第⼀题:权限控制RBAC
第⼆题:设置节点不可⽤
第三题:升级 kubeadm
第四题:备份还原 etc
第五题:配置⽹络策略 NetworkPolicy
第六题:创建Service
第七题:按要求创建 Ingress 资源
第⼋题:扩容Deployment
第九题:调度 pod 到指定节点
第⼗题: 统计ready 状态节点数量
第⼗⼀题:创建多容器的pod
第⼗⼆题:按要求创建PV
第⼗三题:创建和使⽤PVC
第⼗四题:监控pod的⽇志
第⼗五题:添加 sidecar 容器并输出⽇志
第⼗六题:查看 cpu 使⽤率最⾼的 pod
第⼗七题:排查集群中故障节点
考题1:权限控制 RBAC
配置环境:
[student@node-1] $ kubectl config use-context k8s
Context
为部署流水线创建一个新的ClusterRole并将其绑定到范围为特定的 namespace 的特定ServiceAccount。
Task
创建一个名为deployment-clusterrole且仅允许创建以下资源类型的新ClusterRole:
Deployment
StatefulSet
DaemonSet
在现有的 namespace app-team1中创建一个名为cicd-token的新 ServiceAccount。
限于 namespace app-team1中,将新的ClusterRole deployment-clusterrole绑定到新的 ServiceAccount cicd-token。
考点:RBAC授权模型的理解。
解答:
考试时执行,切换集群。
# kubectl config use-context k8s
开始操作
kubectl create clusterrole deployment-clusterrole --verb=create --resource=deployments,statefulsets,daemonsets
kubectl -n app-team1 create serviceaccount cicd-token
# 题目中要求“限于namespace app-team1中”,则创建rolebinding。没有要求,则创建clusterrolebinding。
kubectl -n app-team1 create rolebinding cicd-token-rolebinding --clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token
# rolebinding后面的名字cicd-token-rolebinding随便起的,因为题目中没有要求,如果题目中有要求,就不能随便起了。
检查:kubectl -n app-team1 describe rolebinding cicd-token-rolebinding