sinat_33076015的博客

切换 Context 后， ssh 到对应的 master 节点。

​。

切换 Context， ssh 到 node 节点进行操作。创建 Deployment。

官网搜索：kube-apiserver 官网位置：kube-apiserver。

切换 Context 后， ssh 到对应的 master 节点。

官网搜索： networkpolicy 官网位置：网络策略。

官网搜索：security context 官网位置：为 Pod 或容器配置安全上下文。

不要忘记切换 context。

secret知识点：1. base64解密（核心命令 base64 -d）2. 快速创建secret（核心参数----from-literal）https://kubernetes.io/zh-cn/docs/concepts/configuration/secret/

RequestReceive：此阶段对应审计处理器收到请求后，并且在委托给其余处理器之前生成的事件ResponseStarted：开始响应Header信息，但未响应消息体之前的消息。一般用于长时间运行的请求（如watch）才会生成这个阶段ResponseComplete：事件响应完毕并且没有更多数据需要传输的时候。Panic：访问出现panic错误时记录。

官网搜索：rbac 官网位置： rbac。不要忘记切换 context。

登录到 master 节点之后。

官网搜索： networkpolicy 官网位置：网络策略。

kube-bench CIS 基准测试

主要涉及参数：automountServiceAccountToken: false。官网搜索：pod服务账号 查找位置：为 Pod 配置服务账号。也可以直接选择不给特定 Pod 自动挂载 API 凭据。

官网搜索：runtime class 找到：容器运行时类（Runtime Class）需要修改的 Pod 并非直接创建，而是通过 Deployment 创建，所以在指。定的 runtimeClass 的时候，更改的位置和 Pod 不太一样。

gVisor内核要求：Linux 3.17+，如果用的是CentOS7则需要升级内核，Ubuntu不需要。由于我的集群版本是v1.20了，改为了containerd，所以需要修改一下配置。RuntimeClass 是一个用于选择容器运行时配置的特性，容器运行时配置用。添加以下内容到配置中，与runc对齐。1、准备gVisor二进制文件。2、安装到containerd。4、创建Pod测试gVisor。3、重启containerd。于运行 Pod 中的容器。