HOME
Lv047

「Lv047」の記事一覧

Kubeletの設定ファイルで、`protectKernelDefaults: true` を設定する目的はどれか。

Kubelet起動時に、カーネルパラメータが予期された値と異なる場合に

2026年1月24日

Cilium Network Policyを使用して、HTTPリクエストのヘッダー（例: `User-Agent`）に基づいたフィルタリングを行うことは可能か。

レイヤー7ポリシーの一部としてサポートされている

2026年1月24日

ServiceAccountトークンの自動マウントを無効にする設定 `automountServiceAccountToken: false` は、どこに記述するか。

SAリソースの定義、またはPodのspec

2026年1月24日

Linuxの `Seccomp` (Secure Computing Mode) は、コンテナのセキュリティをどのように強化するか。

コンテナ内のプロセスがカーネルに対して発行できるシステムコールをフィルタリングし

2026年1月24日

etcdのデータディレクトリのバックアップ（スナップショット）を取得する際、etcdが稼働中であっても整合性のあるバックアップが取れる理由はどれか。

アップグレード前にetcdスナップショット取得

2026年1月24日

KubernetesのNetworkPolicyは、デフォルトではどのような動作をするか（何もポリシーが適用されていないPodの場合）。

ポリシー無しはIngress/Egress全許可

2026年1月24日

Falcoのルールで、`evt.type = execve` かつ `evt.dir = <` （exit）を監視する際、`proc.duration` フィールドは何を示すか。

プロセスが実行されてから終了するまでの時間ではなく、システムコールの実行にかかった時間

2026年1月24日

RBACにおいて、`escalate` 動詞は具体的にどのような操作に対する権限か。

CRやRoleを編集する際、自分自身が持っていない権限を追加する操作

2026年1月24日

コンテナイメージのメタデータ（LABEL）に、機密情報（APIキーやパスワード）を含めてしまった場合、`docker inspect` で閲覧可能か。

docker inspectは閲覧可能であるため、メタデータに機密情報を含めてはならない

2026年1月24日

コンテナ内からホストのカーネルモジュールを操作（ロード/アンロード）できてしまうことを防ぐために、削除すべきケーパビリティはどれか。

カーネルモジュール操作の権限

2026年1月24日