2021 CKS考试大纲：服务账户权限限制与Kubernetes安全实践

"该文档是2021年的CKS（Certified Kubernetes Security Specialist）最新大纲，涵盖了Kubernetes安全相关的知识。文档中的内容涉及到限制服务账户权限（RBAC）以及CKS实践考试的部分题目。" 在CKS考试中，重点会考察对Kubernetes安全的理解与实践，特别是如何有效地管理和限制服务账户权限。例如问题Q1，它涉及到在Chapter3：限制服务账户权限（RBAC）部分。在这个问题中，考生需要使用Kubernetes命令（kubectl）来设置一个安全的环境。首先，通过`kubectl create namespace qa`创建名为qa的命名空间，然后尝试创建一个名为`krbackend`的部署，使用`nginx-nqa`镜像，并进行客户端的dry-run测试。接着，考生需要创建一个角色（Role）`backend-role`，赋予其对`pod/log`和`pod`资源的`get`, `list`和`watch`权限。再创建一个角色绑定（RoleBinding）`backend-rolebinding-nqa`，将服务账户`qa:backend-sa`与`backend-role`关联起来。最后，更新`backend-pod.yml`文件，设置`serviceAccountName`为`backend-sa`，并强制应用更新。 问题Q2提到了CKS实践考试的第二部分，可能是一个在线实验室练习，链接指向了学习平台上的一个课程，这个课程可能是为了帮助考生准备CKS认证考试而设计的。这部分没有提供具体的问题或解答，但可以推断，它包含了一系列的实践操作，比如Kubernetes集群的安全配置、网络策略的实施、资源访问控制的强化，以及日志和审计的管理等。 CKS认证强调的是Kubernetes安全的深度理解和实际操作能力，包括但不限于：容器安全最佳实践、集群安全初始化、网络策略、身份与访问管理（IAM）、日志与审计、安全更新与补丁管理等。备考过程中，考生需要熟悉Kubernetes API和命令行工具，理解RBAC授权机制，以及如何应用策略来保护集群和工作负载的安全。此外，对容器镜像的安全性、存储安全、以及如何应对安全事件也应有充分的了解。