kubernetes认证-CKA、CKS考试

一、kubernetes认证-CKA证书

K8s的专业技术认证主要有以下几种

• CKAKubernetes 管理员认证
• CKADKubernetes 应用程序开发者认证
• CKSKubernetes 认证安全专家。预计2020年11月开放须先通过CKA认证

其中知名度最高、应用范围最广的是CKA认证。

1. CKAKubernetes 管理员认证介绍

官网https://www.cncf.io/certification/cka/
关于CKA认证的官方FAQ: https://docs.linuxfoundation.org/tc-docs/certification/faq-cka-ckad-cks

CKA全称为Certificated Kubernetes Administrator即为官方认证的Kubernetes管理员。管理员认证CKA旨在确保认证持有者具备履行Kubernetes管理员职责的技能知识和能力。

认证机构为Linux Foundation组织旗下的Cloud Native Computing Foundatin组织。本来Kubernetes是最伟大的IT公司Google的“亲儿子”内部项目后来开源出来又后来为了其茁壮成长“过继”给了CNCF所以CNCF就成了认证机构。

CKA考察的是你是否具备足够管理 Kubernetes 集群的必备知识说白了也就是基础原理和基础操作考了起码可以说明你的基本功是很扎实的。

通过CKA认证培训的工程师说明已经满足对K8s进行管理的才能可胜任K8s相关工作

考出来也至少说明能把K8S的基本原理搞清楚了基本操作掌握的也比较熟练了。

CKA证书价值

Kubernetes在国内的火爆程度可以从招聘网站上各互联网公司的Kubernetes工程师招聘需求中看到不仅职位供不应求年薪福利更是远远高于大多数程序员。

CNCF主打项目 Google、IBM、RedHat、 华为、VMware、微软等主流厂商支持 阿里、百度、腾讯、今日头条、 京东、360、网易等一线互联网 公司都将 Kubernetes作为自己的主流,人才需求大 薪水高。

首先含金量肯定是有的因为这个CKA 证书是云原生计算基金会 CNCF 组织的比国内的一些含水量很大的证书强太多了。

CKA是目前唯一的 Kubernetes 官方认证考试而市场上对于K8s工程师的需求只增不减CKA是企业判断人才技术能力的唯一标准其含金量可见一斑。

这个证书的含金量。事实上这个证现在看来还是很权威的因为它本身是非常细致、严谨的官方技术考试考出的人很少。截至今年 6 月全球认证人数还不满 1000含金量相对较高后期如果培训市场介入了量产的结果你懂的。再加上这两年 Kubernetes 已经成为容器编排的事实标准现在企业都在招这块的人才未来这块的发展空间也很大。

企业部署云容器后为了给未来创新优化提供更畅通的开源资源可能会有申请 KCSP 企业资格、加入 CNCF 的想法。根据 CNCF 的要求KCSP 的申请前提是公司内至少有 3 名员工有 CKA 认证证书如果你有这个证再加上企业有这个需求你的竞争优势就很大了。

如果企业想要申请 KCSPKubernetes 认证服务提供商 条件之一是至少需要三名员工拥有CKA认证。

总结
1、Kubernetes太火了云原生就是K8s的天下。
2、Google太牛逼了你不跟他玩还想跟谁玩。
3、国家前有百万中小企业上云服务的政策后有云厂商百亿百亿的烧钱该上车就上车了。

考试难or易

考试采用开卷形式似乎很容易答案都可以自由搜索。但实际上这个开卷考试并不是完全的开卷因为只允查阅官方文档在考试过程中你只能去
https: //kubernetes.io/
https: //github. come

如果去了其它的网站只能按作弊论处了。
想要说的是官方文档中是否可以轻松找到答案如果你没有经验找起来还是挺麻烦的因为文档的内容还是蛮丰富的以下文档是要重中之重大家可以先有个心理准备
https://kubernetes. io/docs/reference/
https: //kubernetes. io/docs/concepts/

考题共有24道全部实操题支持中文和英文建议用英文因为中文翻译会有歧义。

考试时长
考试时间为2个小时中途可以向考官申请休息去卫生间或者喝水但时间不会暂停。
还有一点CKA考试服务器在国外在中国连接的时候经常断线如果断线的话可以询问考官能延长多少时间。我虽然翻出去还弄了个专门线路但是网络还是断了两三次。

考试形式
可以在考试中心考也可以选择线上考需要科学上网。但因疫情的原因现在所有考试中心已不接待考试只能在线上考了。
线上考环境要求在一个密闭空间例如书房、卧室、会议室等电脑屏幕不能对着窗户房间里除了考生不能存在第二个人考试的桌面不能放其它东西水杯就能放透明的白色液体的水杯其它的也行。

必须使用chrome浏览器共享桌面和摄像头有老外负责监考全程英文交流。即使你申请是中文考官他也只和你英文流程只不过会附上中文翻译。大家也不用太担心 英文交流指的是英文文本交流不需要说。也可以借助于chrome自带翻译功能。
考试时提前15分钟登录网站可以提前15分钟启动考试按考官要求进行测试。

考官会让你出示护照一定是护照不能是中国身份证因为上面没有英文字母老外不认会让你用摄像头照一照桌面桌底下门环顾一下屋子四周等等按照他的提示做就可以了。
全部检查完成他就会帮你启动考试了。考试过程中大家也要注意不要离开摄像头的监控范围否则他会给你警告。

CKA认证考试准备注意点总结

1. 提前办理一个护照考官会让你出示护照一定是护照、身份证及有本人签名的信用卡境内境外都可以
2. 约考有效期一年注意时区问题。考试前24小时可修改
3. 考试时间为2个小时
4. 考试时提前15分钟登录网站
5. 环境检测WebDelivery Compatibility Check需要提前调试好网络、安装插件

CKA认证考试报名

报名需要在Linux Foundation的官网进行需要注册账号。需要准备一张能在国外支付的visa信用卡用来支付报名费$300聪明的你如果会用Google的话会发现网上有很多免费的Coupon code可以减免$45如果不着急的话建议在圣诞节附近考试据说有黑五折扣可以$189报名还赠送培训课程。

现在国内也有了Linux Foundation的代理机构可以预约报名国内的考试不必担心科学上网的问题了。

CKA目前已经推出中文考试服务并且可以直接使用支付宝购买并开具发票。

报名地址https://training.linuxfoundation.cn/certificate/details/1

中文报名考试费用为2088元人民币。

CKA现有以下考试方式可供选择 英文监考官–线上考试 (考试编号CKA) 中文监考官–线上考试(考试编号CKA-CN)。可选择远程或者是在考点进行考试考点的网络情况也一般并无太大区别。

2. CKA 内容详情

官方https://www.cncf.io/certification/cka/

在线考试由一组基于性能的项目问题组成以便在命令行中解决候选人有2小时时间来完成任务。

该认证侧重于当今业内成功的Kubernetes管理员所需的技能。这包括这些总域及其在考试中的权重

• 集群架构系统安装与配置
  • 管理基于角色的访问控制RBAC
  • 使用Kubeadm安装基本集群
  • 管理高可用性的Kubernetes集群
  • 设置基础架构以部署Kubernetes集群
  • 使用Kubeadm在Kubernetes集群上执行版本升级
  • 实施etcd备份和还原

• 工作负载&调度
  • 了解部署以及如何执行滚动更新和回滚
  • 使用ConfigMaps和Secrets配置应用程序
  • 了解如何扩展应用程序
  • 了解用于创建健壮的、自修复的应用程序部署的原语
  • 了解资源限制如何影响Pod调度
  • 了解清单管理和通用模板工具

• 服务和网络
  • 了解集群节点上的主机网络配置
  • 理解Pods之间的连通性
  • 了解ClusterIP、NodePort、LoadBalancer服务类型和端点
  • 了解如何使用入口控制器和入口资源
  • 了解如何配置和使用CoreDNS
  • 选择适当的容器网络接口插件

• 储存
  • 了解存储类、持久卷
  • 了解卷模式、访问模式和卷回收策略
  • 理解持久容量声明原语
  • 了解如何配置具有持久性存储的应用程序

• 故障排除
  • 评估集群和节点日志
  • 了解如何监视应用程序
  • 管理容器标准输出和标准错误日志
  • 解决应用程序故障
  • 对群集组件故障进行故障排除
  • 排除网络故障

费用为375美元包括一个免费的撤回。有关考试的问题请查看。

计划季度考试更新匹配Kubernetes发布。请参阅当前考试环境版本的FAQ解答。

考试一般选择最新版本的k8s目前使用的是1.19版本。考纲会随着k8s版本更新而更新。

FAQ:考试语言选择

https://docs.linuxfoundation.org/tc-docs/certification/faq-cka-ckad-cks

上述允许的网站可能包含指向外部网站的链接。 候选人有责任不点击任何导致他们导航到不允许的域的链接。

FAQ: 考试环境中运行的应用程序版本是什么

The CKA, CKAD and CKS exam environment is currently running etcd v3.5
The CKA exam environment is currently running Kubernetes v1.23
The CKAD exam environment is currently running Kubernetes v1.23
The CKS exam environment is currently running Kubernetes v1.23
The CKA, CKS and CKAD exam environment will be aligned with the most recent K8s minor version within approximately 4 to 8 weeks of the K8s release date.

网友相关经验总结

大多数时间都会被用来写yaml改yaml。

如果读者具有Kubernetes维护经验的话排障部分的考题应该会易如反掌基本都是一些五行日志以内就能发现的问题而且每个题目错误点通常只有一个。

考试并不要求完全手动的构建集群反而推荐使用kubeadm作为辅助比如我的有一道题目中就暗示了检查cluster-info这个configmap的正确性而这个configmap就是给kubeadm使用的。

善用kubectl runkubectl expose之类的命令确实可以节约大量的时间kubectl cheat sheet 列出了很多实用的kubectl使用姿势而且这篇是允许在考试期间访问的官方文档

3. 考试准备

理论学习
强烈建议复习的最佳材料就是Kubernetes官网的官方文档不论是先看后看一定要看

考试前结合文档自己亲自用kubeadm搭建集群至少熟悉文档位置。

考试过程中使用到的所有yaml文件都可以在文档中找到熟悉文档十分重要啊。

有能力的话建议在云平台上购买虚拟机自行部署安装kubernetes亲自动手实践以后会对概念理解的更加深刻。云平台的话建议选择GCP(有能力的话建议在云平台上购买虚拟机自行部署安装kubernetes亲自动手实践以后会对概念理解的更加深刻。云平台的话建议选择GCP国内的墙会严重影响你部署云平台时候的体验在Google上你会体会到如丝般顺滑的部署体验。)国内的墙会严重影响你部署云平台时候的体验在Google上你会体会到如丝般顺滑的部署体验。

部署的话可以采用二进制部署或者kubeadm但官方推荐的是kubeadm包括考试也会考到kubeadm相关的问题kubeadm还更方便。

CKA认证考试环境准备

• 整洁的桌面

• 桌面不能有纸、笔、电子设备或其他杂物。可以喝水不能吃东西饮用水不能有标识。
• 桌底不能有纸、垃圾桶或其他杂物

• 干净的墙壁

• 墙壁上不能贴有纸或打印物。如果有在考试开始前会被要求移除
• 可以有画作或者墙壁装饰

• 光线

• 要求光线充足能看清考生的脸、手和周围环境
• 考生身后没有明亮的灯光或者窗户

• 其他

• 考试期间考生必须留在摄像头范围内
• 考试环境应尽可能安静避免咖啡厅、开放式办公场所等

CKA认证考试报名后从哪可以进入考试

CKA认证考试报名后可通过用户中心入口进入考试在考试开始前15分钟才开放入口。
考生需提前15分钟进入考试系统 以便给监考时间考察考试环境避免占用考试时间。

CKA认证考试是如何进行的

考试是在线进行的时长3小时。如果遇到意外情况监考官会适当延长考试时间。

监考官通过文字、语音全程不需要语音交流主要是方便监考官监视环境、视频、屏幕共享进行监控。因此对网络环境有较高要求对于中国内地考生需要科学上网。

考试时与监考官主要通过live chat文字交流。监考官如果发现有异常行为如摄像头黑了、考生手挡住嘴巴可能会暂停考试通过live chat文字聊天提醒考生。

考试全程均为上机题。完成考试任务的方法可能不止一种除非另有说明否则只要产生的结果正确即可。考试以结果作为评价标准。

考试过程中考试可以请求暂停考试但是时间不会停止。建议考试前先解决个人需求。

CKA认证考试系统要求

• 考试要求使用chrome或其他chromium内核的浏览器安装innovactive exams screensharing插件并打开第三方cookie。建议使用较新版本的chrome。
• 需要同步音频、视频和桌面对网络带宽及稳定性有较高要求。建议调试好网络。并且如果是共用网络提前和他人打声招呼不要看视频或者下载大文件。
• 提前准备好麦克风等设备确保能采集到考试环境声音。笔记本电脑用自带的即可。
• 提前准备好摄像头等设备确保能采集到考试环境画面监考官会要求移动摄像头查看桌面、桌底以及周围环境。笔记本电脑用自带的即可。

CKA认证考试时的要求

1. 考试前需通过摄像头向监考官展示护照等身份信息需能清楚看到姓名、照片、有效期等。
2. 考试时除了考试平台页面最多打开一个附加tab页面可查询https://kubernetes.io/docs/, https://github.com/kubernetes/, https://kubernetes.io/blog/ 和他们其他语言的子页面 (如https://kubernetes.io/zh/docs/)。不能打开除以上网址之外的页面包括https://discuss.kubernetes.io/。
3. 以上页面可能包含跳转到其他页面的链接考生有责任识别否则将视为作弊。
4. 考试现场需保持安静不许有他人进入。
5. 考生禁止读题禁止用手挡住嘴巴等。
6. 考试时间结束后由监考官判断是否需要延迟交卷。由监考官决定是否结束考试并自动交卷不用考生主动交卷。

CKA考试页面布局

考试页面左边是题目右边是终端。可以使用考试系统自带的笔记本大小位置可以拖拽大小通过拖拽笔记本边框的右边和下边实现。
题目的变量点击即可复制切换上下文的语句点完还是再点下复制。

CKA考试答题策略

考试需要在2小时内完成24道题全部都是上机题熟练的可能1个小时就能答完。按照难度每道题分值从1~9分不等覆盖pod、pv等对象的创建、部署及回滚、集群搭建、排错等范畴。题目普遍不难但是细节上批改地非常严格需要做题时仔细阅读题干。答题时需合理分布时间可先跳过不熟悉的题目通过考试系统自带的标记功能标记题目也可将题号记在考试系统的笔记本上。

二、kubernetes认证- CKS证书

kubernetes安全专家认证Certified Kubernetes Security Specialist

报考CKS必须要通过CKA考试且证书在有效期内CKS证书有效期为2年。

1. Kubernetes安全专家认证 (CKS) 介绍

获得CKS证书证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的必要能力并且有资格在专业环境中执行这些任务。

CKS是一个实操的认证考试它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前考生必须已经通过Kubernetes管理员认证考试(CKA)在获得CKA认证之后才可以预约CKS考试。

2. Kubernetes安全专家认证 (CKS) 内容详情

https://training.linuxfoundation.cn/certificates/16

CKS认证考试包括这些一般领域及其在考试中的权重

• 集群安装10%
• 集群强化15%
• 系统强化15%
• 微服务漏洞最小化20%
• 供应链安全20%
• 监控、日志记录和运行时安全20%

集群安装10%
使用网络安全策略来限制集群级别的访问
使用CIS基准检查Kubernetes组件(etcd, kubelet, kubedns, kubeapi)的安全配置
正确设置带有安全控制的Ingress对象
保护节点元数据和端点
最小化GUI元素的使用和访问
在部署之前验证平台二进制文件

集群强化15%
限制访问Kubernetes API
使用基于角色的访问控制来最小化暴露
谨慎使用服务帐户例如禁用默认设置减少新创建帐户的权限
经常更新Kubernetes

系统强化15%
最小化主机操作系统的大小(减少攻击面)
最小化IAM角色
最小化对网络的外部访问
适当使用内核强化工具如AppArmor, seccomp

微服务漏洞最小化20%
设置适当的OS级安全域例如使用PSP, OPA安全上下文
管理Kubernetes机密
在多租户环境中使用容器运行时 (例如gvisor, kata容器)
使用mTLS实现Pod对Pod加密

供应链安全20%
最小化基本镜像大小
保护您的供应链将允许的注册表列入白名单对镜像进行签名和验证
使用用户工作负载的静态分析(例如kubernetes资源Docker文件)
扫描镜像找出已知的漏洞

监控、日志记录和运行时安全20%
在主机和容器级别执行系统调用进程和文件活动的行为分析以检测恶意活动
检测物理基础架构应用程序网络数据用户和工作负载中的威胁
检测攻击的所有阶段无论它发生在哪里如何扩散
对环境中的不良行为者进行深入的分析调查和识别
确保容器在运行时不变
使用审计日志来监视访问