K8S认证|CKS题库+答案| 10. Trivy 扫描镜像安全漏洞

目录

10. Trivy 扫描镜像安全漏洞

免费获取并激活 CKA_v1.31_模拟系统 

题目

开始操作：

1）、切换集群

2）、切换到master并提权

3）、查看Pod和镜像对应关系

4）、查看并去重镜像名称

5）、扫描所有镜像，检查镜像安全性

6）、删除Pod

---

10. Trivy 扫描镜像安全漏洞

免费获取并激活 CKA_v1.31_模拟系统 

题目

您必须在以下Cluster/Node上完成此考题：
Cluster                                      Master node                               Worker node
CKS01010                                   master                                         node01
.
设置配置环境：
[candidate@node01]$ kubectl config use-context CKS01010

.

Task

.

使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。

查找具有 High 或 Critical 严重性漏洞的镜像，并删除使用这些镜像的 Pod。

.

注意：Trivy 仅安装在 cluster 的 master 节点上，

在工作节点上不可使用。

你必须切换到 cluster 的 master 节点才能使用 Trivy。

开始操作：

1）、切换集群

kubectl config use-context CKS01010

2）、切换到master并提权

ssh master
sudo -i

3）、查看Pod和镜像对应关系

查看Pod

kubectl get pod -n kamino

CKS模拟环境截图

查看Pod包含的镜像

kubectl describe pod tri111 -n kamino | grep Image: | awk '{print $2}' 

CKS模拟环境截图

 合并查看Pod与镜像的对应关系

for Pod in `kubectl get pod -n kamino | grep Running | awk '{print $1}'`; do echo $Pod -- `kubectl describe pod $Pod -n kamino | grep Image: | awk '{print $2}' `; done

CKS模拟环境截图

4）、查看并去重镜像名称

kubectl describe pod -n kamino | grep -i image: |awk '{print $2}' | sort -u

CKS模拟环境截图

5）、扫描所有镜像，检查镜像安全性

for i in `kubectl describe pod -n kamino | grep -i image: |awk '{print $2}' | sort -u`; do trivy -q image -s HIGH,CRITICAL $i | grep -iEB3 "HIGH:|CRITICAL:" ; done

CKS模拟环境截图，以下是扫出来有问题的镜像，为了安全不能在集群使用下列镜像

6）、删除Pod

删除使用问题镜像的Pod，并查看是否成功

kubectl -n kamino delete pod tri111
kubectl -n kamino delete pod tri222
kubectl -n kamino delete pod tri333kubectl get pod -n kamino

CKS模拟环境截图，使用问题镜像的Pod已被删除

---

 CKA高仿真环境简单演示视频