「Lv056」の記事一覧

Pod Security Admission (PSA) で、Namespaceに `pod-security.kubernetes.io/enforce-version: “v1.25″` ラベルを付与する意味はどれか。

Kubernetes APIサーバーの `–audit-webhook-batch-max-wait` フラグは何を制御するか。

コンテナランタイム（Docker/Containerd）がデフォルトで使用する `AppArmor` プロファイルの名前は通常何か。

RBACの `impersonate` 権限を、特定のグループ（例: `system:masters`）に対してのみ禁止し、他のユーザーへの偽装は許可するという設定は可能か。

Falcoルールで `evt.type = chmod` を監視する際、`evt.arg.mode` をチェックすることで何がわかるか。

APIサーバーの `–tls-cert-file` が更新された場合（証明書のローテーション）、APIサーバープロセスの再起動は必要か。

Ingressリソースで、`nginx.ingress.kubernetes.io/auth-type: basic` を設定した場合、認証情報はどこに保存されるか。

コンテナイメージの署名を検証するAdmission Controllerを導入した際、署名検証サーバーがダウンした場合の挙動（Fail Open / Fail Closed）を決める設定はどれか。

コンテナ内からホストの `/proc/sys` への書き込みを許可してしまう設定はどれか。

RBAC設定において、`cluster-admin` ロールを持つユーザーの数を最小限にすべき理由はどれか。