2025年高级运维工程师认证参考试题库(含答案)

2025年高级运维工程师认证参考试题库(含答案)一、Linux系统内核与性能调优1.单选题(1)在CentOS8Stream中，以下哪条命令可一次性查看当前系统所有CPU的Cstates占用比例？A.cpupowermonitormIdle_StatsB.turbostatshowPkg%pc3,Pkg%pc6,Pkg%pc7C.powertopcsvD.cat/sys/devices/system/cpu/cpu/cpuidle/state/time答案：B(2)当/proc/sys/vm/drop_caches写入值为3时，内核会释放哪类缓存？A.PageCacheB.PageCache+SlabC.PageCache+Slab+SwapCacheD.PageCache+dentries+inodes答案：D(3)使用ftrace跟踪函数调用时，若只想抓取“kfree”且过滤掉“kfree_skb”，应如何写filter？A.echo'kfree&&!kfree_skb'>trace_filterB.echo'!kfree_skb'>set_ftrace_filterC.echo'kfree'>set_ftrace_filter;echo'!kfree_skb'>set_ftrace_notraceD.echo'kfree'>set_ftrace_filter;echo'kfree_skb'>set_ftrace_notrace答案：D2.多选题(4)关于cgroupsv2，以下描述正确的是：A.默认启用“thread”模式B.支持PSI（PressureStallInformation）C.通过memory.high实现硬限制D.支持cgroup.freeze文件E.io.max可限制块设备IOPS答案：B、D、E(5)在NUMA系统中，哪些工具可以显示内存本地命中率？A.numastatB.perfmemC.numactlhardwareD.numatopE.top答案：A、B、D3.简答题(6)描述一次TCPSYNFlood攻击中，半连接队列（SYNQueue）溢出后，内核参数net.ipv4.tcp_syncookies的生效流程，并给出在CentOS7与CentOS8中默认值的差异。答案：当SYNQueue长度超过net.ipv4.tcp_max_syn_backlog且未开启tcp_syncookies时，新SYN被丢弃；若开启syncookies，内核构造特殊SYN+ACK序列号，不占用队列资源。CentOS7默认关闭（0），CentOS8默认开启（1）。4.综合题(7)某电商大促期间，8核16GECS实例的loadaverage飙至120，用户态CPU仅15%，iowait65%。现场已采集perfrecordagF99sleep30。请写出分析步骤、关键perf命令及最终优化方案。答案：步骤：1)perfreportstdio|grepA5iowait定位阻塞函数；2)perfscript|awk'$5~/D/{print$1}'|sort|uniqc|head查看D状态热点；3)发现ext4_da_write_end阻塞，结合dstatcdngy1确认磁盘util100%；4)调整ext4commit=120,nodelalloc，降低写放大；5)业务层批量写改为异步+合并，iowait降至15%，load降至8。二、云原生容器与Kubernetes深度运维1.单选题(8)在Kubernetes1.29中，以下哪个PriorityClass值最高？A.systemnodecriticalB.systemclustercriticalC.k8sclustercriticalD.platformclustercritical答案：A(9)当containerd作为CRI时，镜像层存储驱动默认使用：A.overlayfsB.devicemapperC.zfsD.aufs答案：A2.多选题(10)关于etcd3.5维护，下列操作安全的是：A.etcdctlcompact`etcdctlendpointstatuswriteout="json"|jqr'.[0].Status.header.revision'`B.etcdctldefragclusterC.在线替换etcd节点证书无需停机D.使用boltcli直接修改memberdb文件E.通过etcdctlmoveleader转移leader答案：A、C、E3.案例分析题(11)某集群30%Pod处于CrashLoopBackOff，事件显示“Livenessprobefailed:Get3:8080/health:dialtcp3:8080:connect:connectionrefused”。现场发现cni0网桥丢失MTU1500，而eth0为9001。给出根因及修复命令。答案：根因：JumboFrame导致Pod内TCPMSS协商失败，三次握手后大包被丢弃。修复：1)iplinksetcni0mtu9001；2)修改CNI配置"mtu":9001；3)滚动重建Pod，CrashLoopBackOff消失。4.排障脚本题(12)编写一条一行命令，统计当前集群中所有非RunningPod的最近5条事件，并按命名空间聚合输出。答案：kubectlgetpoAfieldselector=status.phase!=Runningojson|jqr'.items[]|[.space,.]|@tsv'|whileIFS=$'\t'readnspo;dokubectlgeteventfieldselectorinvolvedO=$po,involvedOspace=$nssortby='.lastTimestamp'ojson|jqr'.items[5:]|.[]|[.lastTimestamp,.reason,.message]|@tsv';done|awk'{a[$1]+=1}END{for(iina)printi,a[i]}'三、自动化与基础设施即代码1.单选题(13)Ansible2.15中，哪个策略插件可让任务失败时立即中止整个play且无需手动处理？A.linearB.freeC.debugD.fail_fast答案：D(4)Terraform1.7在plan阶段默认使用哪种资源图算法？A.DAG拓扑排序B.Tarjan强连通C.BFSD.DFS答案：A2.多选题(15)以下属于Terraformstate锁定后端的是：A.consulB.azurermC.gcsD.ossE.kubernetes答案：A、B、C、D3.实操题(16)给定一台跳板机，通过Ansible需向1000台主机并发下发配置文件/etc/limited.conf，要求失败率大于5%即回滚。写出主playbook与回滚逻辑。答案：hosts:allserial:50tasks:copy:src=limited.confdest=/etc/limited.confbackup=yespost_tasks:shell:md5sum/etc/limited.conf|cutd''f1register:md5set_fact:deploy_ok={{md5.stdout=='expected_md5'}}rescue:copy:remote_src=yessrc={{backup_file}}dest=/etc/limited.confvars:backup_file:"{{ansible_facts.hostname}}.limited.conf.{{ansible_date_time.epoch}}"run_once:truedelegate_to:localhostwhen:ansible_play_hosts|map('extract',hostvars,'deploy_ok')|select('false')|list|length>ansible_play_hosts|length0.05四、CI/CD与GitOps高阶实践1.单选题(17)ArgoCD2.10中，ApplicationSet控制器使用哪种CRD生成多集群应用？A.ApplicationB.AppProjectC.ClusterGeneratorD.ApplicationSet答案：D(18)在GitLabCI16.x，若job需要运行在标签为gpu且内存大于32G的runner，应如何写tags？A.tags:[gpu,32g]B.tags:[gpu,memory:32g]C.tags:[gpu]&&runner.memory>32gD.tags:[gpu]答案：D（并在runner配置里设置memory=32g作为tag）2.多选题(19)以下哪些策略可实现零停机全链路灰度？A.Istio基于Header的VirtualServiceB.ArgoRollouts的canaryC.Flagger的A/BTestingD.Jenkins的BlueOceanE.Spinnaker的Red/Black答案：A、B、C、E3.场景设计题(20)公司要求“代码合并即上线”，但需满足：1)主干分支禁止直接push；2)MR必须通过SonarQube质量阈；3)生产部署需审批但审批人不可为提交者；4)回滚需在5分钟内完成。请给出GitLab+ArgoCD+Helm的实现方案，含关键配置片段。答案：1)GitLabProtectedBranch：main禁止push，仅MR；2).gitlabci.yml:sonar:stage:testscript:sonarscannerDsonar.qualitygate.wait=truedeploy:stage:deployonly:mainwhen:manualneeds:[sonar]script:argocdappsyncmyappprunerollback:stage:deploywhen:manualscript:helmrollbackmyapp0waittimeout300s3)ArgoCDProject设置roles：name:prodapproverpolicies:p,proj:myapp:prodapprover,applications,sync,myapp/,allowgroups:[ops]4)审批插件：使用GitLabMergeRequestApprovalRules，排除提交者；5)回滚：Helm保留最近10版本，argocdapphistory&&argocdapprollback可在2分钟内完成。五、监控可观测与AIOps1.单选题(21)Prometheus2.50中，支持原生OTLP接收的端口是：A.9090B.9091C.4318D.4317答案：C(22)在Grafana11，若要变量$cluster为多选且ALL选项手动拼接为{cluster=~"."}，应使用哪种变量语法？A.${cluster:regex}B.${cluster:pipe}C.${cluster:glob}D.${cluster:raw}答案：A2.多选题(23)以下哪些属于eBPFbased可观测工具？A.CiliumHubbleB.PixieC.FalcoD.GrafanaBeylaE.SkyWalking答案：A、B、D3.告警调优题(24)某APIP99延迟基线为120ms，使用Prometheushistogram_quantile(0.99,http_request_duration_seconds_bucket)告警。大促时流量上涨10倍，P99抖动至180ms触发误告。给出基于“延迟流量”双维度的动态阈值表达式。答案：histogram_quantile(0.99,rate(http_request_duration_seconds_bucket[5m]))>(120/1000+0.5stddev_over_time(histogram_quantile(0.99,rate(http_request_duration_seconds_bucket[1h]))[7d:])predict_linear(sum(rate(http_request_duration_seconds_count[5m]))[1h:5m],3600))4.日志治理题(25)使用Loki3.0采集容器标准输出，发现labels中pod名称高基数导致内存暴涨。请给出降基方案并保留可查询性。答案：1)在Promtailpipeline阶段添加labeldrop__pod_name；2)将pod名称写入日志内容json字段pod；3)查询时使用|json|pod="xxx"过滤；4)对namespace、app标签建立索引，内存下降70%，查询延迟<2s。六、安全、合规与审计1.单选题(26)在LinuxCapability中，允许进程修改系统时钟的能力名是：A.CAP_SYS_TIMEB.CAP_SYS_ADMINC.CAP_WAKE_ALARMD.CAP_RTC答案：A(27)满足等保2.0三级要求，Kubernetes审