Kubernetes 認證完整指南:CKA、CKAD、CKS 考試準備攻略【2025 更新】
Kubernetes 認證完整指南:CKA、CKAD、CKS 考試準備攻略【2025 更新】
想證明自己的 Kubernetes 能力?官方認證是最好的方式。
CKA、CKAD、CKS 是 CNCF 和 Linux Foundation 推出的官方認證,業界認可度高。但這些都是實作考試,需要紮實準備。
這篇文章會完整介紹三個認證的內容、準備方法和考試技巧。
Kubernetes 的基本介紹,請參考 Kubernetes 完整指南。
認證總覽
Kubernetes 有三個官方認證:
| 認證 | 全名 | 適合對象 |
|---|---|---|
| CKA | Certified Kubernetes Administrator | 維運人員、SRE、平台工程師 |
| CKAD | Certified Kubernetes Application Developer | 開發人員 |
| CKS | Certified Kubernetes Security Specialist | 資安人員、進階管理員 |
認證價值
為什麼要考?
| 價值 | 說明 |
|---|---|
| 能力證明 | 官方認證,業界認可 |
| 求職加分 | 很多職缺要求或優先 |
| 薪資提升 | 有認證通常薪資較高 |
| 系統學習 | 準備過程會學到很多 |
市場需求:
根據調查,持有 CKA 的工程師平均薪資比沒有認證的高 15-20%。
考試形式
三個認證都是 線上實作考試:
| 項目 | 說明 |
|---|---|
| 形式 | 線上,有監考人員 |
| 時間 | 2 小時 |
| 題型 | 實作題,在真實叢集操作 |
| 及格分數 | CKA/CKAD 66%,CKS 67% |
| 可查資料 | 官方文件(kubernetes.io) |
| 有效期限 | 2 年(CKA)、3 年(CKAD)、2 年(CKS) |
| 重考機會 | 購買時含一次免費重考 |
重點:這是實作考試,不是選擇題。
你會拿到真實的 Kubernetes 叢集,需要在時間內完成指定任務。
考試費用
| 認證 | 費用(USD) | 包含 |
|---|---|---|
| CKA | $395 | 一次考試 + 一次重考 |
| CKAD | $395 | 一次考試 + 一次重考 |
| CKS | $395 | 一次考試 + 一次重考 |
省錢技巧:
- 等 Black Friday 或特價(常有 30-40% 折扣)
- Linux Foundation 會員可能有折扣
- Bundle 購買多個認證較划算
CKA:Kubernetes 管理員
CKA 是最熱門的 Kubernetes 認證,適合維運和平台工程師。
考試範圍
| 領域 | 比重 | 內容 |
|---|---|---|
| 叢集架構、安裝、設定 | 25% | 管理 RBAC、安裝叢集、管理高可用 |
| 工作負載與調度 | 15% | Deployment、Pod 調度、資源限制 |
| 服務與網路 | 20% | Service、Ingress、Network Policy |
| 儲存 | 10% | PV、PVC、StorageClass |
| 故障排除 | 30% | 叢集故障、應用程式故障、網路故障 |
重點技能
叢集管理:
# 查看叢集資訊
kubectl cluster-info
kubectl get nodes
# 查看元件狀態
kubectl get componentstatuses
# 節點維護
kubectl drain node-1 --ignore-daemonsets
kubectl uncordon node-1
RBAC:
# 建立 Role
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
namespace: default
name: pod-reader
rules:
- apiGroups: [""]
resources: ["pods"]
verbs: ["get", "watch", "list"]
---
# 建立 RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-pods
namespace: default
subjects:
- kind: User
name: jane
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: pod-reader
apiGroup: rbac.authorization.k8s.io
etcd 備份還原:
# 備份
ETCDCTL_API=3 etcdctl snapshot save backup.db \
--endpoints=https://127.0.0.1:2379 \
--cacert=/etc/kubernetes/pki/etcd/ca.crt \
--cert=/etc/kubernetes/pki/etcd/server.crt \
--key=/etc/kubernetes/pki/etcd/server.key
# 還原
ETCDCTL_API=3 etcdctl snapshot restore backup.db \
--data-dir=/var/lib/etcd-restore
故障排除:
# 查看 Pod 問題
kubectl describe pod <pod-name>
kubectl logs <pod-name>
kubectl logs <pod-name> --previous
# 查看節點問題
kubectl describe node <node-name>
journalctl -u kubelet
# 查看事件
kubectl get events --sort-by='.lastTimestamp'
準備建議
學習資源:
| 資源 | 類型 | 推薦度 |
|---|---|---|
| Kubernetes 官方文件 | 免費 | ⭐⭐⭐ |
| KodeKloud CKA 課程 | 付費 | ⭐⭐⭐ |
| Udemy CKA 課程 by Mumshad | 付費 | ⭐⭐⭐ |
| killer.sh | 付費(含在考試費) | ⭐⭐⭐ |
準備時間:
| 背景 | 建議時間 |
|---|---|
| 有 K8s 經驗 | 2-4 週 |
| 懂 Linux/Docker | 4-8 週 |
| 完全新手 | 8-12 週 |
重點:多練習。 光看影片不夠,要動手做。
插圖:圓餅圖顯示 CKA 考試各領域比重
場景描述: 圓餅圖顯示 CKA 考試各領域比重,最大區塊標示「故障排除 30%」,其次是「叢集架構 25%」、「服務與網路 20%」、「工作負載 15%」、「儲存 10%」,每個區塊使用不同顏色區分。需要顯示的中文字:故障排除、叢集架構、服務與網路、工作負載、儲存
視覺重點:
- 主要內容清晰呈現
必須出現的元素:
- 依據描述中的關鍵元素
需要顯示的中文字: 無
顏色調性: 專業、清晰
避免元素: 抽象圖形、齒輪、發光特效
Slug:
cka-exam-topics
CKAD:應用程式開發者
CKAD 專注於在 Kubernetes 上開發和部署應用程式。
考試範圍
| 領域 | 比重 | 內容 |
|---|---|---|
| 應用程式設計與建置 | 20% | 定義資源需求、建立 CronJob |
| 應用程式部署 | 20% | Deployment 策略、Helm |
| 應用程式可觀測性與維護 | 15% | 健康檢查、日誌、除錯 |
| 應用程式環境、設定、安全 | 25% | ConfigMap、Secret、SecurityContext |
| 服務與網路 | 20% | Service、Ingress、Network Policy |
重點技能
Pod 設計:
apiVersion: v1
kind: Pod
metadata:
name: multi-container
spec:
containers:
- name: app
image: nginx
ports:
- containerPort: 80
resources:
requests:
memory: "64Mi"
cpu: "250m"
limits:
memory: "128Mi"
cpu: "500m"
livenessProbe:
httpGet:
path: /healthz
port: 80
initialDelaySeconds: 3
periodSeconds: 3
readinessProbe:
httpGet:
path: /ready
port: 80
initialDelaySeconds: 3
periodSeconds: 3
- name: sidecar
image: busybox
command: ['sh', '-c', 'while true; do echo sidecar; sleep 10; done']
Job 和 CronJob:
# Job
apiVersion: batch/v1
kind: Job
metadata:
name: pi
spec:
completions: 3
parallelism: 2
template:
spec:
containers:
- name: pi
image: perl
command: ["perl", "-Mbignum=bpi", "-wle", "print bpi(2000)"]
restartPolicy: Never
backoffLimit: 4
---
# CronJob
apiVersion: batch/v1
kind: CronJob
metadata:
name: hello
spec:
schedule: "*/5 * * * *"
jobTemplate:
spec:
template:
spec:
containers:
- name: hello
image: busybox
command: ["echo", "Hello"]
restartPolicy: OnFailure
ConfigMap 和 Secret:
# 建立 ConfigMap
kubectl create configmap app-config \
--from-literal=DB_HOST=mysql \
--from-file=config.properties
# 建立 Secret
kubectl create secret generic db-secret \
--from-literal=password=mysecret
# 在 Pod 中使用
apiVersion: v1
kind: Pod
metadata:
name: app
spec:
containers:
- name: app
image: my-app
envFrom:
- configMapRef:
name: app-config
env:
- name: DB_PASSWORD
valueFrom:
secretKeyRef:
name: db-secret
key: password
volumeMounts:
- name: config-volume
mountPath: /etc/config
volumes:
- name: config-volume
configMap:
name: app-config
CKA vs CKAD
| 項目 | CKA | CKAD |
|---|---|---|
| 重點 | 叢集管理 | 應用程式部署 |
| 難度 | 較高 | 中等 |
| etcd 操作 | 有 | 無 |
| 叢集安裝 | 有 | 無 |
| Helm | 較少 | 較多 |
| 適合 | 維運 | 開發 |
先考哪個?
- 如果你是開發者:先考 CKAD
- 如果你是維運:先考 CKA
- 如果都要考:先考 CKAD(較簡單),再考 CKA
🏗️ 需要 Kubernetes 培訓?
我們提供企業內訓,幫助團隊快速掌握 Kubernetes 技能。
👉 預約培訓諮詢
CKS:安全專家
CKS 是最進階的認證,專注於 Kubernetes 安全。
前置條件
必須先通過 CKA。
CKS 報名時會驗證你的 CKA 認證。
考試範圍
| 領域 | 比重 | 內容 |
|---|---|---|
| 叢集設定 | 10% | CIS Benchmark、網路政策、Ingress 安全 |
| 叢集強化 | 15% | RBAC、Service Account、權限最小化 |
| 系統強化 | 15% | 減少攻擊面、最小化基礎映像 |
| 微服務漏洞最小化 | 20% | PSA、OPA、Secret 管理、運行時安全 |
| 供應鏈安全 | 20% | 映像檔掃描、供應鏈安全 |
| 監控、日誌與運行時安全 | 20% | 行為分析、容器不可變性、審計日誌 |
重點技能
Pod Security Admission:
# 在 namespace 啟用
apiVersion: v1
kind: Namespace
metadata:
name: secure-ns
labels:
pod-security.kubernetes.io/enforce: restricted
pod-security.kubernetes.io/enforce-version: latest
pod-security.kubernetes.io/audit: restricted
pod-security.kubernetes.io/warn: restricted
SecurityContext:
apiVersion: v1
kind: Pod
metadata:
name: secure-pod
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
fsGroup: 2000
containers:
- name: app
image: my-app
securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop:
- ALL
Network Policy:
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-all
namespace: production
spec:
podSelector: {}
policyTypes:
- Ingress
- Egress
映像檔掃描:
# 使用 Trivy 掃描
trivy image nginx:1.25
# 掃描叢集
trivy k8s --report summary cluster
準備建議
CKS 比 CKA/CKAD 更難:
| 挑戰 | 說明 |
|---|---|
| 範圍廣 | 涵蓋多種安全工具 |
| 需要 CKA 基礎 | 假設你已經熟悉 K8s |
| 時間緊 | 題目多,時間不太夠 |
學習資源:
| 資源 | 類型 |
|---|---|
| KodeKloud CKS 課程 | 付費 |
| Killer Shell CKS | 付費 |
| Kubernetes 安全文件 | 免費 |
考試技巧
實作考試需要特別的準備策略。
考前準備
環境準備:
| 項目 | 建議 |
|---|---|
| 網路 | 穩定的網路連線 |
| 螢幕 | 大螢幕或雙螢幕(方便看文件) |
| 環境 | 安靜、獨立的空間 |
| 證件 | 護照或兩種有照片的證件 |
| 桌面 | 清空桌面,只留電腦 |
考試環境:
- 考試在瀏覽器中進行(PSI Bridge)
- 只能開考試視窗和官方文件
- 會有監考人員透過視訊監看
時間管理
2 小時要完成 15-20 題。
| 技巧 | 說明 |
|---|---|
| 先做簡單題 | 快速拿分 |
| 跳過卡住的題目 | 標記後回來 |
| 注意分數比重 | 高分題目優先 |
| 預留檢查時間 | 最後 10 分鐘檢查 |
時間分配建議:
簡單題(1-3 分鐘/題):先做
中等題(5-8 分鐘/題):第二輪
困難題(10+ 分鐘/題):最後做
kubectl 效率
設定別名:
# 考試環境通常已設定
alias k=kubectl
# 自動補全
source <(kubectl completion bash)
常用技巧:
# 快速產生 YAML
kubectl run nginx --image=nginx --dry-run=client -o yaml > pod.yaml
kubectl create deployment nginx --image=nginx --dry-run=client -o yaml > deploy.yaml
# 快速編輯
kubectl edit deployment nginx
# 快速查看
kubectl get pods -o wide
kubectl describe pod nginx
善用文件:
考試中可以查 kubernetes.io,善用搜尋功能找範例 YAML。
常見錯誤
| 錯誤 | 避免方式 |
|---|---|
| 在錯誤的 context | 每題開始先確認 context |
| 在錯誤的 namespace | 用 -n 指定或設定預設 |
| YAML 縮排錯誤 | 用 kubectl apply --dry-run=client 驗證 |
| 忘記儲存 | 確認 kubectl apply 成功 |
| 時間不夠 | 先做會的,難題跳過 |
插圖:學習計劃時間軸
場景描述: 學習計劃時間軸,從左到右標示四個階段:基礎學習(第1-2週)、深入練習(第3-4週)、模擬考試(第5週)、最終複習(第6週),每個階段下方列出該階段的學習重點。需要顯示的中文字:基礎學習、深入練習、模擬考試、最終複習
視覺重點:
- 主要內容清晰呈現
必須出現的元素:
- 依據描述中的關鍵元素
需要顯示的中文字: 無
顏色調性: 專業、清晰
避免元素: 抽象圖形、齒輪、發光特效
Slug:
kubernetes-certification-study-plan
💡 準備考認證?
我們提供一對一的認證準備諮詢,幫助你高效準備考試。
👉 預約免費諮詢
認證維護
認證不是考完就結束了。
有效期限
| 認證 | 有效期限 |
|---|---|
| CKA | 2 年 |
| CKAD | 3 年 |
| CKS | 2 年 |
續認方式
選項一:重新考試
有效期到期前重新參加考試。
選項二:參加培訓
某些 Linux Foundation 培訓課程可以延長認證效期。
認證升級路徑
CKAD → CKA → CKS
↓
開發者 管理員 安全專家
建議路徑:
| 目標 | 路徑 |
|---|---|
| 全端 DevOps | CKAD → CKA |
| 平台工程師 | CKA → CKS |
| 安全專家 | CKA → CKS |
FAQ:常見問題
Q1: 沒經驗可以考嗎?
可以,但要花更多時間準備。
建議順序:
- 先學 Docker 基礎
- 學習 Kubernetes 基礎
- 大量練習
- 考試
沒經驗的話,準備 CKA 可能需要 2-3 個月。
Q2: 考試可以用中文嗎?
考試介面有中文,但:
- 題目是英文
- 官方文件是英文
- 建議用英文介面(更新較快)
Q3: 考試網路斷線怎麼辦?
可以重新連線。
如果因技術問題無法完成,可以聯繫 Linux Foundation 重新安排。
Q4: 可以帶筆記嗎?
不行。
只能在考試中查閱 kubernetes.io 官方文件。
考前準備:
熟悉官方文件的結構,知道去哪裡找範例 YAML。
Q5: CKA 和雲端廠商認證哪個好?
| 認證 | 適合 |
|---|---|
| CKA | 通用 K8s 知識 |
| AWS K8s 認證 | 專注 EKS |
| GCP K8s 認證 | 專注 GKE |
建議: 先考 CKA(通用),再考雲端特定認證(如果需要)。
下一步
準備好考認證了嗎?
| 目標 | 行動 |
|---|---|
| 學習基礎 | 閱讀 Kubernetes 完整指南 |
| 動手練習 | 閱讀 Kubernetes 入門教學 |
| 了解架構 | 閱讀 Kubernetes 架構完整解析 |
| 加入社群 | 閱讀 Kubernetes 台灣社群指南 |
🚀 需要 Kubernetes 專業協助?
無論是認證準備、團隊培訓還是技術諮詢,CloudInsight 都能提供支援。
👉 立即預約諮詢
延伸閱讀
- Kubernetes 完整指南 - K8s 入門總覽
- Kubernetes 入門教學 - 從零開始實作
- Kubernetes 架構完整解析 - 考試重點
- Kubernetes 網路架構指南 - 考試重點
- Kubernetes 台灣社群指南 - 學習資源
參考資料
相關文章
Kubernetes 台灣社群完整指南:CNTUG、KCD Taiwan 與學習資源總整理
深入介紹 Kubernetes 台灣社群生態,包含 CNTUG 雲端原生使用者社群、KCD Taiwan 年度大會、技術 Meetup、線上社群與學習資源,幫助您融入台灣 K8s 技術圈。
KubernetesKubernetes 架構完整解析:Control Plane、Node、元件一次搞懂
深入解析 Kubernetes 架構。從 Control Plane 四大元件到 Worker Node 運作原理,包含 API Server、etcd、Scheduler、kubelet 完整說明。
KubernetesKubernetes 雲端服務完整比較:EKS vs GKE vs AKS【2025 更新】
AWS EKS、Google GKE、Azure AKS 完整比較。從價格、功能、易用性到適用場景,幫你選擇最適合的 Kubernetes 雲端服務。