AccueilCertificationsPVE9-L3 › Questions gratuites

Questions gratuites PVE9-L3 — Proxmox VE 9 Certified Architect (Level 3)

Téléchargez gratuitement 99 questions d'entraînement pour la certification PVE9-L3 proposée par Proxmox. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.

Caractéristiques de l'examen blanc

Code de certificationPVE9-L3
ÉditeurProxmox
Nombre de questions99
TypeQCM avec 4 réponses possibles
Niveauprofessional
CatégorieIT
Prix100% gratuit

Aperçu de 8 questions représentatives

Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement PVE9-L3. Pour accéder aux 99 questions complètes, lancez l'examen blanc gratuitement.

Question 1
Une entreprise déploie un nouveau cluster Ceph sur Proxmox VE 9 avec des OSD BlueStore sur HDD. Chaque nœud dispose également de NVMe Samsung PM9A3 de 800 Go. L'architecte souhaite optimiser les performances en séparant les métadonnées et le journal. Quelle configuration BlueStore est la plus performe pour exploiter les NVMe ?
  1. Configurer block.db sur une partition NVMe (taille recommandée 4% de la capacité du HDD par OSD) et block.wal sur une partition NVMe séparée plus petite, en s'assurant que le NVMe peut supporter le nombre d'OSD associés
  2. Configurer uniquement block.db sur NVMe avec la totalité de l'espace disponible alloué proportionnellement, le WAL étant automatiquement inclus dans le block.db quand il est sur support rapide
  3. Configurer block.wal sur NVMe et laisser block.db sur le HDD, car le WAL bénéficie davantage de la latence faible du NVMe pour les écritures synchrones que le block.db
  4. Utiliser les NVMe comme cache BlueStore en configurant bluestore_cache_size à la taille totale du NVMe et activer le mode writeback pour maximiser les performances en lecture et écriture
Question 2
Un architecte déploie WebAuthn (FIDO2) comme méthode TFA principale sur un cluster Proxmox VE 9 de 5 nœuds avec un load balancer en frontal. Les utilisateurs rapportent que l'enregistrement de leur clé de sécurité FIDO2 fonctionne quand ils accèdent directement à un nœud mais échoue systématiquement derrière le load balancer avec l'erreur 'origin mismatch'. Quelle est la configuration à corriger?
  1. Il faut configurer l'option 'webauthn' dans '/etc/pve/datacenter.cfg' en spécifiant le 'rp' (relying party) avec le FQDN du load balancer et le 'origin' correspondant à l'URL complète (https://pve.entreprise.com), puis s'assurer que le certificat TLS du load balancer couvre ce FQDN
  2. WebAuthn FIDO2 ne supporte pas les déploiements derrière un load balancer car le challenge cryptographique est lié au certificat TLS du nœud. Il faut configurer le load balancer en mode TCP pass-through (layer 4) et utiliser un certificat SAN couvrant tous les nœuds et le VIP du load balancer
  3. Il faut activer le 'session pinning' (sticky sessions) sur le load balancer pour que l'enregistrement et la vérification FIDO2 se fassent sur le même nœud. L'erreur origin mismatch vient du fait que le challenge est initié sur un nœud et la réponse est validée sur un autre
  4. Il faut générer un 'attestation certificate' partagé entre tous les nœuds via 'pvecm updatecerts --webauthn' et configurer chaque nœud avec le même 'rpId' dans '/etc/pve/local/webauthn.cfg'. L'erreur vient du fait que chaque nœud utilise un rpId différent basé sur son hostname
Question 3
Un administrateur Ceph observe des latences d'écriture élevées sur un cluster BlueStore utilisant des HDD SATA. Les métriques Prometheus montrent que les opérations de commit du WAL dépassent régulièrement 20 ms. Il dispose de NVMe disponibles sur chaque nœud. Quelle est la configuration optimale pour résoudre ce problème de performance ?
  1. Déplacer le block.wal et le block.db sur des partitions NVMe dédiées via ceph-volume, en dimensionnant le WAL à 1-2 Go et le DB entre 30-60 Go par OSD selon la taille du dataset
  2. Augmenter le paramètre bluestore_cache_size_hdd à 6 Go par OSD pour que davantage d'écritures soient absorbées par le cache mémoire avant d'atteindre le WAL sur disque
  3. Migrer l'intégralité du BlueStore vers les NVMe en recréant les OSD, car déplacer uniquement le WAL n'apporte qu'un gain marginal sur les latences de commit
  4. Configurer un cache tier en mode writeback devant le pool HDD avec les NVMe comme pool de cache, permettant d'absorber les écritures chaudes avant flush vers les HDD
Question 4
Un cluster Proxmox VE 9 de 5 nœuds subit des micro-coupures réseau intermittentes. L'administrateur observe dans journalctl -u corosync des messages 'retransmit failed' et 'processor joined/left' en boucle toutes les 30 secondes environ. La commande corosync-cfgtool -s affiche un 'status = 2' sur l'interface réseau principale. Le quorum est maintenu mais instable. Quelle est l'approche de diagnostic et de résolution la plus appropriée ?
  1. Analyser le champ 'local node ID' et 'seq_err_cnt' dans corosync-cfgtool -s pour identifier la dégradation du ring, puis vérifier les compteurs d'erreurs réseau via ethtool -S et envisager l'activation de rrp_mode active/passive avec un second lien réseau dédié au cluster
  2. Redémarrer immédiatement le service corosync sur tous les nœuds avec systemctl restart corosync pour forcer la renégociation du membership, puis augmenter le token timeout à 10000ms dans corosync.conf pour tolérer la latence
  3. Exécuter pvecm updatecerts sur chaque nœud pour régénérer les certificats SSL du cluster qui pourraient provoquer des échecs d'authentification entre nœuds, puis redémarrer pve-cluster
  4. Supprimer le nœud instable du cluster avec pvecm delnode, reconfigurer le réseau physique, puis le réintégrer avec pvecm add en spécifiant --link1 pour la haute disponibilité réseau
Question 5
Un cluster Proxmox VE 9 utilise des certificats émis par une CA interne d'entreprise. L'administrateur remplace les certificats auto-signés par des certificats signés par cette CA sur tous les nœuds. Après le remplacement via l'interface GUI (Certificates > Upload Custom Certificate), la GUI se recharge correctement avec le nouveau certificat, mais les communications inter-nœuds du cluster (migration live, réplication) échouent avec des erreurs TLS 'certificate verify failed'. Les nœuds utilisent le FQDN correct correspondant au CN des certificats. Quelle est la cause et la correction appropriée?
  1. Les communications inter-nœuds utilisent le certificat cluster corosync, pas le certificat pveproxy. Il faut également remplacer les certificats corosync via 'pvecm updatecerts' après avoir placé les certificats CA dans /etc/corosync/authkey et redémarrer corosync sur tous les nœuds
  2. Le certificat de la CA interne n'est pas dans le trust store des nœuds. Il faut copier le certificat racine (et intermédiaires) de la CA dans /usr/local/share/ca-certificates/ avec l'extension .crt sur chaque nœud, exécuter update-ca-certificates, puis redémarrer pvedaemon et pveproxy pour que les connexions inter-nœuds valident la chaîne de confiance
  3. Les certificats custom uploadés via la GUI ne s'appliquent qu'à pveproxy (port 8006). Les connexions inter-nœuds de migration utilisent un canal SSH distinct qui ne vérifie pas les certificats TLS. L'erreur vient d'une incompatibilité de version TLS — il faut forcer TLS 1.3 dans /etc/pve/datacenter.cfg avec 'min_tls_version: 1.3'
  4. Lors de l'upload du certificat custom, il faut inclure la chaîne complète (certificat serveur + intermédiaires + racine) dans le champ certificat de la GUI. L'erreur vient du fait que seul le certificat serveur a été uploadé sans la chaîne. Recréer le fichier PEM avec cat server.crt intermediate.crt root.crt > fullchain.pem
Question 6
Un administrateur Proxmox VE 9 configure le GPU passthrough d'une carte NVIDIA RTX A6000 vers une VM Windows Server 2022. La VM démarre correctement mais le GPU apparaît avec un 'Code 43' dans le Device Manager Windows. L'administrateur a déjà activé intel_iommu=on et configuré vfio-pci. Quelle configuration dans le fichier de la VM (/etc/pve/qemu-server/<vmid>.conf) résoudra ce problème ?
  1. Ajouter 'cpu: host,hidden=1' et 'args: -cpu host,kvm=off,hv_vendor_id=proxmox' pour masquer la virtualisation KVM au driver NVIDIA qui refuse de fonctionner s'il détecte un hyperviseur
  2. Ajouter 'machine: q35' et 'bios: ovmf' uniquement, car le Code 43 est causé par l'utilisation du BIOS SeaBIOS au lieu de l'UEFI, le driver NVIDIA nécessitant un firmware UEFI natif
  3. Configurer 'hostpci0: 0000:41:00.0,rombar=0' pour désactiver le chargement de la ROM du GPU, car le Code 43 est provoqué par un conflit entre la ROM vidéo de l'hôte et celle présentée à la VM
  4. Remplacer le type de CPU par 'cpu: kvm64' avec le flag '+pcid' activé, car le Code 43 survient quand le driver NVIDIA détecte des instructions CPU incompatibles avec le passthrough PCIe
Question 7
Suite à plusieurs tentatives de brute-force SSH détectées sur les nœuds Proxmox VE 9, l'administrateur déploie fail2ban. Après configuration avec un filtre sur sshd et un jail activé, fail2ban fonctionne pour SSH mais l'administrateur souhaite également protéger l'interface web (port 8006) contre les tentatives de brute-force sur l'authentification pveproxy. Quelle est la difficulté principale et l'approche correcte?
  1. Pveproxy utilise un format de log non standard pour les échecs d'authentification. Il faut créer un filtre fail2ban personnalisé avec une regex adaptée au format de journalisation de pvedaemon/pveproxy dans /var/log/daemon.log ou le journal systemd, en ciblant les messages 'authentication failure' émis par le processus pvedaemon
  2. Fail2ban ne peut pas protéger pveproxy car le service utilise des websockets pour l'authentification, ce qui empêche fail2ban de corréler les IP sources. La solution est de déployer un reverse proxy nginx en amont avec son propre module de rate-limiting (limit_req_zone) et de configurer fail2ban sur les logs nginx
  3. Proxmox VE 9 intègre nativement un mécanisme anti-brute-force sur pveproxy via le paramètre 'max_failed_auth=5' dans /etc/default/pveproxy, qui bloque automatiquement l'IP source pendant 300 secondes. Fail2ban est donc redondant pour la GUI et ne doit être configuré que pour SSH
  4. Pveproxy journalise les échecs d'authentification uniquement dans /var/log/pveproxy/access.log au format Apache combined. Il suffit de réutiliser le filtre fail2ban standard 'apache-auth' en modifiant uniquement le chemin du fichier log dans la configuration du jail pour pointer vers ce fichier
Question 8
Un administrateur Proxmox VE 9 doit imposer l'authentification Two-Factor (TOTP) à tous les utilisateurs du realm 'pve' tout en s'assurant que les comptes de service utilisant des API tokens ne soient pas bloqués. Après avoir activé le TFA obligatoire sur le realm, il constate que ses scripts d'automatisation utilisant des API tokens échouent avec une erreur 401. Quelle est l'explication et la solution correcte?
  1. Les API tokens héritent de l'obligation TFA du realm. Il faut créer un realm dédié 'automation' sans TFA obligatoire, y associer les comptes de service, et leur attribuer des API tokens avec privilege separation activé
  2. Les API tokens Proxmox VE ne sont pas soumis à l'obligation TFA du realm car ils contournent le processus d'authentification interactif. L'erreur 401 provient probablement de tokens expirés ou de permissions insuffisantes — vérifier avec 'pveum user token list' et les ACLs associées
  3. Il faut enregistrer un TOTP virtuel pour chaque API token via 'pveum user token modify' avec le paramètre --totp, ce qui permet aux scripts de fournir le code OTP dans le header X-Proxmox-TFA de chaque requête API
  4. L'obligation TFA sur le realm bloque toutes les authentifications non interactives. La solution est de désactiver le TFA obligatoire sur le realm et de l'imposer uniquement par utilisateur via 'pveum user modify <user> --enforce-tfa 1' en excluant les comptes de service

Accédez aux 99 questions complètes gratuitement

Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.

Lancer l'examen blanc PVE9-L3 →

Pourquoi s'entraîner avec Certifexpress ?