: 精通之旅---25.Isovalent Enterprise for Cilium: Multicast
现在我们已经有一个安装了 Isovalent Enterprise for Cilium 的工作 Kubernetes 集群,并配置了多播功能,让我们在下一个挑战中准备我们的多播设置。部分中,默认的 CNI 已被禁用,因此集群在启动时将没有任何 Pod 网络。让我们首先让 Isovalent Enterprise for Cilium 知道我们想要使用的多播组。虽然这通常很有用,但它并不能告诉我们在上一个挑战赛中目睹的特定多播流量。现在让我们检查托管此 pod 的 Cilium 代理上的订阅者列表。
2025-06-12 08:09:10
755
原创 Cilium动手实验室: 精通之旅---24.Getting Started with Tetragon
现在,您实际上已经通过启动一个不可见的容器来持久保存了突破,您可以在内存中下载并执行一个永远不会接触磁盘的恶意脚本。是一个用户可配置的 Kubernetes 自定义资源定义 (CRD),它允许您跟踪内核中的任意事件并定义在匹配时要执行的作。是一个用户可配置的 Kubernetes 自定义资源定义 (CRD),它允许您跟踪内核中的任意事件并定义在匹配时要执行的作。现在,我们实际上通过启动一个不可见的容器来持久化了突破,我们可以在内存中下载并执行一个永远不会接触磁盘的恶意脚本。
2025-06-12 08:04:24
954
原创 Cilium动手实验室: 精通之旅---23.Advanced Gateway API Use Cases
都是面向公众的应用程序,因此安全团队批准使用共享的 Gateway API。此功能为工程师提供了多种选择:如果需要,可以为每个命名空间或每个应用程序使用专用的 Gateway API,或者使用共享的 Gateway API 进行集中管理并降低潜在成本。与之前的任务不同,我们从集群外部通过南北网关访问集群内的服务,而这次我们将从集群内部的客户端向同样位于集群(东西)流量中的服务发出请求。如您所见,使用与 Gateway API 相同的 API 和逻辑,我们能够对集群内的东西向流量进行基于路径的路由。
2025-06-11 08:03:22
1068
原创 Cilium动手实验室: 精通之旅---22.Cilium Traffic Optimization
如本实验前面所述,实际上有两种类型的 LocalRedirectPolicy:基于服务(LRP 重定向发往 Kubernetes 服务的流量)和基于 IP 地址的(LRP 重定向发往特定 IP 地址的流量)。首先,我们将考虑一个简单的示例,其中本地重定向策略将重定向发往 Kubernetes 服务的流量,并强制流量仅转发到本地后端(例如,在与源客户端相同的 Kubernetes 节点上)。你可以看到,它目前的行为就像一个标准的 ClusterIP 服务,指向一个 IP(黄色的,这是。
2025-06-11 07:59:26
790
原创 HTTP状态码大全:含义、产生原因及排查指南
curl- 强大的HTTP请求工具curl -I http://example.com # 只获取头部信息wget- 下载工具,可用于测试重定向telnet- 测试网络连接tcpdump- 网络抓包工具netstat- 查看网络连接ss- 更现代的替代netstat的工具ss -tulnpstrace- 跟踪系统调用HTTP状态码是诊断Web应用问题的重要工具。理解各类状态码的含义和产生原因,掌握基本的排查方法,可以快速定位和解决问题。首先检查服务器日志使用curl或wget重现问题。
2025-06-10 12:32:15
899
原创 Cilium动手实验室: 精通之旅---20.Isovalent Enterprise for Cilium: Zero Trust Visibility
在本实验中,我们将使用 Cilium 的 Hubble 子系统生成的 Prometheus 指标,以便可视化 Cilium 正在采取的网络策略判定。在本实验中,我们设置了一个 Grafana 服务器,其数据源指向 Prometheus,并导入了 Cilium Policy Verdicts Dashboard 以可视化与网络策略相关的指标。流,并将规则添加到网络策略中。在右上角图表中,按匹配类型表示出口策略判定,现在有绿色和紫色区域,分别表示现在明确允许的 L3/L4 和 L7 DNS 流量。
2025-06-10 08:29:39
478
原创 Cilium动手实验室: 精通之旅---21.Isovalent Enterprise for Cilium: TLS Visibility
虽然这是 TLS 分析和筛选的一个简单示例,但这是一个仪表板,它显示了 TLS 协议版本的分布,并将其与 Kubernetes Pod 和命名空间上下文相关联。它还可以显示密码的分布,更重要的是,还可以显示密码密钥长度。许多常见的 TLS 错误配置是由于选择旧的和过时的密码套件或实施较弱的套件引起的,这些套件通常容易受到攻击。对于此考试,您需要确定在过去 5 分钟内发起对 github.com 的调用的 PID、二进制和 TLS 版本和密码,并确认用于连接的 SNI 名称。然后,分析和解析信息将相对简单。
2025-06-10 08:00:37
2273
9
原创 Cilium动手实验室: 精通之旅---19.Golden Signals with Hubble and Grafana
Grafana Tempo 以及 OpenTelemetry Operator 和 Collector 已添加到集群中。升级jobs-app设置以启用 OpenTelemetry 跟踪。这将使应用程序生成 OpenTelemetry 跟踪。当 Cilium 的 Envoy 代理处理第 7 层数据时,Hubble 将能够从 HTTP 标头中提取 Trace ID,并将它们与 Hubble 的数据相关联,以丰富 Grafana 仪表板。
2025-06-10 07:56:42
820
原创 Cilium动手实验室: 精通之旅---18.Cilium for Virtual Machines with KubeVirt
现在,我们已经有一个正在运行的虚拟机运行了基本 Web 服务器,让我们设置网关 API 资源,为源自 Kubernetes 集群外部的流量提供入口访问,以便能够连接到虚拟机上的资源。KubeVirt 与 Kubernetes CNI 集成,为虚拟机提供网络,从而在现有 Kubernetes 结构中实现更大的灵活性,而无需引入专门用于虚拟机的单独网络堆栈。您看到外部域名而不是 IP 的原因是,此环境是使用第 7 层网络策略设置的,用于将 DNS 流量代理到 Cilium 中,以实现可观察性和策略实施。
2025-06-10 07:48:26
622
CVE-2024-38475 RHSA-2024:4720 for RHEL8 修复包
2025-05-16
CVE-2024-53150-rhel8.tar.gz 修复Rhel8的CVE-2024-53150 RHSA-2025:3893漏洞
2025-04-17
RHSA-2025:3937 CVE-2024-53150 Rhel9修复rpms
2025-04-17
openssh9.8 for rhel8 centos8 rokey8 rpms
2024-11-19
openssh9.8 for rhel7 centos7 rpms
2024-11-19
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人