下一步拓展方向 - 面试题库

一、基础题 ⭐

Q1. 什么是 Service Mesh？它解决了什么问题？

答案：Service Mesh（服务网格）是一种基础设施层，用于处理服务之间的通信。它在 Kubernetes 等容器编排平台上运行，通过 Sidecar 代理（如 Envoy）拦截服务间的网络流量，实现服务发现、负载均衡、熔断、限流、可观测性等功能。它解决了微服务架构中业务逻辑与网络通信逻辑耦合的问题，使开发者可以专注于业务代码，而将服务间通信的复杂性（如重试、超时、安全认证）下沉到基础设施层。Service Mesh 实现了网络功能的统一管理和跨语言复用。

关联知识点：微服务架构、Sidecar 模式、Envoy、Istio、服务治理

Q2. 什么是数据湖（Data Lake）？它与数据仓库有什么区别？

答案：数据湖是一个集中式存储系统，可以存储任意格式的原始数据（结构化、半结构化、非结构化），无需在写入时定义数据模式（Schema-on-Write），而是在读取时解析（Schema-on-Read）。数据仓库则存储经过清洗、转换的结构化数据，采用预定义的模式。数据湖适合探索性分析和机器学习，支持大数据和 AI 场景；数据仓库适合 BI 报表和固定查询场景。现代架构中常采用”湖仓一体”（Data Lakehouse），结合两者的优势。

关联知识点：数据工程、ETL、Schema-on-Read vs Schema-on-Write、湖仓一体

Q3. 什么是 Prompt Engineering？它在 AI 应用中有什么作用？

答案：Prompt Engineering（提示工程）是设计和优化输入提示词的技术，用于引导大语言模型生成高质量、准确的输出。它包括选择合适的上下文、设定角色、提供示例（Few-shot）、使用思维链（Chain-of-Thought）等技巧。在 AI 应用中，Prompt Engineering 可以显著提升模型的回答质量，减少幻觉（Hallucination），降低对模型微调的依赖。它是当前 AI 工程化的核心技能之一，直接影响 AI 产品的用户体验和可靠性。

关联知识点：大语言模型、Few-shot Learning、Chain-of-Thought、AI 工程化

Q4. 什么是零信任安全模型（Zero Trust）？

答案：零信任安全模型的核心理念是”永不信任，始终验证”。传统安全模型假设内网是安全的，而零信任认为任何网络位置（包括内网）都不可信。每次访问请求都必须经过身份验证、授权和加密，无论请求来自何处。它采用最小权限原则、持续验证、微隔离等策略。在云原生环境中，零信任通过 mTLS（双向 TLS）、身份感知代理、动态策略引擎实现，有效应对内部威胁和横向移动攻击。

关联知识点：网络安全、mTLS、身份认证、微隔离、云原生安全

Q5. 什么是 CI/CD Pipeline？它包含哪些阶段？

答案：CI/CD Pipeline（持续集成/持续交付流水线）是自动化构建、测试和部署软件的流程。CI 阶段包括代码提交、自动构建、单元测试、静态代码分析；CD 阶段包括集成测试、安全扫描、性能测试、部署到预发环境、生产发布。现代 CI/CD 还包含蓝绿部署、金丝雀发布等策略，以降低发布风险。CI/CD 是 DevOps 的核心实践，通过自动化缩短交付周期，提高代码质量和部署频率。

关联知识点：DevOps、持续集成、持续交付、自动化测试、部署策略

二、进阶题 ⭐⭐

Q6. 如何实现 Service Mesh 中的流量管理？

答案：Service Mesh 通过控制平面（如 Istio Pilot）和数据平面（Envoy Sidecar）协同实现流量管理。核心机制包括：（1）路由规则：基于 HTTP Header、权重、版本的流量分发，支持 A/B 测试和灰度发布；（2）流量镜像：将生产流量复制到测试环境而不影响用户；（3）故障注入：模拟延迟或错误，测试系统韧性；（4）熔断和限流：防止级联故障。配置通过 CRD（Custom Resource Definition）定义，如 VirtualService、DestinationRule，控制平面将其转换为 Envoy 配置并动态下发。

关联知识点：Istio、Envoy、流量治理、灰度发布、Kubernetes CRD

Q7. 什么是流批一体架构？它解决了什么问题？

答案：流批一体架构使用同一套代码和引擎处理实时流数据和离线批数据，解决传统 Lambda 架构中流处理和批处理两套系统导致的维护成本高、逻辑不一致问题。核心思想是统一计算引擎（如 Apache Flink、Spark Structured Streaming）和统一存储层（如 Apache Iceberg、Hudi）。流数据实时处理，批数据定期回溯修正，两者共享相同的业务逻辑。这降低了系统复杂度，保证了数据一致性，是现代数据平台的重要演进方向。

关联知识点：Apache Flink、Lambda 架构、实时计算、数据一致性

Q8. 什么是 RAG（检索增强生成）？它如何提升大模型能力？

答案：RAG（Retrieval-Augmented Generation）结合了信息检索和文本生成，通过先从外部知识库检索相关文档，再将检索结果作为上下文输入给大语言模型生成回答。它解决了大模型知识截止（Knowledge Cutoff）和幻觉问题，使模型能够基于最新、准确的外部数据作答。RAG 架构包含文档切分、向量化存储（如 Milvus、Pinecone）、语义检索和生成模块。相比微调，RAG 成本更低、更新更灵活，是企业落地 AI 知识系统的主流方案。

关联知识点：向量数据库、语义检索、大语言模型、知识增强

Q9. 什么是 mTLS？它在微服务安全中扮演什么角色？

答案：mTLS（Mutual TLS，双向 TLS）是 TLS 的扩展，要求客户端和服务器双方都验证对方的证书，实现双向身份认证。在微服务架构中，mTLS 确保服务间通信的双方都是可信的，防止中间人攻击和未授权访问。Service Mesh（如 Istio）自动管理服务证书的颁发、轮换和验证，对业务代码透明。mTLS 是零信任安全的核心组件，结合 RBAC 策略，可实现细粒度的服务间访问控制，保障东西向流量安全。

关联知识点：TLS/SSL、证书管理、零信任、Service Mesh、访问控制

Q10. 什么是 GitOps？它与传统 CI/CD 有什么区别？

答案：GitOps 是一种以 Git 为单一事实来源的运维范式，将基础设施和应用配置全部声明式地存储在 Git 仓库中。与传统 CI/CD 不同，GitOps 使用 Pull 模式：集群内的 Operator（如 Argo CD、Flux）持续监控 Git 仓库状态，自动将实际环境同步到期望状态。优势包括：（1）所有变更可审计、可回滚；（2）自动漂移检测，防止手动修改导致的环境不一致；（3）简化多集群管理。GitOps 是云原生时代的基础设施管理最佳实践。

关联知识点：声明式基础设施、Argo CD、Kubernetes、配置管理

Q11. 什么是数据血缘（Data Lineage）？为什么它在数据工程中很重要？

答案：数据血缘追踪数据从源头到最终消费端的完整流转路径，记录数据经过了哪些转换、计算和聚合。它在数据工程中至关重要：（1）问题排查：当报表数据异常时，可快速定位问题发生在哪个环节；（2）影响分析：评估上游数据结构变更对下游的影响范围；（3）合规审计：满足 GDPR 等法规对数据处理的透明度要求。实现方式包括解析 SQL/ETL 脚本、使用 OpenLineage 等标准采集元数据，并通过可视化工具展示血缘图谱。

关联知识点：元数据管理、数据治理、OpenLineage、数据质量

Q12. 什么是 Agent 架构？它与传统 Chatbot 有什么区别？

答案：Agent 架构是一种具备自主规划、工具调用和环境交互能力的 AI 系统。与传统 Chatbot 的”问答式”交互不同，Agent 能够：（1）任务分解：将复杂目标拆分为可执行的子任务；（2）工具使用：调用 API、执行代码、查询数据库等外部工具；（3）记忆管理：维护短期上下文和长期知识；（4）自我反思：评估输出质量并修正。典型框架如 LangChain、AutoGPT。Agent 代表了 AI 从”对话工具”向”自主执行者”的演进，适合复杂工作流自动化场景。

关联知识点：LangChain、工具调用、任务规划、AI 自主性

三、高级题 ⭐⭐⭐

Q13. 如何在 Service Mesh 中实现细粒度的访问控制？

答案：在 Istio 中，细粒度访问控制通过 AuthorizationPolicy 实现，支持基于身份、请求属性和操作的多维度策略。核心机制：（1）身份识别：基于 mTLS 证书中的 SPIFFE ID 标识服务身份；（2）策略匹配：支持 ALLOW/DENY/AUDIT 动作，可基于 HTTP 方法、路径、Header、JWT 声明等条件；（3）策略层级：可在全局、命名空间、工作负载级别定义，遵循最小权限原则。高级用法包括基于 RBAC 的角色策略、基于属性的 ABAC 策略，以及结合 OPA（Open Policy Agent）实现自定义策略逻辑，满足复杂合规要求。

关联知识点：Istio AuthorizationPolicy、RBAC/ABAC、OPA、SPIFFE、零信任

Q14. 什么是 CDC（Change Data Capture）？它在实时数据管道中如何应用？

答案：CDC 是一种捕获数据库变更（INSERT/UPDATE/DELETE）并实时传播到其他系统的技术。传统批处理 ETL 有延迟，CDC 通过解析数据库日志（如 MySQL binlog、PostgreSQL WAL）实现毫秒级同步。典型工具包括 Debezium、Canal。在实时数据管道中，CDC 作为数据源连接器，将变更事件流式传输到 Kafka，再供 Flink 等流处理引擎消费，实现实时数仓更新、缓存同步、搜索索引构建等场景。CDC 保证了数据一致性，是流批一体架构的关键组件。

关联知识点：Debezium、binlog、实时同步、Kafka、流处理

Q15. 如何设计和实现一个安全的 AI 系统，防止 Prompt 注入和数据泄露？

答案：安全的 AI 系统需要多层防御：（1）输入过滤：对用户输入进行意图分析和模式匹配，识别潜在的 Prompt 注入攻击（如角色扮演欺骗、指令覆盖）；（2）上下文隔离：将用户输入与系统提示分离处理，使用结构化 Prompt 模板而非字符串拼接；（3）输出过滤：检测模型输出是否包含敏感信息（PII、密钥），使用正则或分类器拦截；（4）权限控制：限制 AI 可访问的数据范围，基于用户身份动态过滤检索结果；（5）审计日志：记录所有交互用于事后分析。此外，定期红队测试和模型对齐训练也是关键措施。

关联知识点：Prompt 安全、数据脱敏、输入验证、AI 对齐、红队测试