k8s 经典面试题 二

最新推荐文章于 2026-06-23 20:17:29 发布
原创 最新推荐文章于 2026-06-23 20:17:29 发布 · 715 阅读 · 18 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#kubernetes #容器 #云原生

16. Kubernetes 中的 ConfigMap 和 Secret 如何使用?

答案

  • ConfigMap:可以通过环境变量或卷挂载的方式注入到 Pod 中。

    • 环境变量:在 Pod 的定义中引用 ConfigMap 中的键值对作为环境变量。

    • 卷挂载:将 ConfigMap 中的数据挂载为 Pod 中的文件。

  • Secret:与 ConfigMap 类似,可以通过环境变量或卷挂载的方式注入到 Pod 中。

    • 环境变量:在 Pod 的定义中引用 Secret 中的键值对作为环境变量。

    • 卷挂载:将 Secret 中的数据挂载为 Pod 中的文件。

17. Kubernetes 中的滚动更新(Rolling Update)是如何实现的?

答案

  • 滚动更新 是 Kubernetes 中用于更新 Deployment 的一种策略。

  • 滚动更新的过程如下:

    1. 创建新版本的 Pod:逐步创建新版本的 Pod,直到新版本的 Pod 数量达到期望值。

    2. 删除旧版本的 Pod:逐步删除旧版本的 Pod,直到旧版本的 Pod 数量为零。

    3. 完成更新:所有 Pod 都更新为新版本。

  • 滚动更新可以通过 maxSurge 和 maxUnavailable 参数控制更新的速度和可用性。

18. Kubernetes 中的污点和容忍(Taints and Tolerations)是什么?

答案

  • 污点(Taints):用于标记节点,阻止 Pod 调度到该节点上,除非 Pod 具有相应的容忍(Toleration)。

  • 容忍(Tolerations):用于标记 Pod,允许 Pod 调度到具有相应污点的节点上。

19. Kubernetes 中的资源配额(Resource Quotas)是什么?

答案

  • 资源配额(Resource Quotas):用于限制 Namespace 中可以使用的资源总量,如 CPU、内存、Pod 数量等。

  • 资源配额可以帮助管理员控制资源使用,防止某个 Namespace 占用过多资源。

20. Kubernetes 中的网络模型是什么?

答案

  • Kubernetes 网络模型:每个 Pod 都有自己的 IP 地址,Pod 之间可以直接通过 IP 地址通信。

  • Kubernetes 网络模型要求所有节点上的 Pod 可以相互通信,而不需要 NAT(网络地址转换)。

21. Kubernetes 中的 CNI(Container Network Interface)是什么?

答案

  • CNI(Container Network Interface):是一个规范,定义了容器运行时和网络插件之间的接口。

  • Kubernetes 使用 CNI 插件来实现 Pod 之间的网络通信,常见的 CNI 插件包括 Flannel、Calico、Weave 等。

22. Kubernetes 中的 RBAC(Role-Based Access Control)是什么?

答案

  • RBAC(Role-Based Access Control):是 Kubernetes 中用于权限管理的机制。

  • RBAC 通过角色(Role)和角色绑定(RoleBinding)来定义用户或服务账户的权限。

  • 角色(Role)定义了一组权限规则,角色绑定(RoleBinding)将角色绑定到用户或服务账户。

23. Kubernetes 中的 Helm 是什么?

答案

  • Helm:是 Kubernetes 的包管理工具,用于简化应用程序的部署和管理。

  • Helm 使用 Chart 来定义应用程序的部署模板,Chart 包含了一系列 Kubernetes 资源定义。

  • Helm 提供了版本管理、依赖管理、回滚等功能,简化了应用程序的部署和升级。

24. Kubernetes 中的 Operator 是什么?

答案

  • Operator:是一种用于管理有状态应用程序的扩展机制。

  • Operator 通过自定义控制器(Controller)来管理应用程序的生命周期,如部署、扩展、备份、恢复等。

  • Operator 通常基于 Kubernetes 的控制循环机制,自动将应用程序的实际状态调整为期望状态。

25. Kubernetes 中的 CRD(Custom Resource Definition)是什么?

答案

  • CRD(Custom Resource Definition):是 Kubernetes 中用于定义自定义资源(Custom Resource)的机制。

  • CRD 允许用户在 Kubernetes 中定义新的资源类型,扩展 Kubernetes 的功能。

  • 自定义资源(Custom Resource)可以像内置资源一样被 Kubernetes API 管理。

26. Kubernetes 中的 StatefulSet 和 Deployment 有什么区别?

答案

  • Deployment:用于管理无状态的应用程序,如 Web 服务器。Deployment 允许你定义应用程序的期望状态,并自动管理 Pod 的创建、更新和删除。

  • StatefulSet:用于管理有状态的应用程序,如数据库。StatefulSet 为每个 Pod 提供稳定的网络标识和持久化存储。

27. Kubernetes 中的 DaemonSet 和 Deployment 有什么区别?

答案

  • Deployment:用于管理无状态的应用程序,如 Web 服务器。Deployment 允许你定义应用程序的期望状态,并自动管理 Pod 的创建、更新和删除。

  • DaemonSet:确保每个节点上运行一个 Pod 的副本,通常用于运行系统级服务,如日志收集器、监控代理等。

28. Kubernetes 中的 Job 和 CronJob 是什么?

答案

  • Job:用于运行一次性任务,如批处理作业。Job 确保任务成功完成,并在任务完成后终止 Pod。

  • CronJob:用于运行定时任务,类似于 Unix/Linux 中的 cron 作业。CronJob 根据定义的时间表定期运行任务。

29. Kubernetes 中的 Pod 生命周期是什么?

答案

  • Pod 生命周期 包括以下阶段:

    1. Pending:Pod 已被 Kubernetes 接受,但尚未调度到节点上。

    2. Running:Pod 已被调度到节点上,并且所有容器都已启动。

    3. Succeeded:Pod 中的所有容器都已成功终止。

    4. Failed:Pod 中的至少一个容器已失败终止。

    5. Unknown:由于某种原因,无法获取 Pod 的状态。

30. Kubernetes 中的 Init Container 是什么?

答案

  • Init Container:是 Pod 中的一种特殊容器,用于在主容器启动之前执行初始化任务。

  • Init Container 必须成功完成,主容器才会启动。Init Container 可以用于执行数据库迁移、配置文件生成等任务。

180道大厂经典Kubernetes面试题整理汇总
悦分享
02-24 917
Kubernetes是一个全新的基于容器技术的分布式系统支撑平台。是Google开源的容器集群管理系统(谷歌内部:Borg)。在Docker技术的基础上,为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能,提高了大规模容器集群管理的便捷性。并且具有完备的集群管理能力,多层次的安全防护和准入机制、多租户应用支撑能力、透明的服务注册和发现机制、內建智能负载均衡器、强大的故障发现和自我修复能力、服务滚动升级和在线扩容能力、可扩展的资源自动调度机制以及多粒度的资源配额管理能力。
57道K8S面试题,呕心沥血整理并附答案,赶紧收藏!
热门推荐
力哥讲技术
07-25 2万+
Kubernetes是一个开源容器编排平台,用于自动化部署、扩展和管理容器化应用程序。它的主要目标是简化容器化应用的部署和管理,并提供弹性、可靠的应用程序编排。Pod是Kubernetes的最小调度和部署单元。它是一个包含一个或多个容器的逻辑主机,这些容器共享网络和存储资源,并且在同一主机上共享生命周期。ReplicaSet是Kubernetes的控制器之一,用于确保在集群中运行指定数量的Pod副本。如果Pod的数量少于指定的副本数,ReplicaSet将创建新的Pod副本;
重温k8s基础概念知识系列(Pod)
tigerhhzz的博客
08-17 1330
定义一个Pod:下面是一个 Pod 示例,它由一个运行镜像 nginx:1.14.2 的容器组成。kind: Podmetadata:spec:ports:apiVersion: v1 # 必选,API的版本号kind: Pod # 必选,类型Podmetadata: # 必选,元数据name: nginx # 必选,符合RFC 1035规范的Pod名称namespace: default # 可选,Pod所在的命名空间,不指定默认为default,可以使用-n 指定namespace。
k8s 经典面试题
wankll的专栏
10-23 826
在面试 Kubernetesk8s)相关职位时,面试官通常会考察你对 Kubernetes 核心概念、架构、组件、工作原理以及实际应用的理解。以下是一些经典Kubernetes 面试题及其答案:答案:Master 节点组件:API Server:提供 RESTful API 接口,用于与集群交互。etcd:分布式键值存储,用于存储集群的配置数据和状态信息。Controller Manager:运行各种控制器进程,负责维护集群的状态。Scheduler:负责将 Pod 调度到合适的节点上运行。Worke
云原生 AI 模型供应链安全:SLSA、Sigstore 签名与 K8s 准入治理实践
我的博客
06-16 266
AI 模型供应链安全正在经历传统软件供应链 2017-2021 年的完整演化轨迹——从安全意识的觉醒,到标准化工具的建立,再到云原生基础设施的深度集成。威胁面:AI 模型供应链的攻击面远超传统软件——Pickle 反序列化可导致远程代码执行、模型"脑叶切除"可绕过安全对齐、LoRA 适配器劫持可在推理阶段激活、命名空间劫持可静默替换被广泛引用的模型。OWASP LLM03:2025 将其列为第三大 LLM 安全风险,拆解出 13 种具体攻击场景。签名基础设施。
K8s Custom Resource Definition(自定义资源定义)K8s CRDS介绍
Dontla的博客
06-22 218
CRD = Kubernetes 的“插件式 API 扩展机制”避免引入额外 CRD,坚持使用标准 Kubernetes Ingress + 注解方式管理 Kong 配置,以保持简洁性和兼容性。
开发K8s准入控制器前的准备工作:集群检查与项目搭建指南
java_cj的专栏
06-20 387
开发Kubernetes准入控制器的准备工作 本文详细介绍了开发Kubernetes准入控制器前的环境检查和项目初始化步骤: 集群环境检查: 验证集群是否支持准入注册API(admissionregistration.k8s.io/v1) 确认kube-apiserver启用了MutatingAdmissionWebhook和ValidatingAdmissionWebhook插件 测试Webhook连通性 项目初始化: 创建Go项目结构,添加必要的Kubernetes API依赖 设计Sidecar注入配
K8s 阿里云 ECS 工作节点添加指南
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
06-22 164
按需追加。置空则保持默认。
容器运行时与 K8s 集群搭建:nerdctl + crictl + kubeadm 》
2301_78529310的博客
06-23 217
crictl命令是遵循 CRI 接口规范的一个命令行工具,通常用它来检查和管理kubelet节点上的容器运行时和镜像。在kubernetes集群环境中,当我们执行kubectl命令式,kubelet代理会自动调用crictl命令管理镜像和容器。手动执行crictl命令时,一般用于查看镜像和容器。传统部署时代:企业在物理服务器上运行应用程序。无法为物理服务器中的应用程序定义资源边界,这会导致资源分配问题。
LAC容器化授权困境(下篇):K8s环境下的授权锚定实战
程序边界
06-21 3502
但说实话,这个方案的问题比它解决的问题多。最要命的是,如果节点挂了,那个预留IP就跟着死了——除非你的节点池足够大,调度器能在另一个节点上重新拉起Pod并分配到同一个IP,但这个"除非"在生产环境里根本不能保证。这些幽灵记录虽然不直接占license配额(offline的授权理论上可以被重新分配),但它们会干扰你的判断——你在WEB界面上看,100个客户端里只有30个在线,你以为授权池有70个富余,但其实那70个offline记录对应的Pod可能随时重新上线(比如之前只是网络抖动,Pod进程其实还在)。
深入kube-apiserver鉴权机制:从RBAC到Node的4种鉴权模式全解析
java_cj的专栏
06-17 336
本文深入解析Kubernetes鉴权机制,从认证与鉴权的区别入手,详细介绍了K8s的4种鉴权模式(Node/RBAC/ABAC/Webhook)及其适用场景。通过分析kube-apiserver源码中的Authorizer接口、鉴权决策类型和Union鉴权模式,揭示了鉴权执行的底层逻辑:按顺序执行多个鉴权器,只要有一个明确决策(允许或拒绝)就立即返回,否则默认拒绝。文章最后指出了与认证流程的关键区别,并强调鉴权顺序的重要性,为K8s权限管理提供了深入的技术洞察。
K8s 集群 NFS 存储部署流程
专注Linux运维与云原生技术分享。这里是我的技术成长基地,记录从Linux基础命令到Shell脚本,再到Docker、K8s实战的点滴积累。坚持输出干货笔记,希望能帮你避坑排雷,共同在云原生时代进阶!
06-20 230
sc.yamlmetadata:annotations: #标记为集群默认存储类。
Kubernetes 基础入门实战
cpyaxjq的博客
06-22 379
本文是一篇Kubernetes实战教程,详细记录了在华为云FlexusX ECS服务器上搭建K8s v1.30.14集群的全过程。文章首先介绍了4台服务器的规划配置(1个Master+3个Worker),然后逐步展示了环境初始化、containerd镜像加速配置、kubeadm集群初始化、Flannel网络插件安装等关键步骤,并特别标注了国内环境可能遇到的镜像拉取问题及解决方案。教程采用"理论+实践+踩坑记录"的形式,所有命令均来自真实环境验证,适合初学者快速掌握K8s集群搭建的核心要点。
1.1 大模型面试经验 k8s容器,大模型输出检测 RAG 与 Tool-calling
你是人间四月天
06-22 255
提及大模型推理特性:如“我会用 vLLM 或 TensorRT-LLM 做推理加速,因为 LLM 是 memory-bound 型任务,Batch Size 调优是关键”。提及 MCP 与 Autogen 的区别:如果面试官问及多智能体,可以补充:“Autogen 更偏向对话式多智能体(Conversational),而 LangGraph 更适合状态机驱动的确定性工作流,我倾向于结合两者,核心流程用 Graph,边缘探索用 Autogen”。针对你之前提供的 JD 和面试题库,我提炼出了。
从0到1启动kube-apiserver:深入源码解析API Server启动全流程
java_cj的专栏
06-16 404
本文深入分析了Kubernetes核心组件kube-apiserver的启动流程。首先介绍了kube-apiserver作为集群"大脑"的重要地位,承担API网关、认证鉴权、准入控制等核心职责。随后通过源码剖析了启动的三个关键阶段:1)准备阶段(参数解析、配置补全与校验);2)创建阶段(构建由KubeAPIServer、APIExtensionsServer和AggregatorServer组成的服务链);3)运行阶段(启动HTTP服务并阻塞等待)。特别强调了kube-apiserver内部的三层服务架构设
手撕 K8s MutatingWebhook:sidecar 自动注入的 mutatePod 函数
java_cj的专栏
06-21 418
文章摘要 本文详细剖析了Kubernetes MutatingAdmissionWebhook的核心实现逻辑,聚焦serveMutate和mutatePod两个关键函数。作者通过一个线上事故案例(因annotation键名变更导致sidecar注入失败)引出问题,深入解析了webhook请求处理流程:包括HTTP基础校验、准入控制请求反序列化、注入条件判断(重点指出mutationRequired函数中默认返回false的陷阱)以及响应生成机制。特别强调了版本兼容性(v1beta1在K8s 1.22+失效)
[特殊字符] 第篇:班级留言板 K8s 部署实践(下)—— 服务暴露与滚动更新
A516988的博客
06-22 202
本文介绍了在Kubernetes集群中通过Service(NodePort)对外暴露应用的具体实践,包括端口规划、配置验证和访问测试。重点演示了滚动更新与回滚机制的操作流程,通过修改镜像版本和Deployment配置实现零停机更新,并支持快速回退到历史版本。文章还提供了常见问题排查方法,比较了不同Service类型的适用场景,总结了Docker和Kubernetes在环境一致性和容器编排方面的核心价值,体现了云原生架构中不可变基础设施与配置分离的设计理念。
K8s sidecar 注入器实战部署:从 CA 签名、镜像构建到 MutatingWebhook 上线全流程
java_cj的专栏
06-21 282
代码写完了,单测过了,本地起 webhook server 也没问题。本以为部署就是体力活——把代码打成镜像 → 推到节点 →一把梭 → 收工下班。理想很美好。第一次部署,证书签错了,APIServer 调 webhook 直接第次重新签,CABundle 填的是 base64 解码后的内容,APIServer 还是不认第三次终于过了认证,但 Pod 创建出来没有 sidecar——日志里没有任何报错第四次发现 namespaceSelector 的 label 写反了第五次……
kubernetesK8s)学习笔记(第期):Kubernetes 集群部署实战(kubeadm)
最新发布
AOwhisky的博客
06-23 225
阶段关键操作关键命令环境准备配置仓库、安装软件、关闭 swapapt updateswapoff -a内核配置加载模块、配置 sysctlmodprobesysctl -p容器运行时安装 containerd、配置加速安装 K8s安装 kubeadm/kubelet/kubectl克隆节点克隆 VM、配置 IP/主机名集群初始化网络插件部署 Calico加入节点worker 加入集群。
KubernetesK8s集群的node节点因为证书过期导致的notReady问题处理
cnskylee的博客
06-17 87
Kubernetes集群节点因证书过期更新后出现NotReady状态,通过重新生成join命令并执行节点重连时遇到两类错误:1)配置文件/端口冲突问题,通过重命名旧证书文件、停止kubelet服务解决;2)节点权限问题,使用kubeadm reset清理节点配置后成功重连。最终所有节点状态恢复Ready,集群恢复正常。关键步骤包括处理预检错误、重置节点配置和重新加入集群。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值