工程师必须知道的20个DevOps面试题

在我的职业生涯中，我有机会参与许多次面试，也进行过许多次面试。这种独特的位置让我对招聘过程有了更深入的理解，尤其是在DevOps领域。在这篇文章中，我渴望通过概述一些关键的面试问题，分享我积累的见解和知识，这些问题对于致力于推进职业生涯的DevOps工程师来说可能非常宝贵，无论您是准备进入就业市场还是希望提高面试技巧。

译自 20 DevOps Interview Questions Every Engineer Should Know，作者 Alex M.。

另外，如果您在回答上存在困难或需要进一步指导，请随时与我联系。

1. 解释流量如何到达Kubernetes中的Pod？

虽然这个问题看似简单直接，但它提供了一个展示您在网络、云平台和Kubernetes架构方面专业知识深度的机会。

理想情况下，您应该涵盖从客户端请求到负载均衡器、ingress controller、k8s服务最后到pod的整个事件链。

您可能需要解释流量如何从负载均衡器路由到Kubernetes节点，一旦它到达目标VNET，CNI插件如何通过overlay网络将流量路由到目标容器。

2. Liveness、Readiness和Startup探测器之间的区别是什么？

谈谈它们的使用时机和方式。提到诸如initialDelaySeconds、periodSeconds等探测器选项，并阅读有关配置非冲突探测器的内容。

3. 您偏好的 CI/CD 流程是什么以及为什么？

面试官希望了解您对持续集成/持续交付流程的熟悉程度以及您参与其中的深度。您是编写流水线，配置和集成 CI/CD 系统，还是两者都参与。

理想情况下，您应该熟悉托管和自管理解决方案，了解云原生 CI/CD 系统的工作原理以及身份访问管理角色和事件如何适应云原生方法。您可能会被问及托管标识的使用以及托管与自管理 CI/CD 工具(如 GitLab)的优势。

4. 您将如何在 AWS/Azure/Google Cloud/内部网络上设计一个云原生的消息消费和分析服务？

最初，您可能会被要求提供高级概述架构，然后详细检查其中的特定组件。熟悉工作流程的每个阶段相关的全部产品和服务非常重要——从消息输入、消息存储、数据处理和转换，到数据分析和可视化，最后是监控——在您专业的云平台内。

5. 您将如何在云基础设施与我们的内部数据库/服务器/应用程序等之间建立连接？

这是一个经常被运营混合网络的公司询问的问题，凸显了理解公共和私有连接选项的重要性。深入探讨这两种方法是必不可少的。对于公共连接，优先考虑安全因素，确保跨网络的数据传输安全。相反，在探索专用连接时，解释动态路由，特别是使用边界网关协议(BGP)，变得至关重要。这种双重关注确保全面掌握面向混合环境的网络策略。

6. 如果您有基于 API 的系统，您将如何尽快设置监控？

要有效解决这个问题，必须深入理解监控和跟踪策略，特别是在 API 调用级别。利用云服务提供的云原生工具，比如 AWS X-Ray、Google Trace 或 Azure Monitor Application Insights，可以直接跟踪 API 调用。但是，如果选择自管理工具，您可能要考虑与 Jaeger 等解决方案的集成和配置过程。此外，实现服务网格可以作为一个全面的替代方案，它提供集中的跟踪功能，以及相互 TLS 加密的额外优势，以增强安全性。

7. 对于包括有状态和无状态组件的分布式应用架构，请描述如何设计负载均衡策略，利用第4层(L4)和第7层(L7)负载均衡器以及直通负载均衡器。具体而言，请解释如何配置这些负载均衡器以优化性能、确保高可用性以及维护有状态组件的会话一致性。另外，详细说明如何集成同时需要直接 TCP 连接和 HTTP/HTTPS 流量的后端服务，根据请求的内容和对 SSL 终止的需求，确保安全高效的请求路由。考虑 SSL 卸载的影响，以及如何处理运行状况检查和故障转移机制以最大限度地减少停机时间。

要自信地回答这个问题，您应该了解 L4 和 L7 负载均衡器之间的操作差异、SSL 卸载和直通的概念，以及有状态服务的会话亲和性管理。了解如何在分布式应用环境中配置运行状况检查和故障转移策略也是必不可少的。

8. 对于为全球用户提供服务的应用程序，需要分布式网络架构来满足低延迟要求，您将为前端组件实现什么基础设施？

您需要描述内容分发网络(CDN)、DNS 负载均衡和 Anycast IP 的工作原理以及各自在解决此问题方面的优势。

9. 详细说明客户端与服务器之间建立传输层安全性(TLS)会话的过程，详细说明公钥基础设施(PKI)、证书颁发机构(CA)的作用，以及加密套件的重要性。此外，讨论 TLS 握手过程存在的潜在漏洞，以及证书固定和使用扩展验证(EV)证书如何缓解这些风险。

10. 想象您正在配置一台具有两个网络接口的 Linux 服务器: eth0 用于内部网络连接，eth1 用于外部互联网访问。内部网络在子网 192.168.1.0/24 上，该服务器在此网络上的 IP 为 192.168.1.100。外部网络接口 eth1 连接到具有网关 10.0.0.1 的网络。您需要确保服务器可以在内部网络中进行通信，并可以访问互联网进行更新和外部服务。- 您将如何使用 ip 命令配置 eth0 和 eth1 的 IP 地址？- 您将如何通过 eth1 添加默认网关以进行互联网访问？- 最后，为了确保安全性和正确的网络分割，您将如何添加一个静态路由，以便到另一个内部子网 192.168.2.0/24(通过内部路由器 192.168.1.1 可达)的流量通过 eth0 正确路由？"

sudo ip addr add 192.168.1.100/24 dev eth0
sudo ip addr add <external-IP-address>/24 dev eth1
sudo ip route add default via 10.0.0.1 dev eth1
sudo ip route add 192.168.2.0/24 via 192.168.1.1 dev eth0

11. Dockerfile 中 ENTRYPOINT 和 CMD 指令有什么区别，当两者都指定时，它们如何交互？

12. 编写一个 Bash 脚本，遍历作为命令行参数提供的文件名列表。对每个文件，使用循环来处理其内容。在循环内，使用 sed 将所有 "http" 实例替换为 "https"，然后使用 awk 打印出包含 "error" 这个词的每一行。假设所有文件都是文本文件，位于当前目录中。

13. 使用 Terraform，创建一个配置，从名为 ingress_rules 的列表变量中动态生成 AWS 安全组入站规则。每个规则应指定描述、from_port、to_port、protocol 和 cidr_blocks。包括变量定义和带有动态块的安全组资源用于规则。

14. 您可以如何从机密管理工具(例如 HashiCorp Vault、AWS Secrets Manager 或 Azure Key Vault)安全地向 Kubernetes Pod 注入机密？请描述从机密存储中检索机密并使 Pod 可用的步骤，包括任何必要的 Kubernetes 资源配置？

15. 描述当流量从应用程序通过 OSI 模型各层(应用层、传输层、网络层和数据链路层)发送时发生的事件链，包括它如何通过网络接口传递，由网络地址转换(NAT)转换，最后到达互联网。对每个步骤进行详细的解释，包括每个层的协议角色(例如应用层的 HTTP/S，传输层的 TCP/UDP，网络层的 IP)，以及数据包如何被封装并处理到数据链路层才被传输到物理介质。

16. 对于由于对产品和会话数据的大量读需求而导致峰值时段页面加载缓慢的高流量电子商务平台，您会推荐什么数据库解决方案来提高速度、确保数据持久性、支持复制以实现高可用性并减少延迟？在传统 SQL 数据库、NoSQL 和 Redis 等缓存解决方案中进行选择，并根据平台对快速访问和可靠性的需求来证明您的选择。

提示:阅读有关缓存数据库的内容。

17. Git 中 git fetch 和 git pull 命令有什么区别，在什么情况下会使用每个命令？

18. 您如何在 AWS/Azure/GCP 中设置出站流量过滤系统，以阻止虚拟机访问某些网站，确保所有外部请求都由防火墙评估和过滤？

提示:阅读有关虚拟私有云(VPC)路由表的内容。

19. 您如何在不依赖技术账户或服务主体的情况下，使 Kubernetes Pod 与 AWS/Azure/GCP 云服务进行交互？

提示:阅读关于角色、服务账户和身份的内容。

20. Kubernetes 如何利用其证书颁发机构(CA)生成的证书来保护其组件之间的通信(例如 kubelet 到 API 服务器)，以及如何手动轮换 Kubernetes 集群的这些证书？