信息通信行业是进几十年新兴起的一个行业,对我们的生活产生了巨大的影响,传统的购物、出行方式发生了巨大的变化,而且我们的眼界更加开阔。可以了解到世界各地的风土人情,这一切都离不开信息通信技术的发展,同时市场为了维护社会的平稳运行,也需要大量的人才来支撑,该怎么选拔人才,除了拥有过硬的技术之外,还需要专业的证书来证明自己,由Linux基金会和云原生计算基金会(CNCF)创建的容器证书,则是含金量很高的证书。
容器证书常考的科目
CKA证书:CKA认证考试是由Linux基金会和云原生计算基金会(CNCF)创建的,以促进Kubernetes生态系统的持续发展。该考试是一种远程在线、有监考、基于实操的认证考试,需要在运行Kubernetes的命令行中解决多个任务。CKA认证考试是专为Kubernetes管理员、云管理员和其他管理Kubernetes实例的IT专业人员而设的。
CKS证书:
CKS是一项基于性能的认证考试,在模拟的真实环境中测试考生对Kubernetes和云安全的知识。获得CKS证书表明学员具备在构建、部署和运行时保护基于容器的应用程序和Kubernetes平台的必要能力,并有资格在专业环境中执行这些任务。
容器考试事项
1、CKA 证书
考试内容:
集群架构,安装和配置:25%
• 管理基于角色的访问控制(RBAC)
• 使用Kubeadm安装基本集群
• 管理高可用性的Kubernetes集群
• 设置基础架构以部署Kubernetes集群
• 使用Kubeadm在Kubernetes集群上执行版本升级
• 实施etcd备份和还原
工作负载和调度:15%
• 了解部署以及如何执行滚动更新和回滚
• 使用ConfigMaps和Secrets配置应用程序
• 了解如何扩展应用程序
• 了解用于创建健壮的、自修复的应用程序部署的原语
• 了解资源限制如何影响Pod调度
• 了解清单管理和通用模板工具
服务和网络:20%
• 了解集群节点上的主机网络配置
• 理解Pods之间的连通性
• 了解ClusterIP、NodePort、LoadBalancer服务类型和端点
• 了解如何使用入口控制器和入口资源
• 了解如何配置和使用CoreDNS
• 选择适当的容器网络接口插件
存储:10%
• 了解存储类、持久卷
• 了解卷模式、访问模式和卷回收策略
• 理解持久容量声明原语
• 了解如何配置具有持久性存储的应用程序
故障排除:30%
• 评估集群和节点日志
• 了解如何监视应用程序
• 管理容器标准输出和标准错误日志
• 解决应用程序故障
• 对群集组件故障进行故障排除
• 排除网络故障
考试模式:线上考试
考试时间:2小时
认证有效期:3年
软件版本:Kubernetes v1.27
重考政策:可接受1次重考
经验水平:中級
2、CKS证书
考试内容:
集群安装:10%
-
使用网络安全策略来限制集群级别的访问
-
使用CIS基准检查Kubernetes组件(etcd, kubelet, kubedns, kubeapi)的安全配置
-
正确设置带有安全控制的Ingress对象
-
保护节点元数据和端点
-
最小化GUI元素的使用和访问
-
在部署之前验证平台二进制文件
集群强化:15%
-
限制访问Kubernetes API
-
使用基于角色的访问控制来最小化暴露
-
谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限
-
经常更新Kubernetes
系统强化:15%
-
最小化主机操作系统的大小(减少攻击面)
-
最小化IAM角色
-
最小化对网络的外部访问
-
适当使用内核强化工具,如AppArmor, seccomp
微服务漏洞最小化:20%
-
设置适当的OS级安全域,例如使用PSP, OPA,安全上下文
-
管理Kubernetes机密
-
在多租户环境中使用容器运行时 (例如gvisor, kata容器)
-
使用mTLS实现Pod对Pod加密
供应链安全:20%
-
最小化基本镜像大小
-
保护您的供应链:将允许的注册表列入白名单,对镜像进行签名和验证
-
使用用户工作负载的静态分析(例如kubernetes资源,Docker文件)
-
扫描镜像,找出已知的漏洞
监控、日志记录和运行时安全:20%
-
在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动
-
检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁
-
检测攻击的所有阶段,无论它发生在哪里,如何扩散
-
对环境中的不良行为者进行深入的分析调查和识别
-
确保容器在运行时不变
-
使用审计日志来监视访问
考试模式:线上考试
考试时间:2小时
认证有效期:2年
软件版本:Kubernetes v1.27
有效期:考试资格自考试码注册之日起12个月内有效
重考政策:可接受1次重考
经验水平:中级