标签： cks

擁有CKS認證對於Kubernetes專家在職業生涯上是一個非常重要的里程碑，這個認證證明了您在構建、部署和運行時期間具備保護基於容器的應用程式和Kubernetes平台的最佳實踐知識和能力。 如果您正在為成為CKS而努力，以下的宣布對你非常重要。

從2024年9月12日北京時間08:00 （世界標準時間00:00 UTC）起，CKS (Certified Kubernetes Security Specialist) 認證考試即將升級，考試涉及的領域將會下列的變化，無論你是第一次參加考試或是重考，只要在2024年9月12日北京時間08:00之後進行CKS考試，你將會參加最新版本的考試。

經過認證的CKS (Certified Kubernetes Security Specialist）考生將能夠展示在保護基於容器的應用程式和Kubernetes平台方面的專業知識，並具熟悉採用最佳實踐來防範跨實體基礎設施、應用程式、網路、資料、使用者和工作負載的威脅。 另外，考生具備檢測潛在的安全漏洞的能力，能夠識別環境中的攻擊階段和惡意參與者，並確保在整個開發生命週期的每個操作階段都有健壯的安全措施。

CKS考試中的權重(即集群設定、集群加固等)將保持不變，但請查看以下即將更新的測試的領域/ 能力(每個領域標題下方列出的一些添加/刪除和更新的語言)以及幾個領域的權重變化。 這些變化反映了考生應該掌握的Kubernetes和雲端安全的最新知識。更新的CKS考試領域如下：

群集設置領域- 15%

• 使用網路安全策略來限制叢集級別的訪問
• 使用CIS基準檢查Kubernetes元件(etcd, kubelet, kubedns, kubeapi)的安全設定。
• 使用TLS正確設定入口
• 保護節點元資料和端點
• 在部署之前驗證平台二進位文件

系統加固領域- 10%

• 最小化主機作業系統佔用空間(減少攻擊面)
• 使用最小權限身分和存取管理
• 減少對網路的外部訪問
• 適當使用內核加固工具，如AppArmor、seccomp

供應鏈安全領域- 20%

• 最小化基本鏡像佔用空間
• 了解您的供應鏈(例如，SBOM、CI/CD、製品倉庫)
• 保護您的供應鏈(允許的註冊中心、簽名及驗證製品等)。
• 執行使用者工作負載和容器鏡像的靜態分析(例如Kubesec, KubeLinter)

集群加固領域- 15% 

• 使用基於角色的存取控制來最小化暴露
• 謹慎使用服務帳戶，例如停用預設值，最小化新建立帳戶的權限
• 限制存取Kubernetes API
• 升級Kubernetes以避免漏洞

最小化微服務漏洞領域- 20%

• 使用適當的pod安全標準
• 管理Kubernetes機密
• 理解並實現隔離技術(多租戶、沙盒容器等)
• 使用Cilium實現Pod-to-Pod加密

監控、日誌記錄和運行時安全領域- 20%

• 執行行為分析以偵測惡意活動
• 偵測實體基礎架構、應用程式、網路、資料、使用者和工作負載中的威脅
• 調查並識別攻擊階段和環境中的不良參與者
• 確保容器在運作時的不變性
• 使用Kubernetes審計日誌監控訪問

CKS認證現在有中文版或英文版考試可供選擇。擁有CKA認證是參加CKS的必備條件。 CKS的認證有效期限為2年。

CKS是基於實操的考試。 CKS認證考試測驗考生在建置、部署和運行期間確保基於容器的應用程式和Kubernetes平台安全的技能、知識和能力。該考試需要兩個小時內完成，考試是採用遠端方式進行, 由監考員進行即時監控。另外，考試費用亦包括一次免費重考，如果考生第一次參加考試沒有通過，便可以免費預約重考。此外，所有CKS的考生都可以參加Killer.sh的模擬考試（只有英文），幫助他們提前體驗考試環境。

小提醒：無論你是第一次參加CKS考試或是重考，以及何時購買考試，只要在2024年9月12日北京時間08:00之後進行CKS考試，你將會參加最新版本的考試。由於CKS考試需求將會急劇增加，如果你已經準備好馬上考取CKS，我們建議考生儘早安排預約CKS考試。

原创 岱军 云云众生s
採取策略性的結構化的Kubernetes管理，可充分發揮其效能，使其成為推動業務效率與創新的關鍵因素。

譯自Mastering Kubernetes Optimization: A Strategic Approach，作者 Eli Birger 是 PerfectScale 的共同創辦人兼技術長。 他是一位熱情的技術專家，擁有電信(Comverse、Vonage)、網路安全(Imperva、Cyren)和儲存(IBM)方面的背景。 他擁有超過六年的DevOps管理經驗，在這個角色中…

Kubernetes 已經確立了自己作為首要容器編排平台的地位，它因在部署應用程式時擁有超凡的靈活性和可擴展性而獲得廣泛讚譽。

這個開源系統旨在簡化容器化應用程式的管理，提供諸如高效擴展、負載平衡和自動化管理等功能。

然而，掌握Kubernetes 需要在性能、彈性和成本效益之間達致精妙的平衡，這可能是一個複雜的持續挑戰。 對依賴 Kubernetes 運行關鍵應用程式卻又想控制營運成本的企業來說，確保達到最佳平衡至關重要。

掌握 Kubernetes 的第一步關鍵在於對環境有詳細的了解。 這涉及密切監控和分析資源分配和使用模式，以及理解成本影響。

達到這種洞察力對確定低效率和潛在改進領域至關重要。 這通常需要部署可以提供即時數據和分析的監控工具，使團隊能夠做出資訊化的數據驅動決策。 對 Kubernetes 環境中不同元件如何在不同條件下互動和消耗資源有詳細的了解，為有針對性的最佳化工作奠定基礎。

一旦一個組織對其 Kubernetes 設定有了全面的理解，下一步就是朝著主動的、由所有者主導的行動邁進。 這個階段至關重要，因為它涉及將從最初的詳細分析中獲得的見解應用到做出資訊化和策略性的決策。 這些決策涉及 Kubernetes 管理的各個方面，包括資源分配、應用程式擴充和整體基礎架構調整。

此時，組織開始積極管理他們的 Kubernetes 環境，應用資料驅動的策略來優化效能。 這可能涉及調整 pod 或節點的大小，以更好地匹配它們的實際用法，從而確保資源不會被低利用或過度擴展。

它還可能包括重新配置網路策略或調整儲存配置以提高效率和效能。 在某些情況下，組織可能需要實現更複雜的更改，例如修改 Kubernetes 調度程序以實現更好的負載分配，或更新服務編排和管理的方式。

這個階段流程的重點不僅在於節省成本或提高效能，而是在找到既滿足直接營運需求又符合長期策略目標的平衡。 這需要對Kubernetes環境及其與所支援的應用程式的相互作用有細緻的理解。 例如，縮減資源可能會在短期內降低成本，但如果這導致應用程式效能或可用性降低，則可能會對業務結果產生長期的負面影響。

掌握Kubernetes的最後一個面向是採用自治權限調整，這代表了Kubernetes環境管理方式的重大進步。 這個階段的特點是實施設計用於持續和主動優化的自動化流程。

這裡的主要目標是賦予Kubernetes自治和有效率地調節其資源使用的能力，以流暢地適應不同的營運需求。 這種自我調節對於在不需要持續人工幹預的情況下保持最佳表現至關重要。

自治權調整涉及幾個戰略行動。 一個基本策略是實施自動擴縮機制，根據即時工作負載需求調整資源分配。 這可以確保應用程式在高峰時期可以存取必要的資源，而在需求較低時節省資源。 另一種尖端方法是整合AI驅動的工具。

這些工具可以分析資源使用模式、預測未來需求並事先調整，確保Kubernetes環境始終運作在尖峰效率。

一個自動化、高效的Kubernetes環境本質上更敏捷和響應迅速。 它可以快速適應不斷變化的需求，無論這些需求是由突發的用戶流量增加還是應用程式複雜性的逐漸增加引起的。 這種響應迅速性不僅提高了在Kubernetes環境中運行的應用程式的效能，還確保了更可靠、更一致的使用者體驗。

遵循這種結構化的方法，組織可以將他們的Kubernetes操作從一個強大的工具轉化為一個策略資產。 這種Kubernetes的演進可以讓企業獲得深遠的利益。 所提出的方法論可以對確保資源不僅被有效利用，而且它們的利用與更廣泛的業務目標保持一致非常關鍵，從而實現成本效益。 在當今商業環境中，這種一致性至關重要，因為明智的資源管理可以顯著影響利潤。

這種方法也提高了Kubernetes環境的彈性。 透過理解和主動管理Kubernetes的複雜性，組織可以創造不僅在正常條件下穩健，而且在面對意外挑戰或需求增加時也能維持效能和可靠性的系統。 這種彈性對於維持持續營運至關重要，這是依賴持續可用性和高效能的企業的關鍵因素。

最後，當優化並與業務策略保持一致時，Kubernetes發揮其作為快速開發、部署和擴展應用程式基礎設施的最大潛力。 這種敏捷性使企業能夠快速回應市場變化，試驗新想法並提供增強的客戶體驗。 簡而言之，Kubernetes不僅支持現有業務，還可以驅動新計劃和擴張機會。

透過採用策略性和結構化的Kubernetes管理方法，組織可以發揮其全部潛力，將其轉變為業務效率和創新的關鍵驅動因素，並使其成為組織的競爭優勢。 這不僅僅是技術優化，而是將Kubernetes定位為支撐組織發展的基石。