2025年信息系统安全专家容器化与Kubernetes集群身份认证管理专题试卷及解析.pdfVIP

2025年信息系统安全专家容器化与KUBERNETES集群身份认证管理专题试卷及解析1

2025年信息系统安全专家容器化与Kubernetes集群身份

认证管理专题试卷及解析

2025年信息系统安全专家容器化与Kubernetes集群身份认证管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Kubernetes中，哪种身份认证方式主要用于服务账户（ServiceAccount）的

认证？

A、BearerToken

B、客户端证书

C、OpenIDConnect

D、基本认证（BasicAuth）

【答案】A

【解析】正确答案是A。BearerToken是Kubernetes中服务账户默认使用的认证方

式，每个服务账户都会自动关联一个Token。B选项客户端证书主要用于用户认证；C

选项OpenIDConnect用于集成外部身份提供商；D选项基本认证已不推荐使用。知识

点：Kubernetes认证机制。易错点：混淆用户认证和服务账户认证的默认方式。

2、PodSecurityPolicy（PSP）在Kubernetes中的作用是什么？

A、管理网络策略

B、控制Pod的安全上下文

C、存储卷加密

D、镜像签名验证

【答案】B

【解析】正确答案是B。PSP用于限制Pod必须满足的安全条件，如运行用户、权

限等。A选项网络策略由NetworkPolicy控制；C选项存储加密由CSI驱动实现；D选

项镜像验证需使用ImagePolicyWebhook。知识点：Kubernetes安全策略。易错点：PSP

已被弃用，但仍是重要考点。

3、RBAC中，哪种资源用于定义权限规则？

A、RoleBinding

B、ClusterRole

C、User

D、ServiceAccount

【答案】B

【解析】正确答案是B。ClusterRole和Role用于定义权限规则，A选项RoleBinding

用于绑定角色和主体，C/D选项是认证主体。知识点：RBAC模型。易错点：区分

Role/ClusterRole（定义权限）和RoleBinding/ClusterRoleBinding（绑定关系）。

2025年信息系统安全专家容器化与KUBERNETES集群身份认证管理专题试卷及解析2

4、Kubernetes审计日志中，哪个字段记录了发起请求的用户？

A、stage

B、verb

C、user

D、objectRef

【答案】C

【解析】正确答案是C。user字段明确记录了认证主体信息。A选项stage表示请

求阶段；B选项verb是操作类型；D选项objectRef是操作对象。知识点：审计日志结

构。易错点：混淆user和impersonatedUser（模拟用户）字段。

5、容器运行时接口（CRI）的主要作用是？

A、管理网络插件

B、标准化容器运行时与Kubelet的交互

C、实现服务发现

D、持久化存储管理

【答案】B

【解析】正确答案是B。CRI解耦了Kubelet和容器运行时。A选项网络由CNI管

理；C选项服务发现由CoreDNS实现；D选项存储由CSI管理。知识点：Kubernetes

架构。易错点：混淆CRI/CNI/CSI的职责范围。

6、以下哪个是Kubernetes默认的准入控制器？

A、PodSecurityPolicy

B、AlwaysPullImages

C、NamespaceAutoProvision

D、LimitRanger

【答案】D

【解析】正确答案是D。LimitRanger是默认启用的控制器，用于资源限制。A选项

PSP需手动启用；B选项AlwaysPullImages非默认；C选项NamespaceAutoProvision

不存在。知识点：准入控制器。易错点：默认控制器列表会随版本变化。

7、OpenIDConnect（OIDC）令牌中的哪个字段用