2026年容器技术考试题及答案

2026年容器技术考试题及答案一、单项选择题（每题2分，共20分）1.在Kubernetes1.32中，当kubelet检测到某容器连续3次Liveness探测失败时，默认会触发的动作是A.重启该Pod内所有容器B.仅重启探测失败的容器C.将Pod标记为Failed并删除D.向APIServer上报事件但不重启答案：B解析：自1.28起，kubelet支持按容器粒度重启，Liveness失败仅影响目标容器，不影响同一Pod内其他容器。2.某Deployment的滚动更新策略为maxSurge=2、maxUnavailable=0，当前副本数10。更新过程中集群中最多同时存在的Pod实例数是A.10B.11C.12D.20答案：C解析：maxSurge允许超出期望副本数2，故10+2=12；maxUnavailable=0保证旧实例全下线前新实例已就绪。3.在CRI-O运行时中，用于实现容器rootfs只读层共享的底层技术是A.devicemapperthin-poolB.overlayfslowerdirC.btrfssubvolumeD.zfsclone答案：B解析：CRI-O默认使用overlayfs，lowerdir指向镜像只读层，upperdir提供读写层，实现层共享。4.某集群启用SeccompProfile=RuntimeDefault，以下系统调用会被默认seccomp过滤器拒绝的是A.readB.writeC.ptraceD.exit_group答案：C解析：RuntimeDefault策略基于Docker默认profile，ptrace被禁止以防止进程注入。5.在Istio1.23中，VirtualService的match字段支持HTTP、TLS、TCP三种协议，若同一VirtualService内同时存在HTTP与TCP路由，最终生效顺序为A.按字母序B.按定义先后C.HTTP优先于TCPD.TCP优先于HTTP答案：C解析：Istio按协议类型优先级匹配，HTTP最高，其次TLS，最后TCP。6.某Pod使用emptyDir卷存储临时缓存，以下操作会导致卷数据丢失的是A.容器镜像升级B.Pod被调度到另一节点C.节点kubelet重启D.容器发生OOMKill答案：B解析：emptyDir生命周期与Pod绑定，跨节点重新调度会创建新卷，原数据丢失。7.在containerd2.0中，以下哪种snapshotter支持跨命名空间镜像层共享A.overlaybdB.stargzC.zfsD.nydus答案：A解析：overlaybd通过块设备映射实现全局只读层，可被不同namespace共享。8.某集群使用CiliumCNI，启用eBPFkube-proxyreplacement，当Service类型为ExternalName时，数据包转发路径为A.由eBPF程序直接DNATB.由iptables规则处理C.由用户空间cilium-agent代理D.由CoreDNS返回CNAME，客户端自行解析答案：D解析：ExternalName仅返回DNSCNAME，无集群内转发逻辑。9.在OCIImageSpecv1.1中，引入的ImageIndex主要解决A.多架构镜像索引B.镜像加密C.镜像签名D.镜像压缩答案：A解析：ImageIndex指向不同平台manifest，支持arm64、amd64等多架构。10.某Job模板设置completions=10、parallelism=4、backoffLimit=3，若某Pod因镜像拉取失败反复重启，最多会创建Pod次数为A.10B.13C.30D.40答案：C解析：每个索引最多重试3+1=4次，10×4=40，但parallelism=4限制并发，总次数仍为40。二、多项选择题（每题3分，共15分）11.以下哪些组件支持通过gRPC实现CRI接口A.containerdB.CRI-OC.DockerEngine26.xD.podman5.0答案：A、B解析：DockerEngine需通过dockershim中转，podman未实现CRI。12.关于Kubernetes动态准入控制器，正确的有A.ValidatingWebhookConfiguration可在对象持久化前拒绝请求B.MutatingWebhookConfiguration执行顺序按字典序C.失败策略为Fail的webhook超时将被拒绝D.可为同一资源同时注册多个mutatingwebhook答案：A、C、D解析：MutatingWebhookConfiguration顺序由决定，非字典序。13.在BuildKit0.13中，以下哪些特性可提升镜像构建缓存命中率A.--mount=type=cache共享挂载B.--link模式复制文件C.RUN--mount=type=sshD.多阶段构建重命名stage答案：A、B解析：cache挂载复用缓存目录，--link减少层变更；ssh挂载仅用于密钥，重命名stage不影响缓存。14.以下哪些eBPF程序类型可用于实现容器网络策略A.BPF_PROG_TYPE_CGROUP_SKBB.BPF_PROG_TYPE_SCHED_CLSC.BPF_PROG_TYPE_KPROBED.BPF_PROG_TYPE_XDP答案：A、B、D解析：kprobe用于跟踪，不直接参与转发。15.当使用KubeVirt运行VM工作负载时，以下哪些资源需由VirtualMachineInstanceCRD定义A.CPU拓扑B.磁盘bus类型C.节点亲和性D.容器镜像命令答案：A、B、C解析：VMI定义虚拟机规格，镜像命令属于容器范畴。三、判断题（每题1分，共10分）16.在Kubernetes1.32中，HorizontalPodAutoscaler的ScaleTargetRef支持指向StatefulSet。答案：√17.使用cri-dockerd时，kubelet仍可直接调用containerdAPI。答案：×18.OCIArtifact规范允许将HelmChart打包为OCI镜像。答案：√19.在Falco规则中，spawned_process事件仅由内核模块触发，eBPFprobe无法上报。答案：×20.当Pod的securityContext设置runAsNonRoot=true且镜像USER为0时，kubelet将拒绝启动该Pod。答案：√21.在containerd中，命名空间“k8s.io”是硬编码不可更改的。答案：×22.使用k3s内置Flannel时，VXLAN与WireGuard后端可同时启用。答案：×23.在DockerBuildx中，--platformlinux/amd64,linux/arm64会触发两次独立构建，无法共享缓存。答案：×24.当APIServer启用AggregatedAPI时，extension-apiserver-authenticationconfigmap必须存在于kube-system命名空间。答案：√25.在CRI-O中，pinns工具用于固定容器网络命名空间。答案：√四、填空题（每空2分，共20分）26.在Kubernetes1.32中，Pod的调度周期由______插件负责计算节点得分，默认使用______算法。答案：NodeResourcesFit；LeastAllocated27.使用containerd的ctr命令导出镜像时，需添加的参数为______，导出格式为______。答案：--platform；OCItar28.在Istio中，DestinationRule的______字段用于定义mTLS模式，取值为______时表示强制双向TLS。答案：trafficPolicy.tls.mode；ISTIO_MUTUAL29.当使用KubeArmor时，策略中的______动作表示允许但记录审计日志，对应内核LSM______钩子点。答案：Audit；file_permission30.在eBPF程序中，______宏用于定义map类型为BPF_MAP_TYPE_HASH，用户空间通过______系统调用访问map。答案：BPF_MAP_HASH；bpf五、简答题（每题10分，共30分）31.描述在Kubernetes1.32中，当节点发生内存压力时，kubelet驱逐Pod的完整流程，并说明如何配置软驱逐与硬驱逐阈值。答案：1.kubelet通过cAdvisor采集节点内存用量。2.当内存.available低于eviction-soft阈值（默认0）并持续eviction-soft-grace-period（默认0s）时，触发软驱逐。3.若低于eviction-hard（默认100Mi），立即触发硬驱逐。4.驱逐顺序按QoS等级：BestEffort→Burstable→Guaranteed，同等级按优先级与内存用量排序。5.被驱逐Pod状态转为Failed，reason=Evicted。6.配置示例：eviction-hard=memory.available<500Mieviction-soft=memory.available<1Gieviction-soft-grace-period=memory.available=2m32.说明在multi-arch镜像构建中，如何使用buildx创建并推送manifestlist，并给出Dockerfile中利用ARG动态选择基础镜像的示例。答案：1.创建buildx构建器：dockerbuildxcreate--namemulti--platformlinux/amd64,linux/arm64--use2.构建并推送：dockerbuildxbuild--push--platformlinux/amd64,linux/arm64-treg.io/app:v1.3.生成manifestlist：buildx自动完成，无需dockermanifestcreate。4.Dockerfile示例：ARGTARGETARCHFROMalpine:3.19-${TARGETARCH}RUNapkaddcurlCMD["curl"]解析：ARGTARGETARCH由buildx注入，实现同Dockerfile跨平台。33.解释Cilium如何基于eBPF实现kube-proxyless的Service负载均衡，并给出访问ClusterIP时数据包转发路径的伪代码。答案：1.Cilium在bpf_lxc入口挂载eBPF程序，解析skb->dst。2.若dst为ClusterIP，查询lb4_services_map获取后端列表。3.使用Jenkins哈希选择后端，执行bpf_lb4_nat，将dstIP/port替换为后端Pod。4.在bpf_netdev出口再次执行SNAT，将src替换为节点IP。伪代码：```cstructlb4_keykey={.address=ClusterIP,.dport=port};structlb4_servicesvc=map_lookup_elem(&lb4_services_map,&key);structlb4_servicesvc=map_lookup_elem(&lb4_services_map,&key);if(svc){backend=svc->backends[jhash_2words(skb->hash,0)%svc->count];skb->dst=backend.pod_ip;skb->port=backend.pod_port;}```六、综合计算题（共25分）34.某在线业务Deployment名为order，副本数100，单Pod内存请求1Gi，CPU请求500m。集群共5节点，每节点32核128Gi。节点已运行系统守护进程占用4核8Gi。HPA指标：CPU目标60%，内存目标70%。当前CPU平均利用率75%，内存平均利用率80%。(1)计算HPA建议副本数（CPU与内存分别计算，取最大值）。(2)若节点资源碎片导致Pod无法调度，写出两种调度器扩展方案并比较优劣。答案：(1)CPU：目标副本数=ceil(100×75%/60%)=ceil(125)=125内存：目标副本数=ceil(100×80%/70%)=ceil(114.3)=115取max(125,115)=125(2)方案A：Trimaran调度器插件，基于真实利用率而非request，减少碎片。方案B：NodeResourceFit插件开启MostAllocated策略，优先填满节点。比较：Trimaran需MetricsServer提供真实用量，额外延迟；MostAllocated零依赖但可能加剧热点。七、卷后答案与解析（节选）单选1：Bkubelet1.28+支持per-containerrestart，Liveness失败仅重启目标容器，避免级联。多选11：A、BCRI接口由containerd与CRI-O原生实现，Docker需