Certified Kubernetes Administrator
验证您管理 Kubernetes 集群的能力,是云原生领域最有价值的认证之一。
云原生圈子里唯一一张"挂了不丢人"的入门证 — 因为它是 2 小时真集群实操,背题党全军覆没。
JR Academy Membership
Unlock all certifications, courses & tools at a fraction of the cost
- All certification exam prep included
- Course discounts up to 50%
- AI tools & Chrome extensions
- Priority 1-on-1 coaching
What this certification covers
This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.
Certified Kubernetes Administrator(CKA)由 CNCF 和 Linux Foundation 在 2017 年 9 月联合推出,是 Kubernetes 生态的第一张官方认证。截至 2026 年初,全球持证人数约 4 万,相比 AWS SAA 的 80 万少了一个数量级 — 不是因为不值钱,而是因为它真的难考。
CKA 跟绝大多数 IT 认证最大的区别是:它没有任何选择题。考试时长 2 小时,约 15-20 道实操任务,你会拿到 6-8 个真实的 Kubernetes 集群(kubeadm 搭建的多节点环境),通过 PSI 远程监考的浏览器终端 SSH 进去解题。题目长这样:"在 ek8s 集群的 node1 上排查 kubelet 没起来的原因,并恢复服务"、"为 namespace prod 创建 NetworkPolicy 只允许来自 frontend pod 的 80 端口流量"。你不会写、不熟 kubectl、不会看 systemctl 日志,那就是 0 分。
满分 100,66 分通过(2022 年从 74 分降到 66 分,因为通过率太低)。考试费 395 USD,含一次免费补考和两次 killer.sh 模拟器(killer.sh 难度比真考难 2 倍,是公认的最佳冲刺工具)。考纲在 2024 年做了一次大改:新增 Helm、Kustomize、Gateway API、CRD 相关任务,删掉了一些已弃用的 PSP 题目。当前权重是 Troubleshooting 30%、Cluster Architecture 25%、Services & Networking 20%、Workloads & Scheduling 15%、Storage 10%。
这张证最大的价值不是 CV 上的一行字,而是强迫你把 kubectl 和 kubernetes.io 文档练到肌肉记忆。考完之后你看 YAML 不再需要 google,调试 CrashLoopBackOff 第一反应是 kubectl describe + kubectl logs --previous + crictl ps -a,这套手感是 DevOps/SRE 岗位面试时最值钱的东西。
You will work with
After preparation
- 获得 CNCF 官方认可的 Kubernetes 认证
- 掌握 Kubernetes 集群管理技能
- 具备排查 K8s 问题的能力
- 提升云原生领域的职业竞争力
Exam details
Who should take it
Good fit
- Kubernetes 管理员
- DevOps 工程师
- 平台工程师
- SRE 工程师
- 希望学习 Kubernetes 的运维人员
Before you start
- 熟悉 Linux 命令行
- 了解容器基础知识 (Docker)
- 具备基本的网络概念
- 建议有实际的 Kubernetes 使用经验
Is it worth it? Career value
Salary ranges, target job titles, and the real career impact of holding CKA.
为什么 CKA 比"会用 k8s"含金量高
招聘市场上写着"熟悉 Kubernetes"的简历一抓一大把,但绝大多数人只会 kubectl apply -f 一个别人写好的 YAML。CKA 把"会用"和"能 hold 住生产集群"之间画了一条清晰的线 — 因为你必须在 2 小时内独立解决 etcd 备份恢复、节点 NotReady、CNI 故障、RBAC 权限错配这种真实运维场景。这就是为什么 LinkedIn 上 CKA 持证者的平均薪资比同年限 DevOps 高 15-25%(2025 年 Linux Foundation 官方调研数据)。
CKA 在不同岗位的实际权重
- DevOps / SRE:基本是入门门槛。CNCF 自家、Red Hat、SUSE、Rancher、PingCAP、阿里云容器服务这些公司的 SRE JD 经常直接写"CKA preferred"或"CKA required"。
- Platform Engineer:内部平台团队招人时 CKA 是强信号,因为平台组要 own 集群本身,不只是部署应用。
- Cloud Architect:加分项但不是必须。架构师更看 CKS(Security)和实战经验。
- 后端开发:用处有限,CKAD 比 CKA 更对口(CKAD 偏应用开发者视角)。
不适合考 CKA 的人
- 完全没碰过 Linux 命令行的人:CKA 全程在 bash 里干活,连
grep、awk、vim基本操作都不熟的话,光看题目就要花一半时间。建议先补 Linux 基础。 - 只想刷证 CV 镀金、不打算实际用 k8s 的人:CKA 的题完全无法靠题库背通过,强行死记只会浪费 395 美金。
- 应用开发者:你的目标更可能是 CKAD(Application Developer),CKA 的 etcd / kubeadm / 证书 renew 这些内容跟你日常工作几乎不沾边。
长期价值
CKA 三年有效期,三年后必须重考。但即使过期了,"我考过 CKA 并维持了 3 年"这件事在面试里依然是强信号 — 因为考过的人都知道这玩意儿水不了。
Study preparation
With hands-on AWS
From scratch
Daily pace
Learning path preview
8 chaptersStep-by-step preparation
A concrete week-by-week plan from past test-takers — not generic advice.
第零阶段:Linux 与网络基础体检(3-5 天)
在碰 k8s 之前先自测:能不能用 vim 编辑 YAML 不出错?知道 systemctl status / journalctl -u kubelet 怎么看日志?能用 ip route、ss -tlnp、iptables -L 排查端口?netcat / curl 测试 service connectivity 顺手吗?任何一项不熟,先补这一项 — CKA 考试里你会反复用到。
第一阶段:搭建本地集群 + kubectl 肌肉记忆(2-3 周)
不要用 minikube — 用 kubeadm 在本地 3 台 VM(multipass / vagrant / 云上 t3.medium)手动搭一个 1 master + 2 worker 集群。一遍搭通就能搞清楚 control-plane 组件(apiserver / scheduler / controller-manager / etcd)和 kubelet / kube-proxy 怎么配。然后开始练 kubectl 的"杀手锏":alias k=kubectl、export do="--dry-run=client -o yaml"、export now="--grace-period=0 --force",每天用 k run / k create / k expose --dry-run=client -o yaml 生成 YAML,不要从零手写。
第二阶段:按 5 大考纲领域刷场景题(3-4 周)
Troubleshooting(30%)和 Cluster Architecture(25%)是最大块,先啃这两个。重点项:etcd snapshot save/restore、kubeadm upgrade、证书 renewal、kubelet 故障排查、CNI 没装好导致 node NotReady、CoreDNS 异常、RBAC 401/403。然后是 Networking(NetworkPolicy、Ingress、Service ClusterIP/NodePort/LoadBalancer)、Workloads(Deployment rolling update、DaemonSet、Static Pod)、Storage(PV/PVC/StorageClass)。每个场景必须自己手敲一遍 — 看视频不算练。
第三阶段:kubernetes.io 文档导航专项训练(3-5 天)
考试可以查 kubernetes.io/docs、kubernetes.io/blog、github.com/kubernetes 三个域名。但 2 小时根本没时间慢慢翻 — 你必须提前练到"看到题目立刻知道去哪个页面 Ctrl+F 什么关键词"。强烈建议:把官方文档里的 Tasks 和 Concepts 章节自己点一遍,记住常用 YAML 例子的位置(NetworkPolicy 在 Concepts/Services-Networking,PV 在 Tasks/Configure-Pod-Container,sidecar 在 Concepts/Workloads/Pods)。
第四阶段:killer.sh 模拟 + 计时压力训练(最后 1-2 周)
killer.sh 是买考试自带的官方模拟器(2 次访问,36 小时 session),难度比真考难大约 2 倍,做完之后真考会觉得很轻松。第一次裸做(不要看答案),目标至少完成 60% 题目;间隔 3-5 天后再做第二次,目标 80%+。同步做 2-3 套 KodeKloud 或 MumshadMannambeth 的 Udemy mock。最关键的训练:**严格 2 小时计时,模拟真实考试的时间压力** — 很多人挂在没做完,不是不会做。
Real test-taker experiences
What it actually took for real candidates to pass — prep time, scores, and lessons learned.
我准备的时候最大的发现是:killer.sh 第一次只做完 12 题就时间到了,差点崩溃。后来逼自己练 vim 行号跳转、用 :set number、:set paste,YAML 缩进错误率降到几乎为零。真考的时候 1 小时 40 分就做完了所有题,剩下 20 分钟回去检查 imperative 命令产生的 YAML 有没有 typo。时间管理比知识点更决定成败。
强烈建议用 vim 不要用 nano。考试环境给的是 GNOME terminal + 文本编辑器都不顺手,vim 的复制粘贴、多行编辑能省至少 10 分钟。还有一个细节:alias k=kubectl 之后一定要再 source ~/.bashrc,不然 tab 补全用不了 — 这个补全是救命的,因为 deployment 名字打错一个字符就是 0 分。
我是零 k8s 基础硬考的,第一次 58 分挂了,第二次免费补考 71 分过。教训是:不要相信任何"3 周速成 CKA"的视频。真正帮我过的不是课程,是用 kubeadm 手动搭崩集群再修好的过程。Troubleshooting 30 分占比真不是吹的,etcd 数据恢复、kubelet 启动失败、CNI 没装我都遇到过。
我之前已经管 prod k8s 集群 2 年,所以备考主要是熟悉考试形式。最大的感受是:考试给的 6 个集群你必须每题先看一眼右上角的 context 切换命令(kubectl config use-context xxx),忘记切 context 就是直接 0 分,每年都有人栽在这。
Certification comparison
| CKA | CKAD | AWS SAA考证 | |
|---|---|---|---|
| Provider | CNCF | CNCF | AWS |
| Level | 助理级 | 专业级 | 助理级 |
| Fee | $395 | $395 | $150 |
| Duration | 120 min | 120 min | 130 min |
| Question count | 17 | 16 | 65 |
| Validity | 3 yrs | 3 yrs | 3 yrs |
Study tips and common mistakes
**第一件事:alias k=kubectl + kubectl 自动补全** — 进入考试界面立刻执行 `alias k=kubectl && complete -F __start_kubectl k && export do="--dry-run=client -o yaml" && export now="--grace-period=0 --force"`。这四行下来整场考试至少省 15 分钟。
**Mark 难题,先做高分值的** — 考试右上角显示每题分值(4-13 分不等)。先扫一遍标记 4-7 分的简单题快速做掉,13 分的难题留到最后。不要在一道题上耗超过 10 分钟。
**用 kubernetes.io 文档而不是 google** — 只允许访问 kubernetes.io / kubernetes.io/blog / github.com/kubernetes 三个域名。提前把常用 YAML 例子页面记下来,考试时直接搜关键词比从主页点过去快得多。
**vim 一定要 `:set number :set paste`** — paste 模式防止粘贴 YAML 时自动缩进错乱,行号方便定位错误。考前在 `~/.vimrc` 里写好这两行,进考试环境直接用。
**做完题用 `k get -o wide` 验证状态** — 创建完 Pod 必须验证 Running,创建完 Service 必须验证 Endpoints 不为空。看不见运行状态就提交 = 自我感觉良好的 0 分。
**遇到完全不会的题立刻跳过** — 2 小时 15-20 题,平均每题 6-8 分钟。卡题超过 5 分钟没思路立刻 mark 跳走,回头有时间再说。完成度比单题精度更重要。
**考试免费补考一次** — 第一次没过不要慌,直接预约补考。统计上第二次通过率高很多,因为你已经熟悉考试环境和时间感了。
**忘记切换集群 context** — 考试有 6-8 个集群,每道题第一行都给了 `kubectl config use-context` 命令。不切就是在错的集群上操作,整题 0 分。养成第一件事就是复制粘贴 context 命令的习惯。
**不用 imperative 命令生成 YAML 模板** — 从零手写 Pod/Deployment YAML 在 2 小时考试里是自杀。必须用 `kubectl run nginx --image=nginx --dry-run=client -o yaml > pod.yaml` 生成模板再改。这一招能省 30% 时间。
**vim 缩进错误导致 YAML 解析失败** — YAML 对缩进敏感,vim 默认 `:set paste` 模式才能保留粘贴时的缩进。考前一定要把 `.vimrc` 配置和 paste 模式练熟。
**etcd 备份恢复题没指定 cacert/cert/key** — `etcdctl snapshot save` 和 `restore` 必须带 `--cacert --cert --key --endpoints` 全套参数,少一个就报错。这道题几乎每次必考,不熟练就丢 7 分。
**RBAC 题目搞混 Role 和 ClusterRole** — Role 只在指定 namespace 生效,ClusterRole 是集群级的。RoleBinding 可以引用 ClusterRole(这是常考点),但 ClusterRoleBinding 不能引用 Role。
**NetworkPolicy 默认拒绝忘记加 egress** — 题目说"只允许 X 流量"通常意味着 ingress 和 egress 都要控制。NetworkPolicy 一旦定义就是 default deny 模式,要明确写出允许的方向。
**没在自己集群上搭过 kubeadm** — 完全靠 minikube / kind 学习的人会在第一次见到 control-plane 组件故障时懵掉。CKA 考的是真集群运维,必须自己手动 kubeadm init 至少一次。
FAQ
Frequently Asked Questions
If you plan to take CKA, start with real practice.
510+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.
Go to exam prepFrom $39 · 2 free chapters