2025年Kubernetes运维工程师试题及答案

2025年Kubernetes运维工程师试题及答案一、单项选择题（每题2分，共20分）1.以下哪个Kubernetes调度策略用于确保Pod不被调度到某些节点？A.NodeAffinityB.PodAffinityC.Taint（污点）与Toleration（容忍）D.ResourceQuota答案：C解析：Taint标记节点为不可调度，Toleration允许Pod容忍该污点，是节点级排斥策略；NodeAffinity是偏好性调度规则。2.某Pod的资源请求（requests）设置为CPU=1核、内存=2Gi，限制（limits）设置为CPU=2核、内存=4Gi。当节点CPU使用率达到100%时，该Pod的CPU实际使用量会被限制为？A.1核B.2核C.取决于节点可用资源D.由Kubelet动态调整答案：B解析：limits定义资源使用上限，无论节点资源是否紧张，Pod的资源使用不会超过limits值（CPU为硬限制）。3.关于Kubernetes网络模型，以下描述错误的是？A.每个Pod有独立的IP地址B.容器跨节点通信需经过NATC.服务（Service）通过iptables或ipvs转发流量D.CNI插件负责实现Pod间网络连通答案：B解析：Kubernetes要求跨节点Pod可直接通信（无需NAT），符合“所有Pod在一个扁平的、可路由的网络中”原则。4.某StatefulSet应用需要使用持久化存储，要求存储卷可被多Pod以读写模式同时挂载。以下哪种存储类型最适合？A.AWSEBS（单节点读写）B.NFS（多节点读写）C.iSCSI（单节点读写）D.本地存储（单节点）答案：B解析：NFS支持多客户端同时读写，适合StatefulSet的共享存储场景；EBS、iSCSI通常为单节点独占。5.以下哪个控制器（Controller）用于管理一组相同Pod，且保证指定数量的Pod运行？A.DaemonSetB.JobC.DeploymentD.StatefulSet答案：C解析：Deployment通过ReplicaSet管理Pod副本数，确保目标数量的Pod运行；StatefulSet侧重有状态应用的有序部署。6.为增强集群安全性，需限制Pod只能访问特定命名空间的Secret。应使用以下哪种机制？A.NetworkPolicyB.Role-BasedAccessControl（RBAC）C.PodSecurityPolicy（已废弃，替换为PSPv2）D.SeccompProfile答案：B解析：通过RBAC的Role/ClusterRole绑定，可限制ServiceAccount对特定命名空间Secret的访问权限。7.监控Kubernetes集群时，若需统计Pod的CPU使用率（非请求/限制值），应从以下哪个数据源获取？A.kube-state-metricsB.cAdvisorC.kube-apiserverD.etcd答案：B解析：cAdvisor（集成于kubelet）收集容器级资源使用指标（如实际CPU/内存使用率）；kube-state-metrics提供集群对象状态指标（如副本数）。8.升级Kubernetes集群版本时，正确的操作顺序是？A.升级控制平面组件→升级kubelet→升级kube-proxy→验证集群状态B.升级kubelet→升级控制平面组件→升级kube-proxy→验证集群状态C.升级控制平面组件→升级kube-proxy→升级kubelet→验证集群状态D.升级kube-proxy→升级kubelet→升级控制平面组件→验证集群状态答案：C解析：标准升级流程为：先升级控制平面（apiserver、scheduler、controller-manager），再升级节点组件（kube-proxy、kubelet），最后验证。9.某Pod状态为“CrashLoopBackOff”，最可能的原因是？A.节点资源不足B.容器启动命令错误导致进程退出C.Service未正确关联PodD.Ingress规则配置错误答案：B解析：CrashLoopBackOff表示容器反复启动失败（进程退出码非0），常见原因包括应用启动命令错误、依赖服务不可用等。10.Kubernetes1.28版本中，以下哪个API版本已被标记为废弃？A.apps/v1B.batch/v1C.networking.k8s.io/v1D.extensions/v1beta1答案：D解析：extensions/v1beta1自1.16起逐步废弃，1.28已移除，相关资源（如Ingress）需使用networking.k8s.io/v1。二、填空题（每题2分，共20分）1.Kubernetes集群的核心存储组件是______，其默认数据存储路径为______。答案：etcd；/var/lib/etcd2.Pod的QoS（服务质量）等级包括______、______和______。答案：Guaranteed（保证型）、Burstable（突发型）、BestEffort（尽力而为型）3.Service的四种类型是ClusterIP、NodePort、______和______。答案：LoadBalancer、ExternalName4.Ingress资源的实现依赖______（如NginxIngressController），其通过监听______资源的变化动态更新路由规则。答案：IngressController；Ingress5.kube-scheduler的默认调度策略分为______（筛选符合条件的节点）和______（对节点打分并选择最优）两个阶段。答案：Predicates（预选）、Priorities（优选）6.Pod的重启策略（restartPolicy）包括Always、OnFailure和______。答案：Never7.污点（Taint）的键值对格式为______，容忍（Toleration）的匹配方式包括Exact（精确匹配）和______。答案：key=value:effect；Exists（存在匹配）8.网络策略（NetworkPolicy）的API版本为______，其通过______（如Calico）实现流量过滤。答案：networking.k8s.io/v1；CNI插件（或网络插件）9.ConfigMap可通过环境变量或______方式挂载到容器中，Secret的默认存储路径为______。答案：卷（Volume）；/run/secrets/kubernetes.io/serviceaccount（注：Secret自定义挂载路径由用户配置）10.健康检查（Probe）包括______（启动检查）、LivenessProbe（存活检查）和______（就绪检查）。答案：StartupProbe；ReadinessProbe三、简答题（每题6分，共30分）1.简述kubelet的主要职责。答案：kubelet是节点代理，负责：①管理节点上的Pod生命周期（启动/停止/监控）；②通过容器运行时（如Containerd）操作容器；③上报节点和Pod状态到apiserver；④执行健康检查；⑤管理节点资源（如磁盘、内存）；⑥处理来自apiserver的PodSpec更新。2.说明Pod生命周期的主要阶段。答案：Pod生命周期阶段包括：①Pending（调度中，未分配节点）；②Running（已绑定节点，所有容器启动中/运行中）；③Succeeded（所有容器正常退出且不会重启）；④Failed（至少一个容器异常退出且无法重启）；⑤Unknown（kubelet无法上报状态）。此外，容器级阶段包括Waiting（等待启动）、Running（运行中）、Terminated（已退出）。3.解释Service与EndpointSlice的关系及设计目的。答案：Service是抽象的服务访问入口，EndpointSlice是Service后端Pod的IP:端口列表（替代旧版Endpoints）。设计目的：Endpoints在大规模集群中可能因Pod数量多导致API对象过大（单Endpoints对象限制为1000个端点），EndpointSlice通过分片（默认每片100个端点）减少API负载，提升性能和可扩展性。4.简述CSI（容器存储接口）的优势。答案：CSI优势包括：①解耦Kubernetes与存储驱动实现，存储供应商只需开发符合CSI标准的插件，无需修改Kubernetes代码；②支持动态卷管理（创建/删除卷）；③支持卷快照、扩容等高级功能；④提升安全性（通过CSISidecar容器隔离权限）；⑤统一不同存储系统的接口（如块存储、文件存储）。5.网络策略（NetworkPolicy）如何实现Pod间流量控制？需满足哪些前提条件？答案：NetworkPolicy通过定义允许/拒绝的流量规则（源/目的IP、端口、协议等），由支持网络策略的CNI插件（如Calico、Cilium）在节点上配置iptables或eBPF规则实现过滤。前提条件：①集群启用NetworkPolicy（需API服务器启用相关特性门控）；②使用支持NetworkPolicy的CNI插件；③Pod需被标签选择器匹配（未匹配的Pod默认允许所有流量）。四、场景题（每题10分，共20分）1.某生产集群中，用户反馈名为“order-service”的Deployment下Pod无法调度，状态为“Pending”。请列出排查步骤及可能原因。答案：排查步骤：（1）查看Pod事件：`kubectldescribepod<pod-name>-n<namespace>`，重点关注“Events”字段，确认是否有调度失败信息（如“0/5nodesareavailable”）。（2）检查节点资源：`kubectltopnodes`，确认节点CPU/内存/存储是否不足（requests无法满足）。（3）分析调度策略：查看Pod的affinity/anti-affinity、toleration配置，确认是否与节点taint不匹配（如节点有“disk=ssd:NoSchedule”污点，但Pod无对应容忍）。（4）检查节点状态：`kubectlgetnodes`，确认节点是否为“Ready”状态（如节点不可用、网络异常）。（5）查看资源配额（ResourceQuota）：`kubectlgetresourcequota-n<namespace>`，确认命名空间内CPU/内存/Pod数量是否超配额。可能原因：①节点资源不足（Pod的requests超过节点可用资源）；②Pod的toleration不匹配节点taint（如节点标记为不可调度）；③节点未满足affinity规则（如要求节点标签“disk=ssd”但无节点符合）；④命名空间资源配额耗尽；⑤节点故障（如kubelet未运行、网络断开）。2.某微服务集群中，用户反映访问“payment-service”的延迟突然升高（从50ms增至500ms）。作为运维工程师，如何定位问题？答案：定位步骤：（1）确认服务入口：检查Ingress/Service配置，确认流量是否正确路由到Pod（`kubectlgetendpointspayment-service`查看后端PodIP是否正常）。（2）监控Pod性能：通过Prometheus+Grafana查看Pod的CPU/内存使用率、网络吞吐量/延迟（如cAdvisor的容器指标），确认是否因资源不足导致延迟（如CPU满载）。（3）分析网络流量：使用工具（如tcpdump、CiliumHubble）抓包，检查请求在集群内的传输路径（Pod→Service→Endpoint），确认是否存在网络丢包、路由环路或跨节点通信额外开销。（4）检查容器运行时：查看kubelet日志（`journalctl-ukubelet`），确认是否有容器启动延迟、镜像拉取失败或OOM（内存溢出）事件。（5）排查应用层问题：登录Pod查看应用日志（`kubectllogspayment-service-xxx`），确认是否有数据库慢查询、外部服务调用超时（如调用支付网关延迟）或锁竞争问题。（6）检查节点状态：确认节点是否存在磁盘IO高（`iostat`）、网络延迟（`ping`其他节点）或内核异常（`dmesg`查看错误日志）。可能原因：①Pod资源不足（如内存不足导致GC频繁，CPU密集型操作）；②服务后端Pod数量减少（副本数不足，流量集中到少数Pod）；③网络插件（如Calico）性能瓶颈（如IPIP封装增加延迟）；④应用代码缺陷（如死锁、未优化的循环）；⑤依赖的外部服务（如Redis、MySQL）响应延迟。五、论述题（共30分）请设计一个生产级Kubernetes集群的高可用架构，并说明关键组件的冗余方案及故障恢复策略。（要求：包含控制平面、数据存储、网络、节点池等模块）答案：一、架构设计目标满足99.99%可用性，支持控制平面组件故障自动切换，数据存储无单点，节点池弹性扩展，故障节点快速替换。二、关键模块设计1.控制平面高可用-部署方式：采用3节点控制平面（Master节点），分布在不同可用区（AZ），避免单AZ故障。-组件冗余：-kube-apiserver：通过负载均衡器（如HAProxy+Keepalived或云厂商ALB）对外提供统一入口，多实例自动负载均衡；-kube-scheduler、kube-controller-manager：采用“leader选举”机制，仅1个实例活跃（leader），其他为备用（follower），leader故障时自动重新选举；-etcd集群：部署3节点（奇数避免脑裂），使用SSD存储，启用TLS加密通信，数据跨AZ同步（通过云厂商跨AZ网络或VPN）。2.数据存储（etcd）冗余与备份-冗余方案：etcd采用Raft协议，3节点集群中需至少2节点存活可保证写入；每个节点数据本地持久化（挂载云盘或本地SSD）。-备份策略：-定期快照：通过`etcdctlsnapshotsave`每日全量备份，存储至对象存储（如AWSS3、阿里云OSS）；-增量监控：集成Prometheus监控etcd健康状态（如集群成员状态、数据库大小、请求延迟），异常时触发告警；-灾难恢复：若集群不可用，使用最新快照恢复（需至少1个健康节点或空集群重建）。3.网络高可用-CNI插件：选择支持多主备的插件（如CalicowithBGP），避免网络控制器单点；-IngressController：部署2个以上实例（跨AZ），通过Service（类型LoadBalancer）暴露，流量由云厂商负载均衡器分发；-节点网络：节点启用多网卡（主网卡+备用网卡），或使用云厂商弹性网络接口（ENI），单网卡故障时自动切换。4.节点池与工作负载高可用-节点池划分：生产池（部署核心业务）、测试池（部署非核心业务），生产池节点分布在3个AZ，每AZ至少2节点；-自动扩缩容（HPA+CA）：配置HorizontalPodAutoscaler（基于CPU/自定义指标）和ClusterAutoscaler（节点级扩缩），流量高峰时自动扩容节点和Pod；-节点故障替换：-节点监控：通过kubelet状态（Ready/NotReady）、节点心跳（通过apiserver检测），故障节点标记为不可调度；-自动排水（Drain）：使用`kubectldrain`将故障节点上的Pod迁移至其他节点（需Pod配置可迁移，如无本地存储或使用持久化