2026年腾讯云运维工程师认证考试真题题库

2026年腾讯云运维工程师认证考试真题题库一、单选题1.在腾讯云私有网络（VPC）中，用户需要创建一个子网。关于子网CIDR块的配置，以下哪项描述是正确的？A.子网的CIDR块必须包含VPC的CIDR块B.子网的CIDR块可以与VPC的CIDR块重叠，但不能与其他子网重叠C.子网的CIDR块必须在VPC的CIDR块范围内，且不同子网间的CIDR块不能重叠D.子网的CIDR块大小必须与VPC的CIDR块大小一致答案：C解析：在腾讯云VPC中，子网是VPC的逻辑划分。子网的CIDR块必须完全包含在VPC的CIDR块范围内，这是基本的IP地址管理规则。同时，为了确保路由清晰且IP地址不冲突，同一个VPC内的不同子网之间的CIDR块是不能重叠的。选项A和B描述反了或逻辑错误，选项D则过于限制，子网通常比VPC小。2.某游戏公司使用腾讯云CVM（云服务器）部署其后端服务，业务高峰期出现在每天20:00-23:00。为了优化成本，运维工程师决定采用弹性伸缩（AS）策略。以下哪种伸缩策略最适合该场景？A.定时策略：每天19:50增加实例，23:10减少实例B.动态策略：基于CPU利用率超过70%时增加实例，低于30%时减少实例C.自定义策略：基于内存使用率调整实例数量D.静态策略：保持固定数量的实例运行答案：A解析：题目明确指出业务高峰期是特定的时间段（每天20:00-23:00），且具有明显的规律性。定时策略允许用户在预设的时间点执行伸缩活动，这比动态策略（基于指标，有滞后性）更能精准地应对可预测的周期性流量波动，从而在保证服务质量的同时最大程度降低成本。动态策略适用于不可预测的流量波动。3.在腾讯云对象存储（COS）中，开发者上传了一个名为“logo.png”的文件，并设置了版本控制为“开启”。随后，他又上传了同名但内容不同的“logo.png”文件。此时，存储桶内会有多少个对象键（Key）？A.0个B.1个C.2个D.3个答案：B解析：在开启版本控制的COS存储桶中，对象键是唯一的。虽然上传了同名文件，但它们拥有不同的版本ID（VersionID）。从对象键的角度来看，仍然只有一个名为“logo.png”的Key，只是该Key下关联了多个版本的数据。如果通过控制台查看，通常会看到最新版本，但历史版本依然存在。4.运维工程师在使用腾讯云CLI命令行工具管理云资源时，遇到权限不足的错误。为了排查问题，需要确认当前配置的密钥所属的子用户（Sub-user）。以下哪个CLI命令可以查看当前配置的身份信息？A.tccliconfigurelistB.tcclicamGetUserInfoC.tcclistsGetCallerIdentityD.tccliwhoami答案：C解析：`tcclistsGetCallerIdentity`是腾讯云CLI中用于查询当前调用者身份信息的标准命令。它会返回AccountId、Arn和UserId等信息，帮助运维人员确认当前正在使用的是根账号还是子用户，以及具体的子用户ID。`tccliconfigurelist`仅用于查看配置文件中的内容，不与API交互验证身份。5.腾讯云负载均衡（CLB）提供四层（TCP/UDP）和七层（HTTP/HTTPS）服务。在七层监听器配置中，为了提升安全性，通常需要开启“访问控制”。关于访问控制的描述，以下哪项是错误的？A.访问控制可以通过白名单或黑名单方式实现B.白名单仅允许特定IP访问，适用于内网服务C.黑名单拒绝特定IP访问，适用于阻断攻击源D.访问控制列表中可以同时添加IP地址和域名答案：D解析：腾讯云CLB的七层访问控制功能目前仅支持IP地址段的添加，不支持直接添加域名。域名解析通常发生在DNS层面，或者通过应用层网关（如API网关）进行处理。CLB直接处理的是入站流量，基于IP进行过滤是最直接和高效的方式。6.某企业的Web应用部署在腾讯云上，使用了MySQL数据库。近期数据库出现慢查询，导致响应变慢。运维工程师决定购买腾讯云数据库MySQL的只读实例来分担读取压力。关于只读实例，以下哪项描述是不准确的？A.只读实例的数据是从主实例同步过来的B.只读实例可以单独连接，进行数据写入操作C.只读实例可用于数据报表分析，避免影响主实例业务D.主实例的故障不会直接导致只读实例不可用（在一定时间内）答案：B解析：只读实例，顾名思义，仅支持读取操作（SELECT），不支持写入操作（INSERT、UPDATE、DELETE等）。如果需要写入，必须连接到主实例。所有写操作必须在主实例执行，然后异步/同步复制到只读实例。7.在使用腾讯云容器服务（TKE）时，为了保证集群的高可用性，运维团队计划将Master节点分布在不同的可用区。关于TKE的多可用区集群，以下说法正确的是？A.只有独立集群模式才支持多可用区，托管集群不支持B.多可用区集群会自动在所有可用区创建等量的Node节点C.开启多可用区后，Etcd数据会在不同可用区进行复制D.多可用区集群会导致跨可用区流量费用增加，且无性能提升答案：C解析：TKE的多可用区集群主要是为了提高控制平面的高可用性。在多可用区模式下，Master组件（特别是Etcd，存储集群状态）会跨可用区分布和复制，防止单个可用区故障导致集群控制平面瘫痪。选项A错误，托管集群也支持多可用区；选项B错误，TKE管理Master，Node由用户自行管理或通过节点池管理，不会自动在所有AZ创建Node；选项D错误，虽然可能有跨AZ流量，但主要目的是高可用。8.运维工程师需要为Linux系统的CVM实例配置自动快照策略，保留最近7天的快照，每天凌晨2点执行。在腾讯云控制台中，快照策略的“保留策略”应该设置为？A.永久保留B.按时间保留：7天C.按数量保留：7个D.按时间保留：1天答案：B解析：题目要求保留“最近7天”的快照。在快照策略中，“按时间保留”允许用户指定快照的保留天数。设置为7天意味着系统会自动删除7天前创建的快照。选项C“按数量保留”虽然也能达到类似效果，但在快照创建频率不固定（如手动触发+自动触发）的情况下，按时间更符合“保留最近7天数据”的语义。9.腾讯云内容分发网络（CDN）加速静态资源时，用户回源使用的协议默认与客户端访问协议一致。如果希望客户端使用HTTPS访问，但回源到源站使用HTTP协议（以减轻源站SSL卸载压力），应该如何配置？A.开启“协议跟随”B.设置回源协议为“HTTP”C.设置回源协议为“HTTPS”D.开启“Range回源”答案：B解析：在CDN配置中，回源协议可以单独设置。如果希望客户端HTTPS访问，回源使用HTTP，需要明确将“回源协议”配置为“HTTP”。这样无论客户端用什么协议访问CDN节点，CDN节点都会使用HTTP协议向源站请求资源。协议跟随是指回源协议与客户端访问协议一致，不符合题意。10.某公司使用腾讯云日志服务（CLS）收集CVM的系统日志。为了便于审计，需要通过Topic将不同部门的日志隔离。在CLS中，日志收集的最小单元是？A.日志主题B.日志集C.机器组D.日志流答案：A解析：在腾讯云CLS中，日志主题是日志的收集、存储、检索和分析的最小单元。用户通常将不同应用或不同类型的日志写入不同的Topic。Logset是Topic的集合，主要用于权限管理；MachineGroup是服务器组，用于标识需要采集日志的源服务器。11.运维人员在配置安全组时，需要放通TCP22端口以便进行SSH远程连接。为了安全起见，应该将源地址限制为？A./0B./16C.公司办公网络的公网出口IP段或特定的EIPD./8答案：C解析：SSH（端口22）是敏感的管理端口，放通全网（/0）会带来极大的被暴力破解风险。最佳实践是仅将源地址限制为运维人员所在的特定公网IP地址段，或者通过VPN接入后的内网IP段。选项B和D是私有网段，如果CVM没有公网IP，且运维通过VPN访问，可以使用内网段，但题目未提及VPN，通常指公网管理，故C最严谨。12.腾讯云SSL证书服务支持自动部署证书到负载均衡（CLB）和CDN。在证书续期时，以下哪项操作是必须的？A.手动下载新证书并上传B.开启“自动续期”功能并确保域名验证配置正确C.删除旧证书重新申请D.联系CLB客服进行人工部署答案：B解析：腾讯云SSL证书服务支持自动续期（针对付费证书或部分免费证书策略）。只要开启了自动续期功能，且域名的DNS验证或文件验证配置依然有效，系统会自动完成续期并尝试部署到关联的云产品（如CLB、CDN）。手动操作不仅效率低，还容易出错。13.在云数据库Redis的架构中，主从切换是保证高可用的重要手段。当Redis主节点发生故障时，腾讯云会自动进行主从切换。对于应用端来说，为了保证连接的正确性，需要配置？A.直接连主节点的IPB.直接连从节点的IPC.连接Redis实例的虚拟IP（VIP）或域名D.轮询连接所有节点IP答案：C解析：在云数据库Redis的高可用架构中，主从节点的物理IP可能会在故障切换时发生变化。应用端不应该连接物理IP，而应该连接实例提供的虚拟IP（VIP）或域名。当发生主从切换时，VIP或域名会自动漂移或解析到新的主节点，从而对应用透明，实现无感知切换。14.运维工程师使用Ansible对腾讯云上的50台CVM进行批量配置管理。为了实现Ansible控制节点直接管理这50台CVM，最推荐的认证方式是？A.密码认证B.SSH密钥对认证C.Kerberos认证D.OAuth2.0认证答案：B解析：在自动化运维工具（如Ansible）中，SSH密钥对认证比密码认证更安全、更高效，且便于脚本化执行。密码认证需要处理交互式输入或明文密码泄露风险。腾讯云CVM创建时通常都会绑定或允许用户导入SSH密钥对，这是批量管理的标准做法。15.关于腾讯云NAT网关的计费，以下说法正确的是？A.仅收取配置费，不收取流量费B.仅收取流量费，不收取配置费C.既收取配置费（小型/中型/大型），也收取公网流量费D.完全免费答案：C解析：腾讯云NAT网关是一种计费资源。它包含两部分费用：1.实例规格费（小型、中型、大型等），根据并发连接数和吞吐能力定价；2.公网流量费，NAT网关处理出站公网流量时，会收取流量费用（与EIP流量计费逻辑类似）。16.在TKE（腾讯云容器服务）中，若需要将应用程序的配置数据（如配置文件）注入到Pod中，且不希望配置数据以明文形式存储在Etcd中，应该使用哪种资源？A.ConfigMapB.SecretC.PersistentVolumeD.DownwardAPI答案：B解析：Kubernetes（TKE）中，Secret用于存储敏感信息（如密码、OAuth令牌、SSH密钥）。Secret的数据是Base64编码的（虽然是编码非加密，但通常配合RBAC和KMS加密存储功能使用），且可以挂载到Pod中作为文件或环境变量。ConfigMap用于存储非敏感的明文配置。17.某企业使用了腾讯云的云解析（DNSPod）。为了防止域名的DNS劫持，提升解析安全性，应该开启？A.URL转发显性隐性设置B.DNSSECC.智能DNS解析D.子域名托管答案：B解析：DNSSEC（DNSSecurityExtensions）是DNS安全扩展，它通过数字签名验证DNS数据的来源和完整性，能有效防止DNS劫持和缓存投毒攻击。智能DNS解析主要用于根据用户来源IP返回最优服务器IP，侧重于性能而非防劫持。18.运维人员发现一台CVM实例的CPU使用率长期维持在100%，且无法通过SSH连接。为了排查死锁或高负载原因，最紧急且有效的操作是？A.重启服务器B.在控制台使用“VNC登录”查看状态C.升级CPU配置D.直接销毁实例答案：B解析：当SSH无法连接且CPU满载时，通常是内核panic或进程死锁导致。重启虽然能恢复服务，但会丢失现场导致无法排查根因。升级配置可能无效且浪费资源。VNC登录是基于物理层的模拟终端，不依赖操作系统内的网络栈和sshd进程，是远程排查此类故障的最后手段。19.腾讯云消息队列CKafka主要用于处理高吞吐量的流式数据。为了确保消息不丢失，生产者配置中必须设置`acks`参数为？A.0B.1C.allD.-1答案：C解析：在Kafka（CKafka）中，`acks`参数控制生产者认为消息写入成功的标准。acks=0：生产者不等待broker确认，可能丢数据，吞吐最高。acks=1：只要leader确认写入即认为成功，如果leader副本挂了且follower没同步，可能丢数据。acks=all（或-1）：leader和所有ISR（同步副本列表）中的follower都确认写入才算成功，这是最高持久性保证。20.在腾讯云API网关中，如果需要对后端CVM上的API服务进行流量控制，防止恶意刷接口导致服务瘫痪，应该启用？A.IP黑白名单B.限流策略C.自定义鉴权D.响应缓存答案：B解析：限流策略是API网关专门用于流量控制的插件，可以针对API、AppID或IP进行每秒/每分钟的请求次数限制。IP黑白名单是阻断特定来源，属于访问控制范畴；自定义鉴权是验证身份；响应缓存是提升性能。只有限流策略直接解决“防止流量过载”的问题。二、多选题1.腾讯云CVM实例提供多种存储类型，包括云硬盘、本地盘等。以下关于本地盘和云硬盘的对比，说法正确的有？A.云硬盘采用三副本技术，数据可靠性高B.本地盘数据存储在物理服务器上，性价比高，但数据持久性依赖物理机生命周期C.云硬盘支持快照、备份和跨可用区挂载D.本地盘支持创建快照答案：A,B,C解析：A正确：CBS（云硬盘）底层采用分布式存储系统，通常提供三副本机制，数据可靠性达到99.9999999%。B正确：本地盘依附于物理宿主机，数据存储在本地介质上，I/O延迟低且价格便宜，但如果物理机故障，本地盘数据通常会丢失（除非应用层做了RAID或复制）。C正确：CBS支持快照、回滚、跨可用区挂载等高级功能。D错误：腾讯云CVM的本地盘目前不支持快照功能，这是其与云硬盘的重要区别之一。2.运维团队正在构建一个基于腾讯云的高可用Web架构，以下哪些组件或服务建议部署在多个可用区以实现跨可用区容灾？A.负载均衡（CLB）监听器的后端服务器B.关系型数据库（TDSQL）的主节点和只读节点C.弹性伸缩（AS）关联的启动配置D.私有网络（VPC）的路由表答案：A,B解析：A正确：CLB可以跨可用区挂载后端CVM，当一个可用区挂了，CLB自动剔除故障节点并将流量分发到健康节点。B正确：数据库的高可用架构通常要求主备节点分布在不同的可用区，防止单可用区故障导致数据不可用。C错误：启动配置只是一个模板，不是运行实体，不存在跨可用区部署的概念。D错误：路由表是VPC级别的逻辑配置，整个VPC共享路由表，不存在“跨可用区部署路由表”的说法，路由表本身是全局可用的。3.关于腾讯云CAM（访问管理）的策略语法，以下哪些元素是策略文档中必须包含的？A.VersionB.StatementC.EffectD.Action答案：A,B,C,D解析：腾讯云CAM策略基于JSON语法。`version`是必填的，通常为"2.0"。`statement`是必填的，描述一条或多条权限的详细信息。在Statement内部，`effect`（Allow或Deny）和`action`（具体操作）是必填项。`resource`在某些情况下可以是"*"，但Action和Effect不可缺省。4.在使用腾讯云文件存储（CFS）时，为了优化性能，可以采取以下哪些措施？A.选择合适的存储类型，如性能型存储B.增加文件系统的容量C.使用NFSv4协议代替NFSv3D.挂载时调整rsize和wsize参数答案：A,C,D解析：A正确：性能型CFS（如TDPOS）提供更高的吞吐和IOPS，适合高性能计算场景。B错误：增加容量主要解决存储空间不足的问题，虽然某些云存储容量与性能挂钩，但在CFS中单纯扩容不一定直接提升吞吐性能上限，除非触发性能tier升级，但不是直接的性能优化手段。C正确：NFSv4相比v3在状态处理、安全性及锁机制上有改进，在高并发场景下通常性能和稳定性更好。D正确：`rsize`（读块大小）和`wsize`（写块大小）是NFS挂载的重要参数，调大这两个参数通常能提升大文件传输的吞吐量。5.腾讯云监控服务支持多种告警方式。当CPU使用率超过阈值时，运维人员希望收到通知。以下哪些渠道可以配置为告警通知渠道？A.短信B.邮件C.微信公众号/企业微信D.Webhook（回调URL）答案：A,B,C,D解析：腾讯云云监控的告警通知渠道非常丰富。基础渠道：短信、邮件。即时通讯：微信、企业微信、钉钉、飞书。集成渠道：Webhook（可用于对接自建运维平台或Slack等）、函数计算（SCF）。6.在排查网络连通性问题时，以下哪些工具或命令是常用的？A.pingB.telnetC.tracerouteD.netstat答案：A,B,C,D解析：`ping`：测试ICMP连通性及延迟。`telnet`：测试TCP端口连通性（如HTTP80，SSH22）。`traceroute`：追踪数据包经过的路由路径，用于定位网络跳点。`netstat`：查看本机网络连接状态、端口监听情况，用于排查服务是否启动或端口被占用。7.腾讯云的大数据组件EMR中，HDFS存储默认使用的是CBS（云硬盘）。为了提升HDFS的读写性能，以下哪些CBS配置是有效的？A.使用SSD类型的云硬盘B.开启云硬盘的Hypervisor透传C.将CBS挂载为本地盘模式D.增加CBS的IOPS上限答案：A,B解析：A正确：SSD类型云硬盘比HDD有更高的随机IOPS和更低的延迟，适合HDFS。B正确：开启透传可以减少虚拟化层的损耗，提升裸金属或高性能实例的磁盘I/O性能。C错误：CBS是网络存储，不能挂载为本地盘模式。本地盘是另一类物理盘产品。D错误：CBS的IOPS通常与容量和类型挂钩，虽然可以购买高IO型，但“增加IOPS上限”不是直接配置项，而是通过购买更高规格的盘实现。但在某些选项语境下，选择高IO盘是合理的。这里主要考察对特性的理解，A和B是明确的配置优化手段。8.关于TKE（Kubernetes）的Service资源，以下说法正确的有？A.ClusterIP类型仅在集群内部可访问B.NodePort类型会在每个Node上开放一个端口C.LoadBalancer类型会自动创建一个CLB实例D.Service可以通过Selector匹配一组Pod答案：A,B,C,D解析：A正确：ClusterIP是默认类型，分配一个集群内部的虚拟IP，仅集群内访问。B正确：NodePort会在每个Node上绑定一个端口（默认30000-32767），可以通过<NodeIP>:NodePort访问。C正确：LoadBalancer类型会向云厂商（腾讯云）申请一个负载均衡（CLB），并将流量转发到后端Pod。D正确：Service通过LabelSelector来选择目标Pod，只要Pod带有匹配的Label，就会被加入Service的后端列表。9.运维工程师需要对腾讯云上的资源进行成本分析。以下哪些操作有助于降低成本？A.释放不再使用的按量计费CVM实例B.购买预留实例券（RI）或节省计划覆盖长期运行的实例C.开启COS的生命周期规则，将低频数据转为归档存储D.将带宽计费方式由“按使用量”改为“按固定带宽”（针对低流量业务）答案：A,B,C解析：A正确：按量计费资源如果不释放，只要运行就会产生费用，释放是直接降本手段。B正确：RI/SP相比按量计费有显著折扣，适合稳定负载。C正确：归档存储的价格远低于标准存储，适合冷数据。D错误：如果业务流量很低，按固定带宽通常比按流量计费更贵。固定带宽适合流量持续且较大的场景。10.在使用腾讯云MySQL时，若需要执行大表DDL操作（如添加索引），为了避免锁表影响业务，可以采取的措施有？A.在业务低峰期执行B.使用`pt-online-schema-change`工具C.使用`gh-ost`工具D.设置`innodb_buffer_pool_size`为最大值答案：A,B,C解析：A正确：避开高峰期可以降低影响，但仍会有锁表风险。B正确：`pt-online-schema-change`是PerconaToolkit的工具，可以在线执行DDL不锁表。C正确：`gh-ost`是GitHub开源的在线DDL工具，原理更先进，触发更少锁。D错误：`innodb_buffer_pool_size`主要影响缓存性能，虽然对执行速度有帮助，但不能解决DDL导致的元数据锁问题。三、判断题1.腾讯云的VPC内，不同子网之间默认是内网互通的，不需要额外配置路由。答案：正确解析：同一个VPC内的所有子网，默认都在同一个路由表下，且系统自带Local路由，因此不同子网内的云资源可以默认内网互通。2.在COS中，开启了“静态网站”托管功能后，访问域名必须使用HTTP协议，不支持HTTPS。答案：错误解析：COS静态网站托管支持HTTPS。用户只需在COS控制台上为自定义域名配置托管证书，即可实现HTTPS访问。3.腾讯云CLB的四层监听器（TCP/UDP）可以直接获取客户端的真实IP地址。答案：错误解析：四层代理（TCP/UDP）只负责转发数据包，不修改应用层协议头。除非使用ProxyProtocol（一种特殊协议），否则后端CVM看到的源IP是CLB的VIP，而不是客户端真实IP。七层（HTTP/HTTPS）可以通过X-Forwarded-For头获取真实IP。4.TKE集群中，DaemonSet类型的Controller可以保证在每个Node上（或指定Node上）都运行一个Pod副本。答案：正确解析：DaemonSet的特性就是确保在每个选定的Node上都运行一份Pod副本，常用于日志采集、监控Agent等系统级服务。5.腾讯云云数据库MySQL的“只读实例”不仅提供读取能力，还可以在主实例故障时自动提升为主实例。答案：错误解析：MySQL的只读实例主要用于读写分离和扩展读能力。虽然高可用版的主实例有备机用于故障切换，但普通的“只读实例”本身不会自动提升为主实例，它只是数据的复制端。需要使用“灾备实例”或特定的集群架构来实现主备切换。6.使用腾讯云DTS（数据传输服务）进行数据迁移时，如果源库中有持续的数据写入，选择“全量迁移+增量同步”可以保证数据一致性。答案：正确解析：DTS支持全量迁移（历史数据）和增量同步（迁移期间产生的新数据）。这种组合模式可以实现在不停服的情况下进行数据迁移，最终达到数据一致。7.腾讯云的“资源标签”可以用于按标签分账，即统计带有特定标签的资源产生的费用。答案：正确解析：腾讯云费用中心支持标签分账功能。用户可以为资源打上“部门”、“项目”等标签，然后在费用中心通过标签维度查看账单，实现精细化的成本管理。8.在Linux系统中，/etc/shadow文件存储了用户的哈希密码，该文件对所有用户都有可读权限。答案：错误解析：/etc/shadow文件仅对root用户可读，对普通用户和组不可读。这是为了防止暴力破解攻击者获取密码哈希值。9.腾讯云API网关不支持对请求参数进行校验，只能透传给后端。答案：错误解析：API网关提供了丰富的“插件”功能，其中就包括“参数校验”插件，可以对请求的Header、Query、Body中的参数类型、格式、必填项进行校验，不合法的请求会被网关直接拦截。10.预留实例券（ReservedInstance）购买后，必须立即绑定到特定的CVM实例上才能生效，否则过期作废。答案：错误解析：腾讯云的预留实例券（RI）是灵活的，购买后会自动匹配符合条件的按量计费实例（按区域、实例规格、操作系统等属性匹配），不需要手动绑定。如果没有匹配到实例，RI会保留直到过期，但不会产生抵扣效果。四、填空与计算题1.运维工程师在配置VPC路由表时，需要添加一条指向对端VPC（通过对等连接）的路由。假设对端VPC的网段为`/16`，下一跃点类型为“对等连接”，ID为`pcx-123456`。请写出该路由条目的目的端和下一跃点配置。目的端：`/16`下一跃点：`pcx-123456`2.在Linux系统中，使用`iptables`命令将访问本机80端口的TCP流量DROP掉。请补全命令：`iptables-AINPUT-ptcp--dport80-jDROP`3.某CVM实例绑定了公网IP，带宽计费模式为“按使用量（日结）”。假设该实例在结算周期内产生了100GB的公网出网流量，腾讯云中国大陆地域的流量单价假设为0.8元/GB（实际价格以官网为准）。请计算该笔流量费用。计算公式：CCo答案：80元4.在Kubernetes（TKE）中，有一个Deployment，副本数（replicas）设置为3。如果更新了Deployment的Pod模板（镜像版本），默认的更新策略（RollingUpdate）会先创建多少个新Pod，再删除旧Pod？（假设maxSurge=1,maxUnavailable=1）。答案：1解析：在RollingUpdate策略下，默认maxSurge为25%（或1），maxUnavailable为25%（或1）。当replicas=3时，首先会根据maxSurge=1创建1个新Pod，待新PodReady后，再根据maxUnavailable=1删除1个旧Pod，如此滚动。5.已知一个CIDR地址块为`/24`。如果将其划分为4个大小相同的子网，请计算每个子网的CIDR掩码长度。计算过程：原掩码为24，需要划分4个子网。=4新掩码长度=24答案：/26五、综合案例分析题案例背景：某互联网公司“极速出行”主要运营网约车平台，其核心业务系统部署在腾讯云广州地域。架构如下：1.前端Web服务部署在2台CVM（Web-01,Web-02）上，通过公网CLB对外提供服务。2.后端API服务部署在TKE（Kubernetes）集群中，通过Ingress暴露给Web服务调用。3.数据层使用TDSQL（MySQL分布式数据库）和Redis集群。4.所有CVM和Node均部署在VPC（`/16`）的子网中。5.运维团队通过堡垒机进行运维管理。故障描述：某周二上午10:00，大促活动开始，流量激增。10:05，监控中心收到大量告警：Web服务响应时间超过5s，API服务HTTP500错误率上升至20%。同时，收到TDSQL慢查询告警。问题1：作为运维工程师，请简述你排查该故障的优先级顺序和初步思路。（10分）答案与解析：排查优先级应遵循“由外及内，先恢复后排查”的原则。1.检查CLB状态：确认CLB是否有异常丢包、后端健康检查是否正常。如果CLB本身过载或配置错误，会导致全站不可达。2.检查CVM资源（Web层）：查看Web-01/02的CPU、内存、带宽利用率。如果是资源瓶颈（如CPU100%），优先考虑弹性扩容。3.检查TKE集群（API层）：查看Pod状态（是否CrashLoopBackOff）、Node资源（是否压力过大）、Ingress日志。API报500通常是应用逻辑错误或数据库连接问题。4.检查数据库层（TDSQL/Redis）：这是慢查询告警的来源。重点查看TDSQL的活跃连接数、CPU利用率和慢SQL日志。如果是锁等待或连接池耗尽，会导致API阻塞。5.检查网络连通性：确认VPC内Web层到API层，API层到DB层的网络是否有丢包或安全组拦截。问题2：经排查，发现TDSQL数据库出现了大量的“Lockwaittimeoutexceeded”错误，且连接数已达到最大值。请给出紧急恢复方案和长期优化建议。（10分）答案与解析：紧急恢复方案：1.Kill会话：在TDSQL控制台或通过管理命令，找到长时间处于Sleep或Running状态且消耗资源的SQL会话，进行选择性终止，释放连接和锁。2.临时扩容：立即提升TDSQL的规格（CPU/内存），增加计算能力以快速处理积压请求。3.调整连接池：如果应用端连接池配置过大，导致连接数打爆数据库，可考虑临时重启部分API服务（微服务架构下），或调整数据库最大连接数参数（如果有权限且风险可控）。4.限流：在API网关或CLB层开启限流，拒绝部分请求，防止数据库雪崩。长期优化建议：1.SQL优化：分析慢查询日志，对缺少索引、全表扫描的SQL语句进行优化，添加合适的索引。2.代码逻辑优化：检查事务代码，避免长事务占用锁，尽量缩小事务范围。3.读写分离：将报表类或非强一致读请求路由到TDSQL的只读节点，减轻主节点压力。4.架构升级：评估是否引入缓存层（Redis）缓存热点数据，减少对数据库的直接击穿。问题3：为了应对未来的大促，运维团队计划将Web层改造为自动伸缩。请设计一个基于“CPU利用率”的弹性伸缩策略配置。（假设Web服务镜像已准备好，启动配置已创建）。（10分）答案与解析：弹性伸缩策略设计：1.创建伸缩组：名称：Web-AS-Group起始实例：Web-01,Web-02所属网络：选择Web服务所在的VPC和子网。关联负载均衡：选择公网CLB，并添加监听器。2.配置告警触发策略：指标名称：CPU利用率统计周期：60秒统计方法：平均值条件：当CPU利用率>70%持续2个周期动作：增加2台实例冷却时间：300秒（避免频繁伸缩）3.配置缩容策略：条件：当CPU利用率<30%持续5个周期动作：减少1台实例最小实例数：2（保证基本可用性）最大实例数：10（控制成本上限）问题4：在改造过程中，安全团队要求所有运维操作必须通过堡垒机进行，且禁止CVM直接暴露公网SSH端口。请简述如何通过安全组实现这一要求？（5分）答案与解析：1.CVM安全组配置：入站规则：删除允许TCP22端口来源为/0的规则。添加规则：协议TCP，端口22，来源为堡垒机的内网IP（或堡垒机所在的安全组ID）。这样只有堡垒机能SSH连接CVM。出站规则：保持允许全部（或按需配置）。2.堡垒机安全组配置：入站规则：允许运维人员的办公网络IP或VPN网段访问堡垒机的SSH/HTTP管理端口。出站规则：允许访问目标CVM所在网段的TCP22端口。3.CLB安全组配置：确保CLB的安全组放通TCP80/443给全网（/0），保证业务访问不受影响。通过上述配置，实现了运维流量的闭环：用户->堡垒机->CVM，且CVM的SSH端口对互联网不可达。六、高级实操题1.在TKE集群中，我们有一个名为`legacy-app`的Deployment，它使用了旧的镜像版本`v1.0`。现在需要将其滚动更新至`v2.0`，且要求更新过程中至少保持2个Pod处于可用状态。Deployment的副本数为4。请写出使用`kubectl`命令执行该更新的具体指令，并解释关键参数。答案与解析：命令：```bashkubectlsetimagedeployment/legacy-appcontainer-name=image-repo:v2.0--record```或者编辑Deployment文件：```bashkubectleditdeploymentlegacy-app```将image字段修改为`image-repo:v2.0`。为了满足“至少保持2个Pod可用”的要求，需要在Deployment的Spec中配置`RollingUpdate`策略：```yamlspec:replicas:4strategy:type:RollingUpdaterollingUpdate:maxUnavailable:2#最多允许2个不可用（即保证4-2=2个可用）maxSurge:1#最多额外创建1个```解析：`kubectlsetimage`是最直接的命令行更新方式。关键在于`maxUnavailable`。默认值通常是25%，即4个副本时允许1个不可用。为了严格保证“至少2个可用”，即允许不可用数为4−2.某公司使用腾讯云函数计算（SCF）处理COS上传的图片缩略图生成。近期发现处理变慢，排查发现是函数默认的128MB内存太小。请通过更新函数配置，将内存调整为512MB，并说明超时时间设置的一般原则。答案与解析：操作方法：1.登录腾讯云SCF控制台。2.找到该函数，进入“函数配置”页面。3.在“基本配置”中，找到“运行配置”。4.将“内存”从128MB修改为512MB。注意：在SCF中，内存大小与CPU