Cuestionario sobre seguridad y visibilidad de Cilium
Versión compatible: Cilium 1.17 Última actualización: February 22, 2026
Conceptos básicos de Network Policy
¿Cuál es la principal diferencia entre Kubernetes NetworkPolicy y Cilium NetworkPolicy?
- A) Cilium NetworkPolicy no admite políticas L7
- B) Kubernetes NetworkPolicy no admite políticas L7
- C) Cilium NetworkPolicy solo se puede aplicar a Nodes específicos
- D) Kubernetes NetworkPolicy proporciona un mayor rendimiento
Mostrar respuesta
Respuesta: B) Kubernetes NetworkPolicy no admite políticas L7
Explicación: Kubernetes NetworkPolicy solo admite políticas de nivel L3/L4, mientras que Cilium NetworkPolicy admite una gama más amplia de políticas, desde L3 hasta L7.
¿Cuál es el grupo de API de Cilium NetworkPolicy?
- A) networking.k8s.io
- B) cilium.io
- C) policy.cilium.io
- D) network.cilium.io
Mostrar respuesta
Respuesta: B) cilium.io
Explicación: Cilium NetworkPolicy utiliza el grupo de API cilium.io.
¿Cuál es la función de 'endpointSelector' en Cilium NetworkPolicy?
- A) Selecciona los Pods de destino a los que se aplica la política
- B) Selecciona los Nodes de destino a los que se aplica la política
- C) Selecciona los namespaces de destino a los que se aplica la política
- D) Selecciona los Services de destino a los que se aplica la política
Mostrar respuesta
Respuesta: A) Selecciona los Pods de destino a los que se aplica la política
Explicación: endpointSelector se utiliza para seleccionar los Pods de destino (endpoints) a los que se aplica la política.
¿Qué controla la regla 'ingress' en Cilium NetworkPolicy?
- A) El tráfico entrante a los Pods seleccionados
- B) El tráfico saliente de los Pods seleccionados
- C) El tráfico interno dentro de los Pods seleccionados
- D) El tráfico hacia fuera del cluster
Mostrar respuesta
Respuesta: A) El tráfico entrante a los Pods seleccionados
Explicación: Las reglas de ingress controlan el tráfico entrante a los Pods seleccionados.
¿Qué controla la regla 'egress' en Cilium NetworkPolicy?
- A) El tráfico entrante a los Pods seleccionados
- B) El tráfico saliente de los Pods seleccionados
- C) El tráfico interno dentro de los Pods seleccionados
- D) El tráfico desde fuera del cluster
Mostrar respuesta
Respuesta: B) El tráfico saliente de los Pods seleccionados
Explicación: Las reglas de egress controlan el tráfico saliente de los Pods seleccionados.
Políticas L7
¿Qué atributo no se puede filtrar en las políticas HTTP L7 de Cilium?
- A) Ruta
- B) Método
- C) Encabezados
- D) Tiempo de respuesta
Mostrar respuesta
Respuesta: D) Tiempo de respuesta
Explicación: Las políticas HTTP L7 de Cilium pueden filtrar atributos de solicitudes HTTP, como la ruta, el método y los encabezados, pero el tiempo de respuesta no es un objetivo de filtrado.
¿Qué atributo se puede filtrar en las políticas Kafka L7 de Cilium?
- A) Topic
- B) Partición
- C) Offset
- D) Todas las opciones anteriores
Mostrar respuesta
Respuesta: A) Topic
Explicación: Las políticas Kafka L7 de Cilium pueden filtrar principalmente según el topic, la clave de API y atributos similares.
¿Qué permite la regla 'matchPattern' en las políticas DNS L7 de Cilium?
- A) Coincidencia exacta de nombres de dominio
- B) Coincidencia de patrones de nombres de dominio con comodines
- C) Coincidencia de direcciones IP
- D) Coincidencia de números de puerto
Mostrar respuesta
Respuesta: B) Coincidencia de patrones de nombres de dominio con comodines
Explicación: La regla matchPattern puede coincidir con patrones de nombres de dominio que incluyen comodines (*). Ejemplo: *.example.com
¿Qué componente se necesita para aplicar las políticas L7 de Cilium?
- A) kube-proxy
- B) Envoy proxy
- C) NGINX ingress controller
- D) HAProxy
Mostrar respuesta
Respuesta: B) Envoy proxy
Explicación: Cilium utiliza el proxy Envoy para aplicar políticas L7.
¿Qué protocolo NO es compatible con las políticas L7 de Cilium?
- A) HTTP
- B) gRPC
- C) Kafka
- D) SMTP
Mostrar respuesta
Respuesta: D) SMTP
Explicación: Cilium admite protocolos L7 como HTTP, gRPC y Kafka, pero SMTP no es compatible de forma predeterminada.
Cifrado y seguridad
¿Qué protocolos se pueden utilizar para el cifrado del tráfico de red en Cilium?
- A) IPsec
- B) WireGuard
- C) Tanto A como B
- D) TLS
Mostrar respuesta
Respuesta: C) Tanto A como B
Explicación: Cilium puede cifrar el tráfico entre Nodes usando tanto IPsec como WireGuard.
¿Qué tráfico protege la funcionalidad de cifrado de Cilium?
- A) Solo el tráfico entre Nodes
- B) Solo el tráfico entre Pods
- C) Solo el tráfico de Node a Pod
- D) Todo el tráfico del cluster
Mostrar respuesta
Respuesta: B) Solo el tráfico entre Pods
Explicación: La funcionalidad de cifrado de Cilium protege principalmente el tráfico entre Pods.
¿Qué protege la funcionalidad Host Firewall de Cilium?
- A) Interfaces de red de Pods
- B) Interfaces de red del host
- C) Endpoints de Service
- D) Container runtime
Mostrar respuesta
Respuesta: B) Interfaces de red del host
Explicación: Host Firewall de Cilium protege las propias interfaces de red del host, lo que mejora la seguridad a nivel de host.
¿Qué funcionalidad de seguridad de Cilium coincide con esta descripción? "Filtra el tráfico según campos o patrones específicos de protocolos específicos de la capa de aplicación"
- A) Políticas de red
- B) Políticas L7
- C) Cifrado
- D) Detección de intrusiones
Mostrar respuesta
Respuesta: B) Políticas L7
Explicación: Las políticas L7 (capa de aplicación) pueden filtrar el tráfico según campos o patrones específicos en protocolos como HTTP, gRPC y Kafka.
¿En qué se basa el modelo de seguridad basado en Identity de Cilium?
- A) Nombre del Pod
- B) Nombre del Node
- C) Labels
- D) Dirección IP
Mostrar respuesta
Respuesta: C) Labels
Explicación: Identity de Cilium se basa en los labels de los Pods, lo que permite aplicar políticas de seguridad coherentes incluso cuando cambian las direcciones IP.
Visibilidad y monitorización
¿Qué es Hubble?
- A) La herramienta de visibilidad de red de Cilium
- B) El balanceador de carga de Cilium
- C) El protocolo de cifrado de Cilium
- D) El servidor DNS de Cilium
Mostrar respuesta
Respuesta: A) La herramienta de visibilidad de red de Cilium
Explicación: Hubble es la herramienta de visibilidad de red de Cilium que puede observar y analizar flujos de red basándose en eBPF.
¿Qué funcionalidad NO proporciona Hubble UI?
- A) Mapa de dependencias de Service
- B) Visualización de flujos de red
- C) Alertas de infracción de políticas
- D) Gestión de despliegues de código
Mostrar respuesta
Respuesta: D) Gestión de despliegues de código
Explicación: Hubble UI proporciona mapas de dependencias de Service, visualización de flujos de red y alertas de infracción de políticas, pero no proporciona gestión de despliegues de código.
¿Cuál es el comando para observar flujos de red de un Pod específico mediante Hubble CLI?
- A)
hubble observe --pod <pod-name> - B)
hubble watch --pod <pod-name> - C)
hubble monitor --pod <pod-name> - D)
hubble inspect --pod <pod-name>
Mostrar respuesta
Respuesta: A)
hubble observe --pod <pod-name>Explicación: El comando
hubble observe --pod <pod-name>puede observar flujos de red de un Pod específico en tiempo real.- A)
¿Qué métrica NO recopila Hubble?
- A) Códigos de estado HTTP
- B) Estado de conexión TCP
- C) Recuento de paquetes descartados
- D) Uso de CPU del Container
Mostrar respuesta
Respuesta: D) Uso de CPU del Container
Explicación: Hubble recopila métricas relacionadas con la red (códigos de estado HTTP, estado de conexión TCP, recuento de paquetes descartados, etc.), pero no recopila métricas del sistema como el uso de CPU del Container.
¿Cómo se integra Cilium con Prometheus?
- A) Añadir anotaciones de Prometheus a Cilium Operator
- B) Instalar el plugin de Cilium en el servidor Prometheus
- C) Crear un recurso ServiceMonitor para Cilium
- D) Importar el dashboard de Cilium a Prometheus
Mostrar respuesta
Respuesta: C) Crear un recurso ServiceMonitor para Cilium
Explicación: Al utilizar Prometheus Operator, puedes recopilar métricas de Cilium creando un recurso ServiceMonitor para Cilium.