CCA (Cilium Certified Associate) 실전 연습 문제 80제

시험 개요

CCA(Cilium Certified Associate)는 Cilium과 eBPF 기반 쿠버네티스 네트워킹에 대한 기본 지식을 검증하는 자격증입니다.

도메인별 가중치

Architecture (문제 1-16)

문제 1

eBPF 프로그램이 리눅스 커널에서 실행되기 전에 반드시 거쳐야 하는 단계는 무엇인가?

A. 컴파일 B. 검증(Verification) C. 링크 D. 직렬화

문제 2

Cilium에서 각 워크로드의 보안 식별자(Identity)는 어떤 기준으로 할당되는가?

A. Pod의 IP 주소 B. Pod의 이름 C. Pod의 보안 관련 레이블(Security-Relevant Labels) D. Pod가 실행되는 노드

문제 3

Cilium Agent의 주요 역할이 아닌 것은?

A. eBPF 프로그램 컴파일 및 로드 B. 엔드포인트 관리 C. IPAM 할당 관리 D. CRD 유효성 검사

문제 4

Cilium Operator의 역할로 올바른 것은?

A. 각 노드에서 eBPF 프로그램 로드 B. 클러스터 범위의 IPAM 관리 및 CRD 관리 C. Hubble 메트릭 수집 D. Envoy 프록시 관리

문제 5

eBPF에서 BPF 맵(Map)의 목적은 무엇인가?

A. eBPF 프로그램 간 또는 커널과 사용자 공간 간 데이터 공유 B. 네트워크 패킷을 저장하는 버퍼 C. eBPF 프로그램의 소스 코드 저장 D. 커널 모듈 로딩

문제 6

Cilium에서 사용하는 데이터패스 모드 중 veth 모드의 특징은?

A. Pod와 호스트 네트워크 네임스페이스 간에 veth pair를 사용 B. XDP를 통해 직접 패킷을 전달 C. VXLAN 터널만 사용 D. iptables 기반으로 동작

문제 7

eBPF 프로그램의 실행 컨텍스트로 올바르지 않은 것은?

A. XDP (eXpress Data Path) B. tc (traffic control) C. socket operations D. 사용자 공간 프로세스

문제 8

Cilium의 Identity 기반 보안 모델의 장점이 아닌 것은?

A. IP 주소 변경에 영향을 받지 않음 B. 정책 적용이 레이블 기반으로 직관적 C. IP 기반보다 BPF 맵 크기가 항상 작음 D. Pod 스케일링 시 정책이 자동으로 적용됨

문제 9

Cilium에서 엔드포인트(Endpoint)가 재생성(Regeneration)되는 경우는?

A. 네트워크 정책이 변경되었을 때 B. 노드의 CPU 사용률이 높을 때 C. Hubble이 재시작될 때 D. DNS 캐시가 만료될 때

문제 10

Cilium이 사용하는 BPF 맵 타입 중 CIDR 기반 정책 매칭에 사용되는 것은?

A. Hash Map B. LPM Trie C. Array Map D. Ring Buffer

문제 11

eBPF 프로그램이 처리할 수 있는 최대 명령어 수의 제한이 있는 이유는?

A. 메모리 절약 B. 프로그램 종료를 보장하기 위해 C. 네트워크 대역폭 제한 D. CPU 코어 수 제한

문제 12

Cilium Agent가 각 노드에서 DaemonSet으로 배포되는 이유는?

A. 고가용성을 위해 B. 각 노드의 네트워크 데이터패스를 관리해야 하므로 C. 중앙 집중식 로깅을 위해 D. 스토리지 관리를 위해

문제 13

Cilium에서 XDP(eXpress Data Path)를 사용하는 주된 이점은?

A. L7 프로토콜 분석 B. 네트워크 드라이버 수준에서 초고속 패킷 처리 C. 자동 TLS 종료 D. 멀티클러스터 통신

문제 14

Cilium의 IPAM 모드 중 Kubernetes Host Scope 모드의 특징은?

A. AWS ENI를 사용하여 IP를 할당 B. 각 노드에 할당된 PodCIDR에서 IP를 할당 C. 외부 IPAM 서비스와 연동 D. IPv6만 지원

문제 15

Cilium Agent가 사용하는 상태 저장소로 올바른 것은?

A. Redis B. 로컬 etcd 또는 CRD(쿠버네티스 커스텀 리소스) C. PostgreSQL D. Consul

문제 16

eBPF 테일 콜(tail call)의 목적은 무엇인가?

A. eBPF 프로그램에서 시스템 콜을 호출 B. 하나의 eBPF 프로그램에서 다른 eBPF 프로그램으로 실행을 전환 C. 사용자 공간 애플리케이션을 호출 D. 커널 패닉을 유발

Networking (문제 17-36)

문제 17

Cilium에서 지원하는 라우팅 모드가 아닌 것은?

A. VXLAN 터널링 B. Geneve 터널링 C. Direct Routing (네이티브 라우팅) D. MPLS 라우팅

문제 18

Cilium이 CNI(Container Network Interface) 플러그인으로 동작할 때 수행하는 작업은?

A. Pod 생성 시 네트워크 인터페이스 설정 및 IP 할당 B. 컨테이너 이미지 빌드 C. 쿠버네티스 스케줄링 D. 스토리지 볼륨 마운트

문제 19

Cilium의 Direct Routing 모드에서 Pod 간 트래픽이 전달되는 방식은?

A. VXLAN 헤더를 추가하여 캡슐화 B. 노드의 라우팅 테이블을 사용하여 직접 전달 C. 항상 NAT를 적용 D. 사용자 공간 프록시를 통해 전달

문제 20

Cilium에서 kube-proxy를 대체하는 기능의 핵심 구현 방식은?

A. iptables 규칙 생성 B. ipvs 규칙 생성 C. eBPF 기반 서비스 로드 밸런싱 D. HAProxy 배포

문제 21

Maglev 일관된 해싱(Consistent Hashing)이 Cilium 서비스 로드 밸런싱에서 해결하는 문제는?

A. DNS 해석 속도 B. 백엔드 변경 시 기존 연결의 유지 C. TLS 인증서 관리 D. Pod 스케줄링 최적화

문제 22

DSR(Direct Server Return) 모드의 장점은?

A. 응답 패킷이 원래 요청을 받은 노드를 거치지 않고 직접 클라이언트로 전달 B. 모든 트래픽을 암호화 C. L7 프로토콜 분석 가능 D. 멀티클러스터 통신 지원

문제 23

Cilium의 BGP Control Plane 기능의 주요 목적은?

A. Pod 내부 DNS 해석 B. Pod CIDR 및 서비스 IP를 BGP 피어에 광고 C. 컨테이너 이미지 레지스트리 관리 D. etcd 클러스터 관리

문제 24

VXLAN 터널링 모드에서 추가되는 오버헤드는 약 얼마인가?

A. 8 바이트 B. 50 바이트 C. 100 바이트 D. 200 바이트

문제 25

Cilium에서 NodePort 서비스의 eBPF 가속이 동작하는 훅 포인트는?

A. Application Layer B. XDP 또는 tc C. syslog D. Netfilter

문제 26

Cilium에서 소켓 수준 로드 밸런싱의 장점은?

A. L7 프로토콜 분석이 가능 B. 패킷이 네트워크 스택을 거치지 않고 직접 백엔드로 연결 C. 자동 TLS 종료 D. DNS 캐싱

문제 27

Cilium에서 Geneve 터널링이 VXLAN보다 선호되는 이유는?

A. 오버헤드가 더 적음 B. 확장 가능한 TLV(Type-Length-Value) 옵션 필드 지원 C. 더 빠른 암호화 D. IPv4만 지원

문제 28

Cilium의 호스트 방화벽(Host Firewall) 기능은 무엇을 보호하는가?

A. Pod 간 통신만 B. 호스트 네트워크 네임스페이스로의 트래픽 C. 외부 DNS 요청 D. etcd 데이터

문제 29

Cilium에서 IPv4/IPv6 듀얼 스택을 활성화하기 위한 설정은?

A. enable-ipv4: true와 enable-ipv6: true B. dual-stack: enabled C. ip-version: both D. network-mode: dual

문제 30

Cilium의 Bandwidth Manager가 사용하는 리눅스 커널 기능은?

A. cgroups B. EDT(Earliest Departure Time) 기반 rate limiting C. tc-filter D. iptables rate limiting

문제 31

Cilium에서 WireGuard 통합의 목적은?

A. L7 트래픽 분석 B. 노드 간 트래픽의 투명한 암호화 C. DNS 쿼리 가속 D. 로그 수집

문제 32

Cilium의 IPAM 모드 중 클라우드 환경에서 ENI(Elastic Network Interface)를 사용하는 모드는?

A. Kubernetes Host Scope B. Cluster Scope C. AWS ENI 모드 D. CRD-backed

문제 33

Cilium에서 BIG TCP(Big TCP)의 목적은?

A. TCP 연결 수 제한 B. GRO/GSO를 활용한 대용량 패킷 처리로 처리량 향상 C. TCP 포트 범위 확장 D. TCP 타임아웃 조정

문제 34

Cilium에서 서비스의 세션 어피니티(Session Affinity)를 구현하는 방법은?

A. iptables 규칙 B. BPF 맵에서 클라이언트 IP와 백엔드 매핑을 저장 C. DNS 라운드로빈 D. 외부 로드밸런서 위임

문제 35

Cilium의 IP Masquerading에 대한 설명으로 올바른 것은?

A. 항상 모든 트래픽에 SNAT 적용 B. Pod에서 클러스터 외부로 나가는 트래픽에 노드 IP로 SNAT 적용 C. 인바운드 트래픽에만 적용 D. IPv6에서만 동작

문제 36

Cilium에서 LoadBalancer 타입 서비스를 위한 LB-IPAM 기능은?

A. 클라우드 로드밸런서 자동 프로비저닝 B. Cilium이 직접 LoadBalancer IP 풀에서 IP 할당 C. DNS 기반 로드 밸런싱 D. Ingress 컨트롤러 배포

Network Policy (문제 37-52)

문제 37

CiliumNetworkPolicy와 쿠버네티스 NetworkPolicy의 차이점으로 올바른 것은?

A. CiliumNetworkPolicy는 L7 정책을 지원 B. 쿠버네티스 NetworkPolicy가 더 많은 기능 제공 C. CiliumNetworkPolicy는 클러스터 범위만 지원 D. 둘은 완전히 동일한 기능

문제 38

Cilium에서 L3/L4 네트워크 정책은 어디에서 적용되는가?

A. Envoy 프록시 B. eBPF 프로그램 (커널 수준) C. iptables D. 사용자 공간 방화벽

문제 39

Cilium에서 FQDN 기반 네트워크 정책이 동작하는 방식은?

A. 외부 DNS 서버에 주기적으로 쿼리 B. Cilium DNS 프록시가 DNS 응답을 가로채 IP를 학습하고 정책 적용 C. /etc/hosts 파일 참조 D. CoreDNS 플러그인으로 구현

문제 40

다음 CiliumNetworkPolicy에서 허용하는 트래픽은?

apiVersion: cilium.io/v2
kind: CiliumNetworkPolicy
metadata:
  name: allow-frontend
spec:
  endpointSelector:
    matchLabels:
      app: backend
  ingress:
    - fromEndpoints:
        - matchLabels:
            app: frontend
      toPorts:
        - ports:
            - port: '8080'
              protocol: TCP

A. backend에서 frontend로의 8080 포트 트래픽 B. frontend에서 backend로의 8080 포트 TCP 트래픽 C. 모든 Pod에서 backend로의 트래픽 D. backend에서 외부로의 모든 트래픽

문제 41

CiliumClusterwideNetworkPolicy의 용도는?

A. 특정 네임스페이스에만 적용되는 정책 B. 클러스터 전체에 적용되는 네트워크 정책 C. 외부 클러스터에 적용되는 정책 D. DNS 전용 정책

문제 42

Cilium에서 L7 네트워크 정책을 적용할 때 사용되는 프록시는?

A. Nginx B. HAProxy C. Envoy D. Traefik

문제 43

Cilium 네트워크 정책에서 기본 거부(Default Deny) 동작은 언제 활성화되는가?

A. Cilium 설치 시 자동으로 활성화 B. 특정 엔드포인트를 선택하는 정책이 하나라도 적용될 때 C. 관리자가 명시적으로 설정할 때만 D. 네임스페이스 레이블에 의해

문제 44

다음 중 Cilium L7 정책에서 지원하는 프로토콜이 아닌 것은?

A. HTTP B. gRPC C. Kafka D. MQTT

문제 45

Cilium에서 정책 감사 모드(Policy Audit Mode)의 목적은?

A. 정책 위반 트래픽을 차단하고 로깅 B. 정책 위반 트래픽을 차단하지 않고 모니터링만 수행 C. 정책을 자동으로 생성 D. 정책 성능을 최적화

문제 46

Cilium 네트워크 정책에서 CIDR 기반 이그레스 규칙의 용도는?

A. 클러스터 내부 Pod 간 통신 제어 B. 특정 외부 IP 대역으로의 이그레스 트래픽 제어 C. DNS 해석 제어 D. Ingress 컨트롤러 설정

문제 47

Cilium에서 toEntities: world가 의미하는 것은?

A. 같은 클러스터의 모든 Pod B. 클러스터 외부의 모든 엔드포인트 C. Cilium이 관리하지 않는 모든 엔드포인트 D. DNS 서버

문제 48

Cilium에서 HTTP 메서드 기반 L7 정책의 예시로 올바른 것은?

rules:
  http:
    - method: GET
      path: '/api/v1/users'

이 규칙이 허용하는 트래픽은?

A. 모든 HTTP 트래픽 B. /api/v1/users 경로로의 GET 요청만 C. /api/v1/users 경로로의 모든 HTTP 메서드 D. POST 요청만

문제 49

Cilium Identity 기반 정책에서 Identity는 어디에 저장되는가?

A. Pod의 환경 변수 B. BPF 맵과 KVStore(CRD 또는 etcd) C. ConfigMap D. Secret

문제 50

Cilium에서 네임스페이스 경계를 넘는 정책을 작성할 때 사용하는 방법은?

A. 네임스페이스 이름을 직접 지정 B. namespaceSelector를 사용하여 네임스페이스 레이블 매칭 C. 항상 CiliumClusterwideNetworkPolicy 사용 D. iptables 규칙 추가

문제 51

Cilium 정책에서 toServices 필드의 용도는?

A. 쿠버네티스 서비스를 대상으로 이그레스 정책 정의 B. 서비스 메시 설정 C. 서비스 디스커버리 구성 D. 서비스 모니터링

문제 52

다음 Cilium 정책에서 deny 규칙의 우선순위는?

A. Allow 규칙보다 항상 낮음 B. Allow 규칙보다 항상 높음(Deny가 우선) C. 생성 시간 순 D. 네임스페이스 알파벳 순

Service Mesh (문제 53-64)

문제 53

Cilium 서비스 메시의 사이드카리스(Sidecar-less) 아키텍처의 핵심 원리는?

A. 각 Pod에 사이드카 컨테이너 주입 B. 노드당 하나의 Envoy 프록시와 eBPF 기반 트래픽 리디렉션 C. Istio 사이드카와 통합 D. 애플리케이션 코드 수정

문제 54

Cilium 서비스 메시에서 mTLS(Mutual TLS)의 역할은?

A. DNS 암호화 B. 서비스 간 통신의 상호 인증 및 암호화 C. 로그 암호화 D. 스토리지 암호화

문제 55

Cilium 사이드카리스 서비스 메시의 장점이 아닌 것은?

A. 리소스 효율성 향상 B. 지연 시간 감소 C. 각 Pod별 독립적인 Envoy 설정 D. 운영 복잡성 감소

문제 56

Cilium에서 CiliumEnvoyConfig CRD의 목적은?

A. Cilium Agent 설정 B. Envoy 프록시의 L7 트래픽 관리 규칙 정의 C. Hubble 설정 D. BGP 피어 설정

문제 57

Cilium 서비스 메시에서 L7 트래픽 관리 기능에 포함되는 것은?

A. 헤더 기반 라우팅 B. GPU 스케줄링 C. 스토리지 프로비저닝 D. 노드 오토스케일링

문제 58

Cilium에서 Ingress 컨트롤러 기능을 제공하기 위해 사용하는 리소스는?

A. CiliumIngressController CRD B. 표준 쿠버네티스 Ingress 리소스와 CiliumEnvoyConfig C. Nginx ConfigMap D. Istio Gateway

문제 59

Cilium 서비스 메시에서 Gateway API 지원의 의미는?

A. 독자적인 API만 사용 B. 쿠버네티스 Gateway API 리소스(Gateway, HTTPRoute 등)를 네이티브로 지원 C. AWS API Gateway 통합 D. REST API 자동 생성

문제 60

Cilium에서 L4 수준의 서비스 메시 기능(mTLS 등)은 어떻게 구현되는가?

A. 항상 Envoy 프록시를 통해 B. eBPF에서 직접 구현 (프록시 없이) C. iptables 규칙으로 D. 사이드카 컨테이너로

문제 61

Cilium의 SPIFFE 통합에서 SPIFFE ID가 나타내는 것은?

A. Pod의 IP 주소 B. 워크로드의 암호학적 식별자 C. 노드의 호스트명 D. 네임스페이스 이름

문제 62

Cilium 서비스 메시에서 카나리 배포를 구현하는 방법은?

A. 쿠버네티스 Deployment 복제본 수 조정 B. HTTPRoute의 backendRefs에 가중치(weight) 설정 C. DNS 라운드로빈 D. 수동으로 Pod IP 변경

문제 63

Cilium에서 Envoy로 트래픽이 리디렉션되는 조건은?

A. 모든 트래픽이 항상 리디렉션 B. L7 네트워크 정책이 적용된 트래픽만 C. TCP 트래픽만 D. UDP 트래픽만

문제 64

Cilium 서비스 메시에서 리트라이(Retry) 정책을 설정하는 방법은?

A. Pod 애플리케이션 코드에서 구현 B. CiliumEnvoyConfig 또는 HTTPRoute의 retry 설정 C. 쿠버네티스 livenessProbe D. sysctl 파라미터

Observability (문제 65-72)

문제 65

Hubble의 아키텍처에서 각 노드의 플로우 데이터를 수집하는 컴포넌트는?

A. Hubble Relay B. Hubble UI C. Cilium Agent에 내장된 Hubble D. Prometheus

문제 66

Hubble Relay의 역할은?

A. 단일 노드의 플로우 수집 B. 여러 노드의 Hubble 데이터를 집계하여 클러스터 전체 관찰성 제공 C. DNS 릴레이 D. 로드 밸런싱

문제 67

Hubble에서 관찰할 수 있는 L7 프로토콜에 해당하지 않는 것은?

A. HTTP B. DNS C. Kafka D. SMTP

문제 68

Hubble CLI에서 특정 네임스페이스의 플로우를 확인하는 명령은?

A. hubble observe --namespace default B. hubble get flows --ns default C. hubble watch default D. hubble logs --namespace default

문제 69

Hubble UI가 제공하는 기능은?

A. 서비스 간 의존성 토폴로지 맵 시각화 B. 쿠버네티스 리소스 YAML 편집 C. 컨테이너 로그 뷰어 D. CI/CD 파이프라인 관리

문제 70

Hubble의 Prometheus 메트릭 통합으로 수집 가능한 정보는?

A. 플로우 수, 정책 드롭 카운트, HTTP 요청 지연 시간 B. CPU 사용률 C. 디스크 I/O D. 메모리 사용량

문제 71

Hubble에서 정책에 의해 드롭된 패킷을 확인하는 명령은?

A. hubble observe --verdict DROPPED B. hubble dropped-packets C. hubble observe --type drop D. hubble policy-violations

문제 72

Hubble gRPC API의 주요 용도는?

A. Pod 스케줄링 B. 프로그래매틱 방식으로 플로우 데이터 조회 및 스트리밍 C. 쿠버네티스 API 서버 접근 D. 이미지 레지스트리 관리

Cluster Mesh and External Workloads (문제 73-80)

문제 73

Cilium ClusterMesh의 핵심 아키텍처 컴포넌트는?

A. 중앙 집중식 컨트롤 플레인 B. 각 클러스터의 etcd와 clustermesh-apiserver C. 단일 공유 etcd D. Consul

문제 74

ClusterMesh에서 글로벌 서비스(Global Service)란?

A. 모든 클러스터에서 동일한 IP를 사용하는 서비스 B. 여러 클러스터에 걸쳐 동일한 서비스 이름으로 트래픽이 분산되는 서비스 C. 외부 인터넷에 노출된 서비스 D. DNS 전용 서비스

문제 75

ClusterMesh에서 서비스 어피니티(Service Affinity)를 로컬 클러스터 우선으로 설정하는 방법은?

A. 서비스에 io.cilium/service-affinity: "local" 어노테이션 추가 B. ClusterMesh 설정에서 affinity-mode 변경 C. DNS TTL 조정 D. BGP 우선순위 설정

문제 76

ClusterMesh에서 교차 클러스터 네트워크 정책이 가능한 이유는?

A. IP 주소 기반 정책만 사용 B. 클러스터 간 Identity가 동기화되어 Identity 기반 정책 적용 가능 C. 중앙 방화벽 사용 D. VPN 터널 사용

문제 77

KVStoreMesh의 목적은?

A. KVStore의 백업 B. 대규모 ClusterMesh 환경에서 KVStore 부하를 줄이기 위한 캐싱 레이어 C. KVStore 암호화 D. KVStore 모니터링

문제 78

Cilium 외부 워크로드(External Workloads) 기능은 무엇을 가능하게 하는가?

A. 외부 VM이나 베어메탈 서버에 Cilium Agent를 설치하여 쿠버네티스 클러스터의 네트워크 정책 적용 B. 외부 DNS 서버 관리 C. 클라우드 인스턴스 자동 프로비저닝 D. VPN 서버 배포

문제 79

ClusterMesh를 설정할 때 필수 요구 사항이 아닌 것은?

A. 각 클러스터에 고유한 클러스터 ID B. 클러스터 간 Pod CIDR이 겹치지 않을 것 C. 모든 클러스터가 동일한 클라우드 프로바이더에 있을 것 D. 클러스터 간 네트워크 연결이 가능할 것

문제 80

Cilium BGP Control Plane(BGPCP)의 CiliumBGPPeeringPolicy 리소스의 목적은?

A. Pod 내부 BGP 데몬 실행 B. 노드의 BGP 피어링 세션과 광고할 경로를 선언적으로 정의 C. 외부 BGP 라우터 자동 배포 D. BGP 트래픽 암호화

마무리

도메인별 점검 요약

학습 팁

1. eBPF 기초 확실히 이해: 검증기, BPF 맵, 프로그램 타입(XDP, tc, socket) 등 eBPF 기본 개념이 시험 전반에 출제됩니다.
2. Identity 기반 보안 모델 숙지: Cilium의 핵심 차별점인 레이블 기반 Identity 할당과 정책 적용 메커니즘을 이해하세요.
3. Hands-on 연습: cilium status, cilium endpoint list, hubble observe 등 CLI 도구를 직접 사용해보세요.
4. 공식 문서 참조: Cilium 공식 문서의 Concepts 섹션이 시험 범위와 가장 밀접합니다.