云原生容器工程师技术认证考试大纲含答案

2026年云原生容器工程师技术认证考试大纲含答案一、单选题（共20题，每题1分，总计20分）1.在Kubernetes中，用于管理Pod副本的控制器是？A.DeploymentB.StatefulSetC.DaemonSetD.Job答案：A解析：Deployment是Kubernetes中最常用的控制器，用于管理Pod的副本数、滚动更新等。StatefulSet适用于有状态应用，DaemonSet确保每个节点运行一个Pod，Job用于一次性任务。2.Dockerfile中，指令`FROMalpine:latest`的作用是？A.从远程仓库拉取基础镜像B.创建本地镜像C.修改镜像标签D.删除镜像答案：A解析：`FROM`指令指定基础镜像，通常从DockerHub拉取。`alpine:latest`表示使用最新版alpine镜像。3.以下哪种网络模式，允许Pod之间直接通信而不需要额外配置？A.BridgeB.HostC.OverlayD.None答案：B解析：Host模式将Pod直接运行在Node宿主机网络中，无需额外网络配置。Bridge模式需要Calico或Flannel等插件。4.在Kubernetes中，用于持久化存储的卷类型是？A.ConfigMapB.SecretC.PersistentVolumeClaimD.EmptyDir答案：C解析：`PersistentVolumeClaim`（PVC）用于动态分配持久化存储。ConfigMap和Secret是配置数据卷，EmptyDir是临时存储。5.CNI（ContainerNetworkInterface）的作用是？A.管理Pod生命周期B.实现容器网络通信C.配置存储卷D.监控资源使用答案：B解析：CNI定义了容器网络插件接口，如Calico、Flannel等通过CNI实现网络隔离。6.在Kubernetes中，用于自动扩缩容的组件是？A.HorizontalPodAutoscaler(HPA)B.ClusterAutoscalerC.NodeControllerD.DaemonSet答案：A解析：HPA根据CPU等指标自动调整Pod副本数。ClusterAutoscaler调整Node数量。7.DockerCompose文件中，`version:"3"`的作用是？A.指定Dockerfile版本B.定义项目版本C.启用插件版本管理D.无实际作用答案：B解析：`version`字段指定Compose文件格式，如v3支持服务依赖和扩展。8.在Kubernetes中，用于管理多租户的机制是？A.NamespacesB.ServiceAccountsC.ResourceQuotasD.PodSecurityPolicies答案：A解析：Namespace通过逻辑隔离实现多租户，如隔离资源配额和网络。9.以下哪种容器运行时，支持可审计日志？A.DockerB.rktC.PodmanD.Alloftheabove答案：D解析：Docker、rkt、Podman均支持日志审计，可通过配置启用。10.在Kubernetes中，用于管理镜像仓库的组件是？A.HarborB.ContainerRegistryC.ImageRepositoryD.Artifactory答案：B解析：`ContainerRegistry`是Kubernetes官方镜像仓库抽象，如Elasticsearch集群可充当。11.CronJob在Kubernetes中的作用是？A.自动扩缩容B.定时任务调度C.持久化存储管理D.网络策略配置答案：B解析：CronJob类似Linux的cron，用于定时运行Pod。12.在Docker中，`--restart=always`的作用是？A.始终重启容器B.仅在错误时重启C.禁用重启D.无实际作用答案：A解析：`--restart=always`确保容器异常退出时自动重启。13.以下哪种存储卷，支持跨Node共享？A.HostPathB.ConfigMapC.PersistentVolumeClaimD.Memory答案：C解析：PVC通过StorageClass动态分配持久化存储，可跨Node共享。14.在Kubernetes中，用于限制资源使用的指令是？A.ResourceQuotasB.LimitRangesC.PodDisruptionBudgetsD.NetworkPolicies答案：B解析：`LimitRanges`强制Pod资源上限，如CPU/内存。15.以下哪种容器编排工具，适用于云原生应用？A.ApacheMesosB.KubernetesC.DockerSwarmD.OpenShift答案：B解析：Kubernetes是主流云原生编排工具，OpenShift是商业版。16.在Kubernetes中，用于暴露服务的组件是？A.IngressControllerB.ServiceC.LoadBalancerD.NodePort答案：B解析：`Service`定义网络端点抽象，`Ingress`提供路由规则。17.Dockerfile中，指令`CMD["bash"]`的作用是？A.运行脚本B.定义容器启动命令C.删除镜像D.拉取依赖答案：B解析：`CMD`是容器启动时默认命令，优先级低于`ENTRYPOINT`。18.在Kubernetes中，用于管理网络策略的组件是？A.NetworkPoliciesB.ServiceMeshC.CNI插件D.Ingress答案：A解析：`NetworkPolicies`控制Pod间通信，如允许/拒绝访问。19.以下哪种镜像扫描工具，支持云原生应用安全检测？A.ClairB.TrivyC.DockerScoutD.Alloftheabove答案：D解析：Clair、Trivy、DockerScout均支持镜像漏洞扫描。20.在Kubernetes中，用于管理配置文件的工具是？A.HelmB.KustomizeC.AnsibleD.Terraform答案：B解析：`Kustomize`通过overlay管理配置，Helm是包管理工具。二、多选题（共10题，每题2分，总计20分）1.以下哪些是Kubernetes的组件？A.APIServerB.etcdC.SchedulerD.DockerE.Kubelet答案：A,B,C,E解析：Kubernetes核心组件包括APIServer、etcd、Scheduler、Kubelet等，Docker是运行时依赖。2.在Dockerfile中，以下哪些指令是必填的？A.FROMB.RUNC.ENTRYPOINTD.CMDE.LABEL答案：A解析：`FROM`是必须的，其他指令可选。`ENTRYPOINT`和`CMD`可组合使用。3.以下哪些存储卷类型，支持持久化？A.ConfigMapB.EmptyDirC.PersistentVolumeClaimD.HostPathE.Memory答案：C,D解析：PVC和HostPath支持持久化，EmptyDir和Memory是临时存储。4.在Kubernetes中，以下哪些资源类型属于网络相关？A.ServiceB.IngressC.PodD.NetworkPolicyE.PersistentVolumeClaim答案：A,B,D解析：Service、Ingress、NetworkPolicy涉及网络，PVC是存储。5.以下哪些是云原生应用的优势？A.可移植性B.弹性伸缩C.垂直扩展D.微服务架构E.自动化运维答案：A,B,D,E解析：云原生强调可移植、弹性伸缩、微服务和自动化，垂直扩展属于传统架构。6.在Kubernetes中，以下哪些指令可用于资源限制？A.ResourceQuotasB.LimitRangesC.PodDisruptionBudgetsD.ServiceE.ConfigMaps答案：A,B,C解析：资源限制相关指令包括Quotas、LimitRanges、PDBs。7.以下哪些是CNI插件的示例？A.CalicoB.FlannelC.WeaveNetD.DockerE.KubernetesNetworkPlugin答案：A,B,C解析：Calico、Flannel、WeaveNet是CNI插件，Docker是运行时。8.在DockerCompose中，以下哪些是常用指令？A.upB.buildC.pullD.psE.down答案：A,C,E解析：`up`启动服务，`pull`拉取镜像，`down`停止服务。9.以下哪些是镜像扫描工具？A.ClairB.TrivyC.SonarQubeD.AnchoreE.DockerScout答案：A,B,D,E解析：SonarQube主要用于代码扫描，其他工具均支持镜像。10.在Kubernetes中，以下哪些组件与监控相关？A.PrometheusB.GrafanaC.cAdvisorD.EFKStackE.Kubelet答案：A,C,D解析：Prometheus、cAdvisor、EFKStack（Elasticsearch+Fluentd+Kibana）用于监控。三、判断题（共10题，每题1分，总计10分）1.Kubernetes中的Pod总是长期运行的应用单元。答案：错解析：Pod是短暂存在的，通常用于一次性任务或短时运行。2.DockerCompose文件可以定义多个服务依赖关系。答案：对解析：Compose支持服务间的依赖，如`depends_on`。3.在Kubernetes中，所有Pod都属于同一个Namespace。答案：错解析：Pod默认属于`default`Namespace，可自定义。4.CNI插件可以自定义Pod网络拓扑。答案：对解析：如Calico支持BGP路由，Flannel支持覆盖网络。5.Dockerfile中的`RUN`指令必须位于`FROM`之后。答案：对解析：`FROM`定义基础镜像，`RUN`在其上执行命令。6.Kubernetes中的Ingress必须配合LoadBalancer使用。答案：错解析：Ingress可配合NodePort或ClusterIP使用。7.PodSecurityPolicies已被Kubernetes废弃。答案：对解析：自Kubernetes1.21后弃用，改为NetworkPolicies。8.Docker镜像可以被直接部署到Kubernetes中。答案：对解析：Kubernetes支持使用Docker镜像创建Pod。9.Kubernetes中的ConfigMap可以直接挂载为卷。答案：对解析：可通过`emptyDir`或`configMap`字段挂载。10.CNI插件必须使用Calico或Flannel。答案：错解析：CNI支持任意网络插件，如WeaveNet。四、简答题（共5题，每题4分，总计20分）1.简述Kubernetes中Service和Ingress的区别。答案：-Service是抽象网络端点，定义Pod组访问方式（如ClusterIP、NodePort、LoadBalancer）。-Ingress是路由规则，通过域名/路径路由到Service，支持TLS、重定向等高级功能。解析：Service是静态负载均衡，Ingress是动态路由。2.简述Dockerfile中`COPY`和`ADD`指令的区别。答案：-`COPY`仅复制文件，`ADD`可处理远程URL或解压tar文件。解析：`ADD`更灵活，但需注意安全性（如自动解压）。3.简述Kubernetes中ResourceQuotas的作用。答案：限制Namespace内资源使用总量，如CPU/内存/存储配额。解析：防止单个Namespace消耗过多资源影响其他应用。4.简述CNI插件在Kubernetes中的重要性。答案：-提供容器网络抽象，支持不同网络拓扑（如Overlay、Host）。-解耦网络与编排，方便扩展或更换网络方案。解析：CNI是Kubernetes网络的核心，决定Pod间通信方式。5.简述云原生应用对容器的依赖。答案：-容器提供环境隔离，确保应用一致性。-容器编排工具（如Kubernetes）实现弹性伸缩和自动化运维。解析：容器是云原生的基础，编排工具提升应用可靠性。五、论述题（共2题，每题10分，总计20分）1.论述Kubernetes中网络策略（NetworkPolicies）的应用场景。答案：-控制Pod间通信，实现微