目錄

10. Trivy 掃描鏡像安全漏洞

免費獲取并激活?CKA_v1.31_模擬系統?

題目

開始操作：

1）、切換集群

2）、切換到master并提權

3）、查看Pod和鏡像對應關系

4）、查看并去重鏡像名稱

5）、掃描所有鏡像，檢查鏡像安全性

6）、刪除Pod

---

10. Trivy 掃描鏡像安全漏洞

免費獲取并激活?CKA_v1.31_模擬系統?

題目

您必須在以下Cluster/Node上完成此考題：
Cluster ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?Master node ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? Worker node
CKS01010? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?master ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? node01
.
設置配置環境：
[candidate@node01]$ kubectl config use-context CKS01010

.

Task

.

使用 Trivy 開源容器掃描器檢測 namespace kamino 中 Pod 使用的具有嚴重漏洞的鏡像。

查找具有 High 或 Critical 嚴重性漏洞的鏡像，并刪除使用這些鏡像的 Pod。

.

注意：Trivy 僅安裝在 cluster 的 master 節點上，

在工作節點上不可使用。

你必須切換到 cluster 的 master 節點才能使用 Trivy。

開始操作：

1）、切換集群

kubectl config use-context CKS01010

2）、切換到master并提權

ssh master
sudo -i

3）、查看Pod和鏡像對應關系

查看Pod

kubectl get pod -n kamino

CKS模擬環境截圖

查看Pod包含的鏡像

kubectl describe pod tri111 -n kamino | grep Image: | awk '{print $2}' 

CKS模擬環境截圖

?合并查看Pod與鏡像的對應關系

for Pod in `kubectl get pod -n kamino | grep Running | awk '{print $1}'`; do echo $Pod -- `kubectl describe pod $Pod -n kamino | grep Image: | awk '{print $2}' `; done

CKS模擬環境截圖

4）、查看并去重鏡像名稱

kubectl describe pod -n kamino | grep -i image: |awk '{print $2}' | sort -u

CKS模擬環境截圖

5）、掃描所有鏡像，檢查鏡像安全性

for i in `kubectl describe pod -n kamino | grep -i image: |awk '{print $2}' | sort -u`; do trivy -q image -s HIGH,CRITICAL $i | grep -iEB3 "HIGH:|CRITICAL:" ; done

CKS模擬環境截圖，以下是掃出來有問題的鏡像，為了安全不能在集群使用下列鏡像

6）、刪除Pod

刪除使用問題鏡像的Pod，并查看是否成功

kubectl -n kamino delete pod tri111
kubectl -n kamino delete pod tri222
kubectl -n kamino delete pod tri333kubectl get pod -n kamino

CKS模擬環境截圖，使用問題鏡像的Pod已被刪除

---

?CKA高仿真環境簡單演示視頻