HOME
Lv048

「Lv048」の記事一覧

`kube-controller-manager` が生成する `root-ca-cert-publisher` コントローラーの役割はどれか。

各NSに `kube-root-ca.crt` ConfigMapを作成・維持し

2026年1月24日

RBACにおいて、`system:authenticated` グループから権限を削除することは可能か。

`system:authenticated` は認証された全ユーザーを含む動的なグループであり

2026年1月24日

Pod Security Admission (PSA) の `restricted` プロファイルで、`volumeMounts` として許可されないものはどれか。

volumeMountsはhostPath

2026年1月24日

APIサーバーの `–audit-log-truncate-enabled` フラグを有効にするとどうなるか。

監査ログの書き込み時に、指定サイズを超えるログメッセージを切り捨てることで

2026年1月24日

コンテナ内からホストの `/dev` をマウントすることなく、GPUなどのデバイスを利用するために、Kubernetesが提供している仕組みはどれか。

/devはDevice Plugin フレームワーク

2026年1月24日

Falcoの設定で `syslog_output` を有効にした場合、デフォルトでどのファシリティ（facility）が使用されるか。

syslog_outputはLOG_USER

2026年1月24日

TrivyでGo言語のアプリケーション依存関係（go.sum）の脆弱性をスキャンする場合、インターネット接続が必要な理由はどれか。

脆弱性データベースのダウンロードおよび更新の

2026年1月24日

Ingressリソースにおいて、単一のIPアドレスから大量のリクエストが来た場合に接続を制限する（Rate Limiting）アノテーション（Nginx Ingress）はどれか。

nginx.ingress.kubernetes.io/limit-rps

2026年1月24日

`Privileged` コンテナ（特権コンテナ）がセキュリティ上の大きなリスクである理由はどれか。

ホストのデバイスへの全アクセス権を持ち、AppArmor/Seccomp等の制限が外れ

2026年1月24日

特定のNamespaceに属するPodが、Nodeのローカルストレージ（ephemeral-storage）を使い果たしてNodeを不安定にさせるのを防ぐためのリソース制限はどれか。

LimitRange または ResourceQuota で `requests

2026年1月24日