「Lv058」の記事一覧

`kube-apiserver` の引数 `–tls-cipher-suites` で指定する暗号スイートのリストにおいて、順序は重要か。

ServiceAccountのトークンを手動で無効化したいが、SecretベースではなくBound Token（TokenRequest）を使用している場合、どうすればよいか。

NetworkPolicyで `podSelector` を指定せず (`{}`)、`namespaceSelector` のみを指定した `ingress` ルールを作成した場合、どのPodからの通信が許可されるか。

EtcdのTLS証明書認証において、証明書のCommon Name (CN) やSubject Alternative Names (SANs) にIPアドレスを含める必要があるのはなぜか。

コンテナ内から `sysctl -w` コマンドでカーネルパラメータを変更しようとしたが、「Read-only file system」エラーが出た。これはどの設定によるものか。

コンテナイメージのビルド時に `npm install` などを実行する際、ロックファイル（package-lock.json, yarn.lock）を使用しない場合のリスクはどれか。

Pod Security Admission (PSA) の `restricted` ポリシーでは、`capabilities` の設定はどうあるべきか。

Falcoの `k8s_audit` ルールで、特定のユーザー（例: “system:serviceaccount:…”）によるアクションを除外したい場合、どのフィールドを条件に使用するか。

RBACの `bind` 権限を持つユーザーが、`cluster-admin` ロールを自分自身にバインドできないようにするための制約は何か。

Linuxカーネルの `user_namespaces` を有効にした場合、コンテナ内のルートユーザー（UID 0）は、ホスト上のどのユーザーとして扱われるか（マッピングによる）。