TL DR;
- CKS 취득
- k8s 외의 오픈소스 도구도 많이 물어보고 문제의 난이도도 높다
- 그래도 난 했지롱
1. Intro
CKA 취득하고 3년이 지나서 유효기간이 거의 만료되어 갱신이 필요했다. 하지만 비용대비 활성화된 상태로 유지해야하나.. 라는 생각이 들기도 했고, AWS의 일부자격증은 상위자격증을 취득하면 하위자격증의 유효기간도 갱신되는것처럼, 활성화된 CKA가 조건인 CKS를 취득하면 나름 의미가 있지 않겠나 라는 생각으로 취득을 준비하게됐다 (물론 AWS가 아니기에 CKA가 갱신되지는 않는다)
..지만 ICA와 유사하게 또 CKA 만료 2일 남기고 취득함 (CKA 만료 0825 1회차시험 0820 2회차시험 0823)
대충 기간효율적으로 취득했다고치자
2. 시험 준비 과정
2.1. 강의류
원래 이 분야(?), k8s쪽 강의에서 유명한것은 Mumshad Mannambeth의 Udemy 강의 일 것이다. 과거 후기 찾아보면 CKA, CKAD 처럼 CKS도 강의가 있었던것 같은데 CKS는 KodeKloud 쪽에서만 제공되는듯하다. 구매형식이였으면 샀을텐데 구독제라서 월 35$는 조금..
돈쓸만큼 매력적인 강의가 있지도 않아서 이번엔 무료강의들 위주로 학습해보았었다. Youtube 살펴보니 위의 강의가 있었고 실습보다는 그앞단의 개념? 동작원리들이 궁금했기에 그부분 위주로 보았음
2.2. killercoda
https://killercoda.com/killer-shell-cks
지난번 ICA때 부터 유용하게 사용하고있는 killercoda이다.
그때도 유사하게 적었지만.. 최종적으로 시험은 실습 위주인 만큼 실습 환경이 필요하다. 직접 로컬 k8s 환경을 구성하고 실습을 진행해도되나 직접 구축은 연습 목표 대비 사전에 준비할 요소가 너무 많아 번거롭다. 특히 단순 k8s 환경외에도 다른 OSS 도구들 또한 시험 대상에 포함되기에 준비하기 번거롭다. killercoda 최고
요즘 유료화되는 도구들 많은데 여기 유료화되면 많이 슬플듯
2.3. study-material-repo
출퇴근시 여유시간에 문서보는게 도움이 많이됐다. 각잡고 보려면 문서도 방대해서 쉽지않지만 틈틈히보면 상대적으로 나았달까
https://github.com/vedmichv/CKS-Certified-Kubernetes-Security-Specialist
- 다보려고했지만 다보지는 못했고 큰 주제외에 상세 주제 알기에 좋음
https://github.com/techiescamp/cks-certification-guide?tab=readme-ov-file
- 결국 명령어랑 YAML 구조가 중요한 시험이라 친숙해지기
3. 시험 응시 과정
3.1. 참조가능한 material
CKA같은 다른시험과 다르게 Kubernetes만을 물어보지는 않는다. 기본적으로 k8s docs는 조회가능하고 추가로 Ingress-NGINX, Falco, Kube-bench, Istio등의 문서에 접근 가능하다
CKS 사전조건이 CKA 활성화이기도하고, 그러다보니 k8s docs는 친숙하..겠지만 cks에서 추가된 외부 문서는 친숙하지 않을 수 있다. 개인적으로는 업무로인해 Ingress-nginx, Istio docs는 친숙하지만 이번 시험 범위에 포함된 falco, bom, cilium 등의 문서는 친숙하지 않아서 사전에 확인해두는것이 좋을듯 하다 (기본 명령어, 예시자료들 위치 확인)
평소 업무환경이라면 금방찾을 문서지만, 시험 환경에서 찾는것은 쉽지 않다. 하지만 시험전에 그냥 보려면 어떤걸 봐야할지 방향을 잡기가 쉽지않다. 그런점에서 몇개 링크를 정리해둔다.
- Falco
- rule 구조 이해하기 > 어떤 field가 있고 어떤 값들이 required인가(advanced rule syntax)
- example rule 예시 > 역시 시험에서 써먹으려면 복붙해서 값만 바꿀수있는 예시 필요
- custom rule 실행방법 > getting started같은 falco 문서 대부분은 falco 자체를 컨테이너화 실행하고 시스템로그(저널로그)보는 방식으로 설명한다. 하지만 그러면 기본 rule때문에 빠르게 적용하기가 쉽지않다.. 그러나 falco cli에 대한 문서는 없었고..
falco -r /path/to/my/rules1.yaml -r /path/to/my/rules2.yaml기억하기
- bom
- bom generate > SPDX 아카이브 생성하기
- -i > 도커이미지에 대해서
- -n > 서버URL?DNS에 대해서
- -a > 심화 분석
- bom generate > SPDX 아카이브 생성하기
- ingress-nginx
- 기본 ingress 형식
- Annotations > Ingress-nginx의 세부기능은 ingress 리소스의 annotation 설정으로 작동한다
- HTTPS > k8s docs, Ingrss-nginx docs에서는 ssl-redirect annotation 및 TLS termination
- cilium
- Cilium networkpolicy > 실리움 문서 전체보기엔 방대하고.. 후기에 netpol 있어서 해당부분 링크만 찾아보았음
- L3 netpol, L4 netpol, L7 netpol
- Istio
- Security Concepts > Security다 보니 istio 기능중 트래픽쪽 보다는 보안관련된 mtls, 인증/인가쪽 설정방법 확인
- AuthorizationPolicy, PeerAuthentication CRD
3.2. 시험은 가능하면 주중에
이번에 처음으로 주말에 응시했는데 시험 체크인 과정이 마음에 들지 않았다.
주중 밤-새벽에 응시했을경우 체크인대기도 없고 10분내외로 대충하고 끝났다.
반면 주말에는 체크인 대기열 등록하고 프록터 매칭까지 30분이상 걸리며, 앞선 대기자수를 보여주다 중간부터 안보여줘서 이게 대기중인건지 네트워크 연결이 끊긴건지 그래서 시험세션을 재시작해야하는지 이미 시작시간 지나서 브라우저 종료하면 재접속이 안되고 노쇼로 끝나는건지 걱정하였음.
또한 체크인과정에서도 기존에는 맥북카메라만 가지고 완료되었지만 별도로 폰 카메라도 활용해 맥북에 스마트폰 전면카메라를 비춰서 맥북 자체에도 이상이 없는지 증명해야함.. 귀찮음..
4. 기출 유형정리
- 1/2회차 모두 동일한 17문제에 동일한 순서, 동일한 내용으로 출제되었다
- 어느정도 주기로 시험문제 pool이 변경되는듯? 25년도 하반기 기준 그전 후기들에 종종보이던 cilium netpol이나 sysdig 관련 문제는 출제되지않았다
- 보안 특화긴해도 Associate보단 높은 Specialist 등급이라 그런지 문제도 조금 더 어렵게 물어본다.
- falco_rule로 이상파일 찾는문제가 있는데 문제자체엔 falco 언급이 없어서 1회차에선 k8s native하게 풀어야하나.. 하고 방향도 못잡음
- dockerfile/deployment 그대로주고 보안 취약사항 찾아서 제거하라고함
- kube-bench로 식별된 클러스터 보안조치 변경수행 > controlplane 요소 옵션 추가
- contolplane components(API-server,etcd,kubelet,etc..) 옵션 수정
- imagepolicywebhook 설정
- automountServiceAccountToken 설정
- 구체적인 RBAC 정책 살려서 설정하기
- k8s netpol 설정
- dockerfile/deployment 보고 취약사항 수정하기(couchDB)> root제거 등
- 리소스별 로깅 정책설정해서 auditlog 설정하기
- trivy 사용한 취약점있는 이미지 식별
- Pod security Standard > 필요한 필드표만 있지 예시 YAML이 없어서 시간소요있음
- k8s cluster 버전업그레이드
- falco rule 활용해 특정파일(/dev/mem) 접근 파드 찾기
- ingress-nginx HTTPS 설정
- bom으로 SBOM 생성 및 취약점 식별
- istio mtls 설정
- etc..
5. Outro
이제나도 당당한 CKS 오우너
CNCF 자격증 따다보니 kubeastronaut도 욕심나고 ICA도 있다보니 유효기간 없는 golden kubestronaut도 욕심나지만.. 돈값할지를 모르겠다.. 그돈으로 맥북사고말지
