容器安全考试题库及答案解析.docxVIP

第PAGE页共NUMPAGES页

2026年容器安全考试题库及答案解析

一、单选题（共10题，每题2分）

1.在Docker容器中，以下哪个命令用于查看当前运行容器的详细状态？

A.`dockerps`

B.`dockerinspect`

C.`dockerstats`

D.`dockerlogs`

答案：C

解析：`dockerstats`命令用于实时显示容器的CPU使用率、内存使用量、网络IO等信息，符合题意。`dockerps`仅列出运行中的容器，`dockerinspect`用于获取容器详细信息，`dockerlogs`用于查看容器日志。

2.在Kubernetes中，用于管理容器镜像安全性的主要工具是？

A.Helm

B.Clair

C.KubernetesDashboard

D.Portainer

答案：B

解析：Clair是用于扫描Docker镜像安全漏洞的工具，常与Kubernetes结合使用。Helm是包管理工具，KubernetesDashboard和Portainer是可视化管理界面。

3.在容器化部署中，以下哪种技术可以有效防止不同容器间的资源竞争？

A.cgroups

B.namespaces

C.SELinux

D.AppArmor

答案：A

解析：cgroups（控制组）用于限制、记录和隔离一组进程的资源使用（如CPU、内存），防止资源竞争。namespaces用于隔离容器环境，SELinux和AppArmor是强制访问控制机制。

4.在Dockerfile中，以下哪个指令用于设置容器的默认命令？

A.`RUN`

B.`CMD`

C.`ENTRYPOINT`

D.`EXPOSE`

答案：B

解析：`CMD`用于指定容器的默认命令，但会被`ENTRYPOINT`覆盖。`RUN`用于执行命令，`EXPOSE`用于暴露端口。

5.在Kubernetes中，用于管理多副本应用高可用性的组件是？

A.Deployment

B.StatefulSet

C.DaemonSet

D.Job

答案：A

解析：Deployment负责管理Pod副本的创建、更新和删除，确保应用高可用。StatefulSet用于有状态应用，DaemonSet确保每个节点运行一个副本，Job用于一次性任务。

6.在容器安全中，以下哪种方法可以有效防止容器逃逸？

A.使用非特权用户

B.启用内核隔离

C.定期更新镜像

D.禁用容器网络

答案：B

解析：内核隔离（如Seccomp、AppArmor）通过限制容器系统调用防止逃逸。非特权用户可以降低风险，但无法完全阻止；更新镜像和禁用网络不是直接解决方案。

7.在DockerSwarm模式中，用于管理节点间通信的组件是？

A.OverlayNetwork

B.BridgeNetwork

C.HostNetwork

D.noneoftheabove

答案：A

解析：OverlayNetwork是Swarm模式的核心网络组件，支持跨主机容器通信。Bridge和Host网络仅限于单主机。

8.在Kubernetes中，用于自动扩缩容的应用管理工具是？

A.HorizontalPodAutoscaler(HPA)

B.ClusterAutoscaler

C.NodeAutoscaler

D.ResourceQuota

答案：A

解析：HPA根据负载自动调整Pod副本数。ClusterAutoscaler调整节点数量，NodeAutoscaler非标准术语，ResourceQuota用于资源配额限制。

9.在容器镜像构建中，以下哪种方法可以最小化镜像大小？

A.使用多阶段构建

B.安装所有依赖

C.频繁清理缓存

D.使用大镜像模板

答案：A

解析：多阶段构建通过在最终镜像中仅保留必要文件，显著减小镜像大小。安装所有依赖和用大镜像模板会增加体积，清理缓存可能无效。

10.在容器安全审计中，以下哪个工具用于检测运行时行为异常？

A.Falco

B.Trivy

C.Clair

D.Nessus

答案：A

解析：Falco是开源的运行时行为监控工具，可以检测容器异常事件（如提权、敏感命令执行）。Trivy和Clair是镜像扫描工具，Nessus是通用漏洞扫描器。

二、多选题（共5题，每题3分）

1.在Kubernetes中，以下哪些组件属于控制平面？

A.APIServer

B.etcd

C.Kubelet

D.Scheduler

E.ControllerManager

答案：A、B、D、E

解析：控制平面包括APIServer、