CKS 模拟真题 Killer.sh | Question 17 | Audit Log Policy

Task weight: 7%

Use context: kubectl config use-context infra-prod

Audit Logging has been enabled in the cluster with an Audit Policy located at /etc/kubernetes/audit/policy.yaml on cluster2-controlplane1.

Change the configuration so that only one backup of the logs is stored.

Alter the Policy in a way that it only stores logs:

  • From Secret resources, level Metadata
  • From "system:nodes" userGroups, level RequestResponse

After you altered the Policy make sure to empty the log file so it only contains entries according to your changes, like using truncate -s 0 /etc/kubernetes/audit/logs/audit.log.


继续阅读“CKS 模拟真题 Killer.sh | Question 17 | Audit Log Policy”

CKS 题库 8、沙箱运行容器 gVisor

file

Context

该 cluster 使用 containerd 作为 CRI 运行时。containerd 的默认运行时处理程序是 runc
containerd 已准备好支持额外的运行时处理程序 runsc (gVisor)。

Task

使用名为 runsc 的现有运行时处理程序,创建一个名为 untrusted 的 RuntimeClass。
更新 namespace server 中的所有 Pod 以在 gVisor 上运行。
您可以在 /cks/gVisor/rc.yaml 中找到一个模版清单。


继续阅读“CKS 题库 8、沙箱运行容器 gVisor”

ESXI7磁盘格式区别 及 厚置备 精简置备 互转

1. 精简置备(thin)

无论磁盘分配多大,存储大小为实际占用大小,对于IO频繁的应用会导致性能下降

2. 厚置备 延迟置零(默认)

默认创建格式,预先分配空间,有写操作才按需要将其置零

3. 厚置备(thick)

分配号空间并进行置零操作,有IO操作时无需等待直接执行

转换之前关闭虚拟机

一. 精简置备 转 厚置备

找到对应的虚拟磁盘,然后右键 "扩充磁盘"

二. 厚置备 转 精简置备

1. 通过vCenter 迁移或者克隆 虚拟机, 新的虚拟机磁盘格式为 精简置备
2. 通过命令进行转换
注意: 对应目录下有两个vmdk的文件 一个是NAME.vmdk 一个是NAME-flat.vmdk, 需要操作的是NAME.vmdk
vmkfstools -i 源磁盘文件名.vmdk  -d thin 目标文件名.vmdk
3. 虚拟机 "取消注册"

4. 修改对应的vmx文件


除vmdk后缀文件外的其他文件,建议全部移动到新建bak文件夹

5. 重新注册虚拟机

开启Esxi7 ssh

依次点击"管理" -> "服务" -> 搜索"TSM" -> 启动 "TSM" 和 "TSM-ssh"

resize2fs /dev/sdb1升级提示 Bad magic number in super-block while trying to open /dev/sdb1

使用growpart扩容后,执行

resize2fs /dev/sdb1

报错
实际情况中可能需要根据自己的实际路径修改 /dev/sdb1 /dev/sdb2 或者类似lvm路径

resize2fs: Bad magic number in super-block while trying to open /dev/sdb1
Couldn't find valid filesystem superblock

原因是:分区格式非ext3 ext4,可能是xfs或者其他

使用mount 查看对应的分区格式

mount | grep /dev/sdb1

如果分区是xfs,则需要使用下面命令进行扩容

xfs_growfs /dev/sdb1

如果没有出错则扩容成功

Docker-ce 配置国内源 清华源

参考:

Debian/Ubuntu 用户

以下内容根据 官方文档 修改而来。

  1. 如果你过去安装过 docker,先删掉:
    sudo apt-get remove docker docker-engine docker.io containerd runc
  2. 首先安装依赖:
    sudo apt-get install apt-transport-https ca-certificates curl gnupg2 software-properties-common
  3. 根据你的发行版,下面的内容有所不同。你使用的发行版:
    信任 Docker 的 GPG 公钥:

    • Debian
      curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
    • Ubuntu
      curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
  4. 添加软件仓库:
    • Debian
      echo \
      "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian \
      $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
    • Ubuntu
      echo \
      "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/ubuntu \
      $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
  5. 安装docker-ce
    sudo apt-get update
    sudo apt-get install docker-ce

Fedora/CentOS/RHEL

以下内容根据 官方文档 修改而来。

  1. 如果你之前安装过 docker,请先删掉
    sudo yum remove docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine
  2. 安装一些依赖
    sudo yum install -y yum-utils device-mapper-persistent-data lvm2
  3. 根据你的发行版下载repo文件:
    • CentOS/RHEL
      yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
    • Fedora
      yum-config-manager --add-repo https://download.docker.com/linux/fedora/docker-ce.repo
  4. 把软件仓库地址替换为 清华源:
    sudo sed -i 's+download.docker.com+mirrors.tuna.tsinghua.edu.cn/docker-ce+' /etc/yum.repos.d/docker-ce.repo
  5. 最后安装:
    sudo yum makecache fast
    sudo yum install docker-ce

Ubuntu 设置IP/添加多IP

ubuntu新的网络配置使用netplan

网络配置文件路径

/etc/netplan/

配置文件
sudo vim /etc/netplan/00-installer-config.yaml
设置IP或者添加多IP,在addresses 下添加即可
network:
  ens160: ## 这个根据实际网卡名填写, 'ip a' 可以查看网络情况
    addresses:
    - 172.20.20.6/24
    - 192.168.13.6/16 ## 根据实际情况填写,单IP 则不用填写这一行
    gateway4: 172.20.20.1 ## 第一个IP地址的网关,第二个IP地址的网关不用写
    nameservers:
      addresses:
      - 222.172.200.68
      search:
      - 223.5.5.5
    ## 根据自己的实际情况填写DNS
  version: 2

file

多IP多网段多路由
network:
  ens160: ## 这个根据实际网卡名填写, 'ip a' 可以查看网络情况
    addresses:
    - 172.20.20.6/24
    - 192.168.13.6/16 ## 根据实际情况填写,单IP 则不用填写这一行
    routes: ## 配置多路由
    - to: 0.0.0.0/0
      via: 172.20.20.1
      metric: 100  ## 优先级别
    - to: 0.0.0.0/0
      via: 192.168.0.1
      metric: 100
    nameservers:
      addresses:
      - 222.172.200.68
      search:
      - 223.5.5.5
    ## 根据自己的实际情况填写DNS
  version: 2
重启网络服务
sudo systemctl start systemd-networkd
应用网络设置
sudo netplan apply
查看网络状况
ip a
ifconfig

file

参考 :

https://blog.csdn.net/xiaoliang199109/article/details/116376630

Ubuntu 22.04源 清华源

ubuntu默认源速度还是可以的,如果需要更换成其他源可以参考清华源

清华源地址 包含多个源,根据实际情况选择
https://mirrors.tuna.tsinghua.edu.cn/help/ubuntu/

备份源文件

sudo mv /etc/apt/sources.list /etc/apt/sources.list.bk

编辑 /etc/apt/sources.list

sudo vim /etc/apt/sources.list

文件内容

# 默认注释了源码镜像以提高 apt update 速度,如有需要可自行取消注释
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-updates main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-updates main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-backports main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-backports main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-security main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-security main restricted universe multiverse

# 预发布软件源,不建议启用
# deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-proposed main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-proposed main restricted universe multiverse

服务器IIS,Nginx,Apache,Tomcat禁用TLS1.0和TLS1.1协议

SSL/TLS 的版本

协议 发布时间 状态
SSL 1.0 未公布 已弃用
SSL 2.0 1995 年 已于 2011 年弃用
SSL 3.0 1996 年 已于 2015 年弃用
TLS 1.0 1999 年 计划于 2020 年弃用
TLS 1.1 2008 年 计划于 2020 年弃用
TLS 1.2 2008 年
TLS 1.3 2018 年

Nginx

  1. 通常Nginx的conf/nginx.conf配置如下
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  2. 删除TLS1.0 TLSv1.1、增加TLS1.3
    ssl_protocols TLSv1.2 TLSv1.3;
  3. 重启Nginx使配置生效
    nginx -s reload

Apache

  1. 通常Apache的配置如下

    SSLProtocol -ALL +TLSv1 +TLSv1.1 +TLSv1.2

    1-1. 基于RedHat的发行版(CentOS,Fedora)配置文件 /etc/httpd/conf/httpd.conf
    1-2. 基于Debian的发行版(Ubuntu)配置文件 /etc/apache2/sites-enabled/ 目录下

  2. 删除+TLSv1 +TLSv1.1、增加TLSv1.3

    SSLProtocol -ALL +TLSv1.2 +TLSv1.3
  3. 重启Apache使配置生效

    基于RedHat的发行版(CentOS,Fedora)
    systemctl restart httpd
    基于Debian的发行版(Ubuntu)
    service apache2 restart

Tomcat

  1. 通常Tomcat的conf/server.xml配置如下
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
  2. 删除+TLSv1 +TLSv1.1、增加TLS1.3
    SSLProtocol="TLSv1.2+TLSv1.3"
  3. 重启Tomcat使配置生效
    关闭tomcat
    bin/shutdown.sh
    启动tomcat
    bin/startup.sh

IIS服务器

  1. IIS服务器需使用官方工具(IISCrypto)进行修改
    官网 IIS Crypto
    下载 IIS Crypto GUI
    file
注: 表示使用TLS1.2协议连接通过,说明我们已经禁用了TLS1.2

Navicat连接SQL Server提示: [IM002] [Microsoft][ODBC 驱动程序管理器] 未发现数据源名称并且未指定默认驱动程序

首次使用Navicat,连接SQL server的时候如果没有安装对于的模块会提示 "[IM002] [Microsoft][ODBC 驱动程序管理器] 未发现数据源名称并且未指定默认驱动程序" 错误,

原因是没有安装对应的模块msodbcsql_64.msi,相关文件在程序根目录有提供,所以在安装目录找到对应文件安装即可。

★ 桌面Navicat图标——右键——打开文件位置

★ 双击打开msodbcsql_64.msi,安装的时候注意选择"Will be installed on local hard drive"

★ 安装完成后重新打开软件进行连接即可