KCNA vs. KCSA: Welche Kubernetes Associate Prüfung sollten Sie zuerst ablegen?
Beide sind Multiple-Choice-Prüfungen der CNCF-Associate-Stufe mit 60 Fragen. KCNA behandelt Cloud-Native-Grundlagen; KCSA befasst sich mit Cloud-Native-Sicherheit. So treffen Sie Ihre Wahl.
Kurze Version: Legen Sie zuerst KCNA ab, wenn Sie neu bei Kubernetes oder allgemein im Cloud-Native-Bereich sind. Legen Sie KCSA zuerst ab, wenn Sie Kubernetes bereits gut kennen und auf einem Sicherheitspfad sind. Legen Sie keine der beiden Prüfungen ab, wenn Sie direkt zum CKA gehen und Kubernetes bereits ein Jahr lang in der Produktion eingesetzt haben.
Beide Prüfungen kosten 250 $, bestehen aus 60 Multiple-Choice-Fragen, dauern 90 Minuten, finden online über PSI Bridge statt und beinhalten einen kostenlosen Wiederholungsversuch. Beide sind CNCF-Associate-Prüfungen – die Einstiegsstufe unter den praktischen Profi-Prüfungen (CKA, CKAD, CKS, CNPE). Keine ist eine zwingende Voraussetzung für eine Profi-Prüfung; sie sind optionale Einstiegspunkte. Preisgestaltung und Prüfungsformat sind identisch, sodass die Wahl rein vom Inhalt und Ihrem aktuellen Karrierepunkt abhängt.
Was KCNA tatsächlich abdeckt
KCNA — Kubernetes and Cloud Native Associate — ist die breiteste der CNCF-Associate-Prüfungen. Der Lehrplan, Stand Anfang 2026, gliedert sich grob wie folgt:
- Kubernetes-Grundlagen (~46%): Pods, Services, Deployments, Namespaces, ConfigMaps, Secrets, die Control Plane, der Kubelet, der Scheduler. Die Vokabular-Ebene – was jedes Element tut und wie sie zusammenhängen.
- Container-Orchestrierung (~22%): warum Container, Container-Runtimes, die OCI-Spezifikation, Konzepte des Container-Netzwerks.
- Cloud-Native-Architektur (~16%): Microservices, Service Discovery, Observability, die 12-Faktor-ähnlichen Prinzipien.
- Cloud-Native Observability (~8%): Prometheus, OpenTelemetry, die Metrik-/Log-/Trace-Trinität, grundlegende SLI/SLO-Konzepte.
- Cloud-Native Anwendungsbereitstellung (~8%): GitOps als Konzept, Argo CD / Flux auf oberflächlicher Ebene, grundlegendes CI/CD in Bezug auf K8s.
Sie ist breit und oberflächlich. Sie werden nicht gebeten, YAML zu schreiben; Sie werden gefragt, welches Kubernetes-Objekt ein bestimmtes Anliegen behandelt. Der Tenor ist: "Verstehen Sie das Cloud-Native-Universum gut genug, um in Gesprächen nützlich zu sein." Das ist tatsächlich eine echte Hürde – viele Ingenieure haben K8s-Workloads bereitgestellt, ohne zu wissen, was etcd ist, und KCNA zwingt Sie, die Namen zu lernen.
Zeitaufwand: 30–50 Stunden über 4–6 Wochen, wenn Sie neu sind. 10–15 Stunden, wenn Sie seit einem Jahr mit Kubernetes arbeiten und nur Vokabularlücken schließen müssen.
Was KCSA tatsächlich abdeckt
KCSA — Kubernetes and Cloud Native Security Associate — ist enger und tiefer als KCNA, aber immer noch Multiple-Choice und konzeptionell:
- Übersicht über Cloud-Native-Sicherheit (~14%): die 4Cs (Cloud, Cluster, Container, Code), das Modell der geteilten Verantwortung im K8s-Kontext.
- Sicherheit der Kubernetes-Clusterkomponenten (~22%): API-Server-Härtung, etcd-Schutz, Kubelet-Flags, Netzwerk-Plugins.
- Kubernetes-Sicherheitsgrundlagen (~22%): Pod Security Standards, Netzwerkrichtlinien (Konzepte, nicht YAML), Secrets-Handhabung, ServiceAccounts.
- Kubernetes-Bedrohungsmodell (~16%): STRIDE angewendet auf K8s, Analyse der Angriffsfläche, die Vertrauensgrenzen.
- Plattformsicherheit (~16%): Lieferkette, Konzepte des Image-Scannings, Konzepte der Admission Control.
- Compliance und Sicherheits-Frameworks (~10%): CIS-Benchmarks, NIST, was kube-bench auf konzeptioneller Ebene leistet.
KCSA ist im Wesentlichen eine Einführung für CKS ohne die praktischen Labs. Etwa 70% des KCSA-Inhalts überschneidet sich thematisch mit CKS; der Unterschied ist, dass KCSA testet "verstehen Sie, was eine NetworkPolicy ist" und CKS testet "schreiben Sie eine 'default-deny' NetworkPolicy in YAML in 90 Sekunden, ohne die Dokumentation zu konsultieren."
Zeitaufwand: 25–40 Stunden über 4–5 Wochen, wenn Sie über funktionierende K8s-Kenntnisse verfügen. Der Versuch, KCSA ohne jegliche K8s-Erfahrung zu absolvieren, ist schwierig – Sie lernen zwei Dinge gleichzeitig, und der Sicherheitsfokus macht es schwieriger als KCNA, nicht einfacher.
Wen jede Prüfung anspricht
KCNA richtet sich an Quereinsteiger, Junior-Ingenieure, Projektmanager und Produktmanager, die an Cloud-Native-Produkten arbeiten, Vertriebsingenieure und alle, die Kubernetes-Grundkenntnisse benötigen, ohne Cluster zu betreiben. Es ist eine hervorragende Übung, um "das Vokabular zu verstehen, damit ich intelligente Gespräche führen kann." Es ist ein schwaches Signal für die Einstellung von erfahrenen Ingenieuren – Personalvermittler überfliegen KCNA auf einem Senior-Kandidaten in Lebensläufen meist.
KCSA richtet sich an Sicherheitsingenieure, die Kubernetes lernen, AppSec-/Cloud-Sicherheitsexperten, die in die K8s-Sicherheit wechseln, und Ingenieure, die sich auf CKS vorbereiten und ein sanfteres Warm-up wünschen. Es ist auch nützlich für Compliance- und Audit-Rollen, bei denen Sie über die K8s-Sicherheitslage sprechen müssen, ohne selbst Cluster zu betreiben.
Wenn Sie ein Junior-Ingenieur sind und in die Cloud einsteigen möchten, KCNA. Wenn Sie ein Sicherheitsingenieur sind, der sich auf Plattformsicherheit spezialisiert, KCSA. Wenn Sie bereits ein erfahrener K8s-Operator sind, keine der beiden – gehen Sie direkt zu CKA oder CKS.
Prüfungsmechanik: Was ist gleich, was ist anders
Gleich:
- 250 USD Stand 2026.
- 60 Multiple-Choice-/Multiple-Select-Fragen.
- 90 Minuten.
- 75% zum Bestehen.
- Online-beaufsichtigt über PSI Bridge – Webcam, Bildschirmfreigabe, ID-Check, das Übliche.
- Ein kostenloser Wiederholungsversuch innerhalb von 12 Monaten.
- 2 Jahre Gültigkeit (vor April 2024 waren es 3 Jahre).
- Die Linux Foundation bietet häufig Promo-Codes mit 30–60% Rabatt an; zahlen Sie niemals den vollen Preis, ohne dies zu überprüfen.
Anders:
- KCNA ist breiter gefächert; KCSA geht tiefer in die Sicherheit.
- Der Fragenstil von KCSA tendiert etwas mehr zu "angesichts dieses Szenarios, was ist das Sicherheitsproblem" im Vergleich zu KCNA's "was macht dieses Kubernetes-Ding".
Keine der beiden Prüfungen hat Labs. Keine hat Terminalzugriff. Das PSI Bridge Erlebnis ist bei beiden identisch mit KCNA / KCSA / KCSA-ähnlichen Associates von jedem Cloud-Anbieter – Webcam, kein zweiter Monitor, sauberer Schreibtisch, keine Notizen, kein Schmierpapier, es sei denn, es ist ausdrücklich erlaubt.
Wann man beide ablegen sollte
Beide zu absolvieren, ist sinnvoll, wenn Sie das Kubestronaut-Abzeichen anstreben (das KCNA + KCSA + CKA + CKAD + CKS erfordert). Abgesehen davon ist beides meist ein "Nice-to-have". Der Signalwert von "KCNA und KCSA bestanden" in einem Lebenslauf ist ungefähr derselbe wie "KCSA bestanden" allein – Personalvermittler sehen "Kubernetes-zertifiziert" und gehen weiter.
Wenn Sie beide absolvieren und nicht das Kubestronaut-Bundle anstreben, empfehle ich die Reihenfolge KCNA zuerst (4–6 Wochen), dann 1–2 Monate praktische K8s-Übung auf einem Kind-/k3d-Cluster und anschließend KCSA. Wenn Sie sie direkt hintereinander ohne operative Praxis dazwischen absolvieren, bleiben Sie mit Vokabeln und null Reflexen zurück.
Wann man beide überspringen sollte
Überspringen Sie beide, wenn Sie Kubernetes seit einem Jahr oder länger in der Produktion betreiben. CKA deckt alles ab, was KCNA tut, und fügt die praktischen Betriebstests hinzu. KCNA in einem Senior-Lebenslauf ist ein geringes Rauschen. CKA ist ein Signal.
Überspringen Sie beide, wenn Sie speziell CKS anstreben. CKS erfordert ein aktives CKA, nicht KCNA oder KCSA. KCSA hilft bei der CKS-Vorbereitung, ist aber nicht erforderlich.
Überspringen Sie beide, wenn Ihr Ziel ein Jobwechsel innerhalb der nächsten 90 Tage ist und Sie bereits K8s-Interviews bekommen können. Investieren Sie die Zeit in ein Portfolio-Projekt – ein kubectl-Plugin, ein öffentliches Helm-Chart, einen Kubernetes-Operator – diese bewirken mehr als eine Associate-Zertifizierung.
CNCF veröffentlicht keine Bestehensquoten
Zur Kenntnis: Die CNCF veröffentlicht keine offiziellen Bestehensquoten für ihre Prüfungen. Community-Umfragen (Linux Foundation-Foren, Reddit r/kubernetes, der CNCF Slack #certifications-Kanal) deuten darauf hin, dass die Bestehensquoten für KCNA im ersten Versuch im Bereich von 70–80% liegen und für KCSA im Bereich von 60–70%. Betrachten Sie diese Zahlen als Anekdote – sie sind selbst gemeldet und tendieren zu Personen, die bestanden und sich die Mühe gemacht haben, dies zu posten.
Was diese Woche zu tun ist
Wenn Sie neu bei K8s sind: Planen Sie KCNA für 6 Wochen im Voraus ein, studieren Sie die Konzeptseiten auf kubernetes.io und führen Sie einen Kind-Cluster lokal aus, um das Vokabular in etwas Reales zu verankern.
Wenn Sie auf dem Sicherheitspfad sind und mit K8s vertraut: Planen Sie KCSA für 5 Wochen im Voraus ein, studieren Sie die CIS-Benchmarks und lesen Sie sich in das 4Cs-Framework ein.
Wenn Sie bereit für CKA sind: Überspringen Sie beide, sparen Sie die 500 $ und investieren Sie diese stattdessen in ein CKA + CKAD-Bundle (590 $).
Wenn Sie es angehen wollen, durchsuchen Sie die KCNA-Übungsdatenbank auf CertLabPro oder die KCSA-Datenbank. Beide sind nützlich, um schnell Lücken im Vokabular zu finden – Vokabular ist das, was diese Prüfungen tatsächlich testen.