Task
使用Trivy开源容器扫描器检测namespace kamino中 Pod 使用的具有严重漏洞的镜像。
查找具有High或Critical严重性漏洞的镜像,并删除使用这些镜像的Pod。
注意:Trivy 仅安装在cluster 的master上,
在工作节点上不可使用。
你必须切换到cluster的master节点才能使用Trivy。
参考资料
https://kubernetes.io/zh-cn/docs/reference/kubectl/cheatsheet/
解答
切换集群
kubectl config use-context KSSC00401
- 切换到master
ssh master01
- 获取命名空间kamino 下的所有pod 的image
kubectl get pods --namespace kamino --output=custom-columns="NAME:.metadata.name,IMAGE:.spec.containers[*].image"
- 检测镜像是否有高危和验证的漏洞
trivy image -s HIGH,CRITICAL nginx:1.19 注意: tri222 和 tri 333 的2个pod里各有两个镜像,都需要扫描
- 删除有问题的pod
4. 删除有问题的pod kubectl delete pod xxx -n kamino 注意: 考试有5个pod,每个pod里有多个镜像,都需要扫描。扫描出有漏洞的镜像需要删除这个pod
注意: 考试有5个pod,每个pod里有多个镜像,都需要扫描。扫描出有漏洞的镜像需要删除这个pod