HOME
Lv033

「Lv033」の記事一覧

特定のグループ（例: developers）に対して、`secrets` の読み取りを許可せず、それ以外のアクションを許可したい場合、RBACでどのように定義するのが効率的か。

`secrets` に対する `create`, `update`, `delete`

2026年1月24日

OPA Gatekeeperで、すべてのNamespaceに特定のラベル（例: `gatekeeper=enabled`）があるかチェックするポリシーを作成する際、対象外とすべきNamespace（システム系）は通常どれか。

kube-system, kube-public, kube-node-lease

2026年1月24日

AppArmorプロファイルを作成する際、`flags=(attach_disconnected,mediate_deleted)` は何のために指定するか。

ファイルパスが名前空間の外にある場合や削除されたファイルへのアクセスを適切に制御・報告する

2026年1月24日

Kubeletが起動時にスワップ（Swap）が有効であると検知した場合のデフォルトの挙動はどれか。

起動に失敗するK8sはスワップ無効化を前提としている

2026年1月24日

Falcoの設定ファイル `falco.yaml` を変更した後、プロセスを再起動せずに設定をリロードする方法（ホットリロード）はどれか。

falco.yamlはSIGHUPシグナルを送信する（kill -1 ）

2026年1月24日

Podの `securityContext` で `privileged: true` を設定したコンテナは、ホストの `/dev` ディレクトリに対してどのようなアクセス権を持つか。

/devはすべてのデバイスにアクセス可能になる

2026年1月24日

RBACの `bind` 動詞はどのリソースに対して使用されるか。

roles, clusterroles

2026年1月24日

コンテナイメージのビルド時に、機密情報を環境変数（ENV）で渡してはならない理由はどれか。

`docker inspect` コマンドで誰でも簡単に環境変数の値を閲覧できてしまう

2026年1月24日

カーネルモジュール `br_netfilter` がロードされているか確認するコマンドはどれか。

br_netfilterコマンドはlsmod | grep br_netfilter

2026年1月24日

`kube-controller-manager` の `–use-service-account-credentials` フラグを `true` に設定するメリットはどれか。

各コントローラーが個別のSA権限で動作するようになり、単一の強大な権限を持つことを防ぐ

2026年1月24日