2020年12月cka17题

1.RBAC 4%

Task

创建一个名为deployment-clusterrole仅允许创建以下资源类型的新ClusterRole
Deployment
StatefulSet
DaemonSet
在现有的namespace app-team1中创建一个名为cicd-token的新ServiceAccount
限于namespace app-team1,将新的ClusterRole deployment-clusterrole绑定到新的ServiceAccount cicd-token

Answer

# 创建clusterrole
kubectl create clusterrole deployment-clusterrole --verb=create --resource=deployments,statefulsets,daemonsets

# 创建serviceaccount
kubectl create serviceaccount cicd-token -n app-team1

# 创建rolebinding
kubectl -n app-team1 create rolebinding cicd-token-binding --clusterrole=deployment-clusterrole --serviceaccount=app-team1:cicd-token

# 查看rolebinding
kubectl describe rolebinding  cicd-token-binding -n app-team1
image.png

知识点

1、CluserRole、ServiceAccount、RoleBinding
2.kubectl create clusterrole
3.kubectl create serviceaccount
4.kubectl create rolebinding

2.驱逐节点 4%

Task

将名为ek8s-node-1的节点设置为不可用,并重新调度在其上运行的所有pod

Answer

kubectl drain ek8s-node-1 -- ingore-daemonsets --force

知识点

1.kubectl cordon
2.kubectl drain
3.kubectl delete
4.kubectl uncordon

3. 集群升级 7%

Task

现有的Kubernetes集群正在运行版本1.18.8.仅将主节点上的所有Kubernetes控制平面和节点组件升级到版本1.19.0
另外,在主节点上升级Kubelet和Kubectl
确定在升级之前drain主节点,便在升级后uncordon主节点。请不要升级工作节点、etcd、container管理器、cni插件、dns服务或者任何其他插件。

Answer

注意:需要ssh到master节点上执行,即在k8s集群内操作

# ssh到master节点
ssh master-1

# 切换到root
sudo -i

# ubantu环境补充kubectl命令
source <(kubectl completion bash)

#
kubectl drain master-1 -- ingore-daemonsets

# 
apt-cache show kubeadm | grep 1.19.0

#
apt-get install kubeadm=1.19.0-00

#
kubeadm --version

#
kubeadm upgrade apply 1.19.0 --etcd-upgrade=false

#
apt-get install kubelet=1.19.0-00

#
kubelet --version

# 会看到两个版本,客户端版本和服务器版本都是1.19.0才是成功
kubectl --version

# 把master恢复调度,由“Ready,SchedulingDisabled”变成“Ready”
kubectl uncordon master-1
# 回到student视图下
exit
exit 
image.png

知识点

kubectl upgrade

4.ETCD备份恢复 7%

Task

首先,为运行在https://127.0.0.1:2379上的现有etcd实例创建快照并将快照保存到/var/lib/backup/etcd-snapshot.db
然后还原位于/var/lib/bakup/etcd-snapshot-previous.db
提供了以下TLS证书与密钥,以通过etcdctl连接到服务器
CA证书:/opt/KUIN00601/ca.cert
客户端证书:/opt/KUIN00601/etcd-client.crt
客户端密钥:/opt/KUIN00601/etcd-client.key

Answer

注意:需要ssh到master节点上执行,即在k8s集群内操作

# ssh到master节点
ssh master-1

# 必须指定etcdctl的版本是3
export ETCDCTL_API=3

# 创建etcd快照
ectdctl --endpoints=https://127.0.0.1:2379 --cacert="/opt/KUIN00601/ca.cert" --cert="/opt/KUIN00601/etcd-client.crt" --key="/opt/KUIN00601/etcd-client.key" snapshot save /var/lib/backup/etcd-snapshot.db
# 查看保存快照的状态
ectdctl --endpoints=https://127.0.0.1:2379 --cacert="/opt/KUIN00601/ca.cert" --cert="/opt/KUIN00601/etcd-client.crt" --key="/opt/KUIN00601/etcd-client.key" snapshot status /var/lib/backup/etcd-snapshot.db -wtable


# 恢复etcd快照
etcdctl snapshot restore /var/lib/bakup/etcd-snapshot-previous.db
# 查看恢复快照的状态
etcdctl snapshot status /var/lib/bakup/etcd-snapshot-previous.db -wtable
# 回到student视图下
exit
exit 
image.png

知识点

1.必须指定etcdctl的版本是3
2.kubectl snapshot save
3.kubectl snapshotrestore
4.kubectl snapshotstatus

5.网络策略 4%

Task

在已有的namespace foobar中创建一个名为allow-port-from-namespace的新NetworkPolicy,以允许namespace corp-bar访问其Pods的端口9200

Answer

从官方文档粘贴networkpolicy的样例到本地yaml文件中,再根据考试内容修改。
粘贴时候注意格式,在vim编辑器中,先用:set paste,然后再粘贴。

vi nw.yaml

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-port-from-namespace
  namespace: foobar
spec:
  podSelector:  {}
  policyTypes:
  - Ingress
  ingress:
  - from:
    - namespaceSelector:
        matchLabels:
          project: corp-bar
    ports:
    - protocol: TCP
      port: 9200
kubectl apply -f nw.yaml

kubectl get neworkpolicies -n foobar allow-port-from-namespace 

知识点

k8s的networkpolicy

6.SVC 4%

Task

重新配置现有的deployment front-end,并添加名为HTTP的端口规范,以暴露现有容器nginx的端口80/tcp。
创建一个名为front-end-svc的新服务,以暴露容器端口HTTP。
配置新服务以通过调度它们的节点上的NodePort暴露各个Pod。

Answer

# 修改deployment
kubectl edit deployments front-end

在template.spec.containers的name下面增加ports

name:  nginx
ports:
- containerPort:  80
  name: http
# 创建svc
kubectl create svc nodeport front-end-svc --tcp=80:80

# 测试(不通的话可能depoyment和svc标签不一致),建议在集群内节点执行
curl <CLUSTER_IP>

# 查看标签
kubectl get svc front-end-svc --show-labels

或者最直接方式

 kubectl expose deployment front-end --port=80 --target-port=80 --protocol=TCP --type=NodePort --name=front-end-svc

知识点

1.kubectl create svc
2.kubectl expose

7.Ingress 7%

Task

创建一个名为nginx的Ingress并遵守以下规则
Name:pong
Namespace: ing-internal
Exposing service hello on path /hello 使用端口5678
验证
curl -kL <INTERNAL_IP>/hello

Answer

从官网粘贴ingress的实例,并进行修改。

vi ingress.yaml

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name:   pong
  namespace:  ing-internal
spec:
  rules:
  - http:
      paths:
      - path: /hello
        pathType: Prefix
        backend:
          service:
            name: hello
            port:
              number: 5678
kubectl apply -f ingress.yaml

kubectl get ingress pong -n ing-internal

知识点

ingress

8.扩容 4%

Task

将deployment web-service扩容到4个pods

Answer

kubectl scale deployment web-service --replicas=4

知识点

kubectl scale

9.通过node标签调度pod 4%

Task

按以下规则调度pod:
name:nginx-kusc00401
image:nginx
Node selector:disk=ssd

Answer

kubectl run nginx-kusc00401 --image=nginx --dry-run=client -o yaml > 9.yaml
vi 9.yaml

增加NodeSelector

containers:
- image:  nginx
  name:
  resources:  {}
nodeSelector: 
  disk:  ssd
...

kubectl apply -f 9.yaml

知识点

1.kubectr run
2.标签选择器(节点标签选择器)

10.节点数量 4%

Task

检查并查看有多少个节点准备就绪(不包括已获得Noschedule的节点)并将其写入 /opt/KUSC00402/kusc00402.txt

Answer

kubectl get node | grep Taint

echo 2 > /opt/KUSC00402/kusc00402.txt

知识点

11.创建多容器pod 4%

Task

创建一个名为kucc8的pod,并且使用以下镜像(可能指定了1至4个镜像)
nginx+redis+memcached+consul

Answer

kubectl run kucc8 --image=nginx --dry-run=client -o yaml > 11.yaml
vi 11.yaml

containers:
- name:  nginx
  image:  nginx
- name:  redis
  image:  redis
- name:  memcached
  image:  memcached
- name:  consul
  image:  consul


kubectl apply -f 11.yaml

kubectl get pod

知识点

1个pod启多个不同镜像容器

12.pv 4%

Task

创建一个名为app-config的pv1Gi大小,权限为ReadOnlyMany使用hostPath类型挂载到本地位置为/srv/app-config

Answer

从官网粘贴pv的yaml创建示例,并进行修改。

vi pv.yaml

apiVersion: v1
kind: PersistentVolume
metadata:
  name: app-config
  labels:
    type: local
spec:
  capacity:
    storage: 1Gi
  accessModes:
    - ReadWriteMany
  hostPath:
    path: "/srv/app-config"


kubectl apply -f pv.yaml

kubectl get pv

知识点

PV

13.pvc 7%

Task

创建一个pvc满足以下要求:
Name: pv-volume
Class: csi-hostpath-sc
Capcity: 10Mi
创建一个pod并挂载PVC:
name: test
image: nginx
Mount path: /usr/share/nginx/html
编辑pod vulume权限为ReadWriteOnce
最后,使用kubectl edit 或者kubectl patch讲pvc大小改为70Mi

Answer

从官网粘贴pvc的yaml创建示例,并进行修改。

vi pvc.yaml

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: pv-volume
spec:
  storageClassName: csi-hostpath-sc
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 10Mi

kubectl apply -f pvc.yaml

# 查看pvc状态,应该是Bound???
kubectl get pvc
vi pod-pvc.yaml

apiVersion: v1
kind: Pod
metadata:
  name: test
spec:
  volumes:
    - name: pv-volume
      persistentVolumeClaim:
        claimName: pv-volume
  containers:
    - name: nginx
      image: nginx
      ports:
        - containerPort: 80
          name: "http-server"
      volumeMounts:
        - mountPath: "/usr/share/nginx/html"
          name: pv-volume

kubectl apply -f pod-pvc.yaml

kubectl get pod 

kubectl get pvc
# 英文要求注意加上--record,可以在history看到
kubectl edit pvc pv-volume  --record

知识点

PVC
Pod挂载PVC

14.输出日志 5%

Task

监控bar的日志
并将error字段内容输出到/opt/KUTR00101/bar

Answer

pod为bar的日志

kubectl logs bar | grep error >> /opt/KUTR00101/bar

知识点

kubectl logs

15.sidecar 13%

Task

在pod big-corp-app中增加一个busybox的sidecar,新的sidecar容器使用以下命令:
/bin/sh -c tail -n+1 -f /var/log/big-corp-app.log
挂载一个卷的名字叫做logs并确保/var/log/big-corp-app.log文件在sidecar中可达
不要修改已经存在的容器
不要修改日志路径与文件

Answer

kubectl get pod big-corp-app -o yaml > 15.yaml

vi 15.yaml 增加如下内容(按照文件内容分条增加文件中):

    volumeMounts:
    - name: logs
      mountPath: /var/log
  - name:  busybox
    image: busybox
    args: [/bin/sh, -c, 'tail -n+1 -f /var/log/big-corp-app.log']
    volumeMounts:
    - name: logs
      mountPath: /var/log
  volumes:
  - name: logs
    emptyDir: {}
# 不要修改已经存在的容器
kubectl delete -f 15.yaml

kubectl apply -f 15.yaml

# 验证新加的容器
kubectl logs big-corp-app busy-box 
kubectl exec big-corp-app -c busybox  -- tail -f /var/log/big-corp-app.log

# 验证原来的容器(考试中的)
kubectl exec big-corp-app -c count -- tail -f /var/log/big-corp-app.log

知识点

使用 sidecar 容器运行日志代理

16.top 13%

Task

pod标签name=cpu-loader中找到CPU负载最大pod名称,并输出到/opt/KUTR00401/KUTR00401.txt(该文件已经存在)

此题中文翻译有问题,文件名中文是3个连续0,英文是2个连续0

Answer

kubectl top pod -A -l name=cpu-loader --sort-by='cpu'

echo <pod名称> >> /opt/KUTR00401/KUTR00401.txt

知识点

17.kubelet 13%

Task

名为wk8s-node-0的工作节点状态为NotReady,找到并解决此问题

Answer

需要ssh到wk8s-node-0上执行命令

# 查看kubelet状态
systemctl  status kubelet

# 启动kubelet
systemctl start kubelet

# 使kubelet服务开机开启
systemctl  enable kubelet

# 查看kubelet状态
system  status kubelet

# 验证node节点状态是Ready
kubectl get nodes

知识点

其它

1.考试环境ubantu,因此需要先进行命令补全

 source <(kubectl completion bash)

原视频如下:
1.Certified Kubernetes Administrator CKA 2020年12月题库讲解(上)
2.Certified Kubernetes Administrator CKA 2020年12月题库讲解(下)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,386评论 6 479
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,939评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,851评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,953评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,971评论 5 369
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,784评论 1 283
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,126评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,765评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,148评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,744评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,858评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,479评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,080评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,053评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,278评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,245评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,590评论 2 343

推荐阅读更多精彩内容