2025年信息系统安全专家Kubernetes集群架构与安全机制专题试卷及解析.pdfVIP

2025年信息系统安全专家KUBERNETES集群架构与安全机制专题试卷及解析1

2025年信息系统安全专家Kubernetes集群架构与安全机

制专题试卷及解析

2025年信息系统安全专家Kubernetes集群架构与安全机制专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Kubernetes中，哪种资源用于管理集群内外的网络访问控制？

A、ConfigMap

B、NetworkPolicy

C、Secret

D、Ingress

【答案】B

【解析】正确答案是B。NetworkPolicy是Kubernetes中用于定义网络访问策略的

资源，可以控制Pod之间以及Pod与外部之间的流量。A选项ConfigMap用于存储

配置数据，C选项Secret用于存储敏感信息，D选项Ingress用于管理外部访问规则，

但NetworkPolicy是专门用于网络访问控制的。知识点：Kubernetes网络策略。易错点：

容易混淆Ingress和NetworkPolicy的功能，Ingress主要处理HTTP/HTTPS路由，而

NetworkPolicy是更底层的流量控制。

2、Kubernetes中的RBAC（基于角色的访问控制）主要通过哪三种资源组合实现？

A、Role、RoleBinding、ServiceAccount

B、ClusterRole、ClusterRoleBinding、User

C、Role、Binding、Token

D、Permission、Role、Binding

【答案】A

【解析】正确答案是A。RBAC通过Role（定义权限）、RoleBinding（绑定角色和主

体）和ServiceAccount（Pod身份标识）实现权限控制。B选项中ClusterRoleBinding

用于集群级别，但User不是Kubernetes原生资源。C选项中Binding不是标准资源名。

D选项中Permission不是KubernetesRBAC的正式资源。知识点：KubernetesRBAC

模型。易错点：容易忽略ServiceAccount在Pod访问控制中的关键作用。

3、以下哪项是Kubernetes集群中etcd的最佳安全实践？

A、使用默认端口2379且不加密

B、通过ServiceAccount访问etcd

C、启用TLS加密并设置客户端证书认证

D、允许所有节点直接访问etcd

【答案】C

2025年信息系统安全专家KUBERNETES集群架构与安全机制专题试卷及解析2

【解析】正确答案是C。etcd作为Kubernetes的存储后端，必须启用TLS加密并

使用客户端证书认证。A选项存在严重安全风险，B选项中ServiceAccount不适用于

etcd访问，D选项会暴露敏感数据。知识点：etcd安全配置。易错点：容易忽视etcd

与APIServer通信的加密需求。

4、PodSecurityPolicy（PSP）在Kubernetes中主要解决什么问题？

A、网络流量限制

B、容器运行时安全基线

C、存储卷加密

D、镜像漏洞扫描

【答案】B

【解析】正确答案是B。PSP用于定义Pod的安全基线（如禁止特权模式、限制主

机路径挂载等）。A选项由NetworkPolicy处理，C选项需要存储插件支持，D选项是

镜像安全范畴。知识点：Pod安全策略。易错点：PSP已被弃用，但仍是经典考点，需

注意其替代方案PodSecurityAdmission。

5、Kubernetes中哪个组件负责验证和配置API请求？

A、kubelet

B、kubeproxy

C、APIServer

D、ControllerManager

【答案】C

【解析】正确答案是C。APIServer是集群的统一入口，负责认证、