출처: Udemy, Kubernetes Certified (KCNA) + Hands On Labs + Practice Exams
Q1. Which of the following is a lightweight container runtime specifically designed for Kubernetes, conforming to the Container Runtime Interface (CRI)?
A. CRI-O
**Q2. In the context of Kubernetes, which component is responsible for running containers on each node in the cluster?
A. Container Runtime
+)
- Container Runtime은 각 노드에서 실제로 컨테이너를 실행하는 핵심 컴포넌트
- Kube-Scheduler: 어떤 노드에 Pod를 배치할지 결정
- Kube-Proxy: 서비스 네트워크 트래픽을 Pod로 라우팅
- API Server (Kube-APIserver): Kubernetes의 중앙 제어 및 통신 인터페이스**
Q5. In the context of Kubernetes, which component on a node is responsible for running containers as specified in the Pod definitions?
A. Kubelet
+) API Server는 마스터 컴포넌트로, 직접 컨테이너를 실행하지 않음. 실행은 Kubelet이 수행.
Q6. To achieve consistent DNS naming for pods managed by a StatefulSet in Kubernetes, what additional Kubernetes resource should you use?
A. Headless Service
+) Ingress는 외부 HTTP 라우팅을 담당하며, StatefulSet의 고정 DNS는 Headless Service로 제공됨
Q8.In Kubernetes, which security-focused tool is commonly used for runtime security monitoring and detection of anomalous activities within containers and pods?
A. Falco
+) Prometheus는 모니터링 도구이고, 런타임 보안 감지는 Falco가 담당.
Q12.Which open standard provides a specification for container images and runtimes, ensuring consistency and compatibility in the container ecosystem?
A. Open Container Initiative (OCI)
Q17. Which of these technologies is incompatible with the Kubernetes Container Runtime Interface (CRI)?
A. VirtualBox
Q20. In Kubernetes, which two types of resources are used to expose applications to external traffic, including options like ClusterIP, NodePort, and LoadBalancer?
A. Services and Ingress
+) 서비스와 인그레스는 애플리케이션을 외부 트래픽에 노출시키는 데 사용되는 두 가지 유형의 리소스
서비스는 애플리케이션에 액세스하기 위한 안정적인 IP 주소와 DNS 이름을 제공하며, 인그레스 리소스는 HTTP 요청의 진입점 역할을 하여 라우팅 규칙과 SSL 종료를 정의
Q27.Which tool is specifically designed for monitoring and managing costs in a Kubernetes environment, providing insights into spending and resource optimisation?
A. KubeCost
Q29.Which open-source tool is specifically designed for assessing the security posture of Kubernetes clusters according to NSA and CISA guidelines?
A. KubeScape
+) Falco는 런타임 보안 도구이고, NSA/CISA 기준 보안 점검은 KubeScape가 담당
- KubeScape는 오픈 소스 Kubernetes 보안 검사 도구로,
NSA(미국 국가안보국) 및 CISA(사이버 인프라 보안국)에서 권장하는 Kubernetes 보안 모범 사례에 따라
클러스터의 보안 상태(Security Posture)를 평가 - Aqua Security는 상용 플랫폼으로, Kubernetes 보안을 포함한 전체 클라우드 네이티브 보안 솔루션을 제공
- Kubernetes 환경에서 이상 행동 감지, 시스템 콜 모니터링, 침입 탐지 등의 역할
- Sysdig Secure는 Falco를 기반으로 한 상용 클라우드 보안 플랫폼
Q30. In a Kubernetes cluster, which component runs on every node to manage the lifecycle of containers?
A. Kubelet
+) Kubelet이 노드에서 컨테이너의 생명주기를 관리함.
Q31. What does the acronym OIDC stand for in the context of authentication and authorization?
A. OpenID Connect
+) OpenID Connect는 인증 프로토콜의 정식 명칭
Q37. In a Kubernetes environment, which software is widely used as a lightweight proxy to handle the traffic management between microservices?
A. Envoy
+) Fluentd는 로그 수집 도구이고, 프록시는 Envoy가 담당함.
Q40.In a cloud-native organisation, which role is primarily responsible for building and maintaining the underlying platform infrastructure, enabling application developers to deploy and run their services efficiently?
A. Platform Engineers
+) DevOps는 협업에 중점, 플랫폼 구축/유지는 Platform Engineer 역할
Q41. What is the primary purpose of kube-state-metrics in a Kubernetes cluster?
A. To generate and expose cluster state data
+) kube-state-metrics는 클러스터 상태를 Prometheus 포맷으로 노출함.
Q43. Which statement is true about Ingress in Kubernetes in relation to the routing of traffic?
A. Ingress routes external HTTP and HTTPS traffic to services within the cluster
+) Ingress는 경로뿐 아니라 호스트명, TLS 설정 등 다양한 방식으로 트래픽을 라우팅 가능
Q45. What is the default setting for the --authorization-mode flag in the Kubernetes API server if the --authorization-config is not used?
A. AlwaysAllow
+) 기본 authorization-mode는 AlwaysAllow로, 인증 없이 허용됨
Q47.In the context of Persistent Volume Claims (PVCs) in Kubernetes, what is the Manual Reclamation Policy typically recognised as?
A. Retain
+) Retain은 PVC 삭제 후 PV를 유지하는 수동 재클레임 정책-> PVC(Persistent Volume Claim)가 삭제되어도 PV(Persistent Volume)는 자동으로 삭제되지 않고 그대로 남아 있으며, 관리자가 직접 삭제하거나 재사용하도록 처리
Q48.In a cloud-native environment, which persona is typically responsible for managing Service Level Agreements (SLAs), Service Level Indicators (SLIs), and Service Level Objectives (SLOs)?
A. Site Reliability Engineer (SRE)
+) SRE가 SLA, SLI, SLO 관리의 주요 책임자임.
Q50. In Kubernetes security, what differentiates Security Contexts from Security Policies (Like PodSecurityPolicies or Kyverno) in terms of their scope and focus?
A. Security Contexts operate at the container runtime level, while Security Policies work at the cluster control plane level.
+) Security Context는 런타임 수준, Policy는 클러스터 제어 수준에서 동작함.
Q51. Which function is primarily associated with Kubernetes Security Contexts?
A. Defining container or pod level security settings
+) Security Context는 실행 시 컨테이너의 보안 속성을 정의함.
Q52. In the context of cloud native environments, which persona primarily focuses on optimizing cloud costs and financial management?
A. FinOps
Q53. In the context of etcd used in Kubernetes, what is the significance of the 1.5MB size limit for etcd?
A. It is the recommended maximum size for an individual value stored in etcd
+) 1.5MB 제한은 etcd에 저장되는 단일 값의 크기를 의미함.
Q59. What are CloudEvents in the context of cloud computing?
A. A set of standards for describing event data in a common way
+) CloudEvents는 이벤트를 표준화된 방식으로 표현하는 명세임.
CloudEvents는 이벤트에 대한 구조를 정의하는 CNCF 표준 → 서로 다른 시스템, 서비스, 클라우드 간에 이벤트 데이터를 일관되게 전달할 수 있게
Q61. In the world of software development and continuous integration, what tool is widely used for automating building, testing, and deploying applications?
A. Jenkins
+) Git은 Jenkins, GitHub Actions, GitLab CI 등 CI/CD 도구와 연동되어 트리거 역할을 할 수는 있지만, 자동으로 빌드, 테스트, 배포를 수행하는 도구는 아님
Q62. In Kubernetes, which object is most suitable for deploying stateless applications?
A. Deployment
+) Deployment는 무상태 애플리케이션을 배포하기 위한 가장 적절한 리소스, 애플리케이션을 배포하고 Pod 수명주기 관리
Service는 배포하는 객체가 아니라, 네트워크 통신을 위한 객체, Pod에 네트워크로 접근할 수 있게 해주는 통신 계층
**Q67.In Kubernetes, which component is a part of the node infrastructure rather than the control plane?
A. kube-proxy
+)
- 컨트롤플레인
- 클러스터의 중추적인 제어 로직을 담당
- 클러스터 상태를 관리하고, 클러스터 내 모든 노드와 오브젝트를 관찰하고 명령을 내리는 역할
- kube-apiserver, etcd, kube-scheduler, kube-controller-manager, cloud-controller-manager (선택적)
- 노드플레인= 데이터플레인 = 워커플레인
- 실제로 애플리케이션이 실행되는 공간
- 각 노드는 Control Plane의 명령을 받아 Pod를 실행하고 상태를 보고
- kubelet, kube-proxy, container runtime
Q70.Which product is built using the GitOps Toolkit, a set of composable APIs and specialised tools for building GitOps-based continuous delivery systems?
A. Flux
+) GitOps Toolkit을 기반으로 구축된 도구는 Flux이며, Argo CD도 GitOps 도구이긴 하지만 GitOps Toolkit으로 만들어진 것은 아님
2
Q. What is the reference implementation of the Open Container Initiative (OCI) runtime specification?
A. runc
+)
- runc는 Open Container Initiative (OCI) Runtime Specification의 참조(reference) 구현체입니다.
이는 컨테이너 실행을 위한 가볍고, 이식 가능하며, 성능이 뛰어난 런타임으로,
OCI가 정의한 런타임 표준을 가장 직접적으로 구현한 공식 표준 구현체, runc는 실제로 Docker, containerd, CRI-O 같은 다른 컨테이너 런타임 내부에서 사용 - containerd는 Docker가 만들고 이후 CNCF에 기증한 컨테이너 런타임 데몬입니다.
실제 컨테이너를 실행할 때는 내부적으로 runc를 호출합니다.
OCI 스펙을 따르기는 하지만, 참조 구현(reference implementation)은 아닙니다. - CRI-O는 Kubernetes용으로 설계된 경량 OCI 기반 런타임입니다.
Kubernetes의 CRI(Container Runtime Interface)를 구현하며, 내부적으로 runc를 사용합니다.
하지만 마찬가지로, OCI의 참조 구현은 아니며, 오히려 Kubernetes 친화적 런타임
Q. In a Kubernetes cluster, which component is responsible for routing traffic for services and managing IP rules?
A. Kube-Proxy
+)
- Kube-Proxy는 각 노드에서 실행되는 네트워크 프록시 -> 트래픽 라우팅이나 IP룰 설정
- API Server (kube-apiserver): Kubernetes 클러스터의 중앙 제어 지점
- Kubelet: 각 노드에서 Pod의 생명 주기 관리
- Etcd: 클러스터 상태를 저장하는 분산 키-값 저장소
Q. Which of these options is a Service Mesh implementation specifically designed for Kubernetes, known for its simplicity and ease of use?
A. Linkerd
+)
- Linkerd는 Kubernetes를 위해 특별히 설계된 경량 서비스 메시, 다른 서비스 메시(예: Istio)에 비해 구성 및 운영이 훨씬 간단하고, 학습 곡선이 낮아 초보자도 쉽게 사용
- Kubernetes Dashboard: Kubernetes 리소스를 시각적으로 관리할 수 있는 웹 기반 UI
- Knative: Kubernetes 기반의 서버리스 애플리케이션 플랫폼.
Q. What option aligns to the 'traditional' workflow of a CI/CD pipeline, where "D" in CI/CD stands for Deployment?
A. Build, Testing, Release, Deployment
Q. Who is responsible for the governance and operation of hosted projects under the Cloud Native Computing Foundation (CNCF)?
A. The CNCF Technical Oversight Committee
Q. In Kubernetes, how would you enable data sharing between different cronjobs running at various times?
A. Persistent Volume Claim (PVC)
Q. What is true about Pod-to-Pod communication within the same node in Kubernetes?
A. Pods use direct, NAT-less networking for communication on the same node
단어
| 영어단어 | 뜻 |
|---|---|
| incompatible | 호환되지 않는 |
| retain | 유지하다 |
| reclaim | 되착다, 재활용하다 |
| facilitate | 용이하게하다 |
| versatile | 변하기 쉬운 |
| realm | 영역, 범위 |
- Traefik은 트래픽 관리 및 SSL 종료와 같은 일부 기능을 제공하지만 Istio와 같은 수준의 제어, 보안 및 관찰 가능성을 제공하지는 않음
- Weave Net은 Kubernetes를 위한 네트워킹 솔루션으로, 포드 연결을 위한 간단하고 탄력적인 네트워크 패브릭을 제공
- MetalLB는 일부 트래픽 관리 기능을 제공하지만 Istio와 같은 포괄적인 서비스 메시는 아님
- Istio는 Kubernetes의 마이크로서비스 간 상호작용을 제어, 보안 및 관찰하기 위한 포괄적인 기능을 제공하는 오픈 소스 서비스 메시
- Rook은 Ceph, EdgeFS 등과 같은 스토리지 시스템의 배포 및 관리를 자동화하는 Kubernetes의 클라우드 네이티브 스토리지 오케스트레이터, Kubernetes 환경에서 스토리지 리소스를 유연하고 확장 가능하게 관리할 수 있는 방법을 제공
- Argo Workflows는 Kubernetes에서 복잡한 병렬 워크플로우와 배치 작업을 조정하고 관리하기 위해 특별히 설계된 오픈 소스 도구입니다. 이 도구는 YAML 또는 JSON 파일을 사용하여 워크플로우를 유연하게 정의할 수 있는 방법을 제공
