KCNA לעומת KCSA: איזו בחינת Kubernetes associate כדאי לכם לקחת קודם?
שתיהן בחינות associate של CNCF עם 60 שאלות רבות-ברירה. KCNA מכסה יסודות של cloud-native; KCSA מכסה אבטחת cloud-native. הנה איך לבחור.
גרסה מהירה: קחו את KCNA קודם אם אתם חדשים ל-Kubernetes או ל-cloud-native באופן כללי. קחו את KCSA קודם אם אתם כבר מכירים היטב את Kubernetes ואתם במסלול אבטחה. אל תיקחו אף אחת מהן אם אתם הולכים ישירות ל-CKA וכבר השתמשתם ב-Kubernetes בסביבת ייצור במשך שנה.
שתי הבחינות עולות 250 דולר, כוללות 60 שאלות רבות-ברירה, נמשכות 90 דקות, ונערכות באופן מקוון דרך PSI Bridge, עם ניסיון חוזר אחד בחינם כלול. שתיהן הן בחינות associate של CNCF — הדרג הנמוך יותר מתחת לבחינות המקצועיות המעשיות (CKA, CKAD, CKS, CNPE). אף אחת מהן אינה תנאי מקדים קשה לבחינה מקצועית כלשהי; הן מסלולי כניסה אופציונליים. התמחור ופורמט הבחינה זהים, כך שהבחירה היא נטו על תוכן ועל המקום בו אתם נמצאים בקריירה שלכם.
מה KCNA באמת מכסה
KCNA — Kubernetes and Cloud Native Associate — היא הרחבה ביותר מבין בחינות ה-associate של CNCF. תוכנית הלימודים, נכונה לתחילת 2026, מתחלקת בערך כך:
- יסודות Kubernetes (~46%): pods, services, deployments, namespaces, ConfigMaps, Secrets, ה-control plane, ה-kubelet, ה-scheduler. רמת אוצר המילים — מה כל רכיב עושה ואיך הם קשורים.
- תזמור קונטיינרים (~22%): למה קונטיינרים, סביבות ריצה של קונטיינרים, מפרט ה-OCI, מושגי רשת קונטיינרים.
- ארכיטקטורת Cloud-native (~16%): microservices, גילוי שירותים (service discovery), נראות (observability), עקרונות 12-factor-ish.
- נראות Cloud-native (~8%): Prometheus, OpenTelemetry, שלישיית metric / log / trace, מושגי SLI/SLO בסיסיים.
- אספקת יישומים Cloud-native (~8%): GitOps במושגים, Argo CD / Flux ברמה שטחית, CI/CD בסיסי כפי שהוא חל על K8s.
הוא רחב ושטחי. לא תתבקשו לכתוב YAML; תתבקשו לזהות איזה אובייקט Kubernetes מטפל בדאגה נתונה. הטון הוא "האם אתם מבינים את היקום ה-cloud-native מספיק טוב כדי להיות שימושיים בשיחות." זו למעשה רף אמיתי — מהנדסים רבים שלחו עומסי עבודה של K8s בלי לדעת מה זה etcd, ו-KCNA מכריח אתכם ללמוד את השמות.
השקעת זמן: 30–50 שעות על פני 4–6 שבועות אם אתם חדשים. 10–15 שעות אם אתם עובדים עם Kubernetes במשך שנה ורק צריכים למלא פערי אוצר מילים.
מה KCSA באמת מכסה
KCSA — Kubernetes and Cloud Native Security Associate — צרה ועמוקה יותר מ-KCNA, אך עדיין מרובת-ברירה ועדיין מושגית:
- סקירה כללית של אבטחת cloud-native (~14%): ארבעת ה-C (Cloud, Cluster, Container, Code), מודל האחריות המשותפת בהקשר של K8s.
- אבטחת רכיבי אשכול Kubernetes (~22%): חיזוק API server, הגנת etcd, דגלי kubelet, תוספי רשת.
- יסודות אבטחת Kubernetes (~22%): תקני אבטחת Pod (Pod Security Standards), מדיניות רשת (network policies) (מושגים, לא YAML), טיפול ב-Secrets, חשבונות שירות (ServiceAccounts).
- מודל איומי Kubernetes (~16%): STRIDE מיושם על K8s, ניתוח שטח תקיפה, גבולות האמון.
- אבטחת פלטפורמה (~16%): שרשרת אספקה, מושגי סריקת תמונות, מושגי בקרת קבלה (admission control).
- תאימות ומסגרות אבטחה (~10%): CIS benchmarks, NIST, מה kube-bench עושה ברמה מושגית.
KCSA היא למעשה הכנה ל-CKS מינוס המעבדות המעשיות. כ-70% מתוכן ה-KCSA חופף ל-CKS בנושא; ההבדל הוא ש-KCSA בודק "האם אתם מבינים מהי NetworkPolicy" ו-CKS בודק "כתבו NetworkPolicy מסוג default-deny ב-YAML ב-90 שניות בלי להתייעץ בתיעוד."
השקעת זמן: 25–40 שעות על פני 4–5 שבועות אם יש לכם ידע עבודה ב-K8s. ניסיון לבצע KCSA ללא חשיפה ל-K8s הוא קשה — תלמדו שני דברים בו-זמנית ומסגרת האבטחה הופכת את זה לקשה יותר מ-KCNA, לא קל יותר.
מי קהל היעד של כל אחת מהן
KCNA מיועדת למחליפי קריירה, מהנדסים זוטרים, מנהלי פרויקטים ומנהלי מוצר שעובדים על מוצרי cloud-native, מהנדסי מכירות, וכל מי שזקוק לאוריינות Kubernetes מבלי לתפעל אשכולות. זוהי פונקציה כופה מצוינת עבור "הבנת אוצר המילים כדי שאוכל לנהל שיחות אינטליגנטיות." זהו סימן חלש להעסקת מהנדסים בכירים — מגייסים הקוראים קורות חיים בדרך כלל מדלגים על KCNA אצל מועמד בכיר.
KCSA מיועדת למהנדסי אבטחה הלומדים Kubernetes, אנשי AppSec / אבטחת ענן העוברים לאבטחת K8s, ומהנדסים המתכוננים ל-CKS ורוצים חימום עדין יותר. היא שימושית גם לתפקידי תאימות וביקורת שבהם צריך לדבר על מצב אבטחת K8s מבלי לתפעל אשכולות בעצמכם.
אם אתם מהנדסים זוטרים המנסים להיכנס לתחום הענן, KCNA. אם אתם מהנדסי אבטחה המרחיבים את הידע לאבטחת פלטפורמות, KCSA. אם אתם כבר מפעיל K8s בכיר, אף אחת מהן — לכו ישירות ל-CKA או CKS.
מכניקת הבחינה: מה זהה, מה שונה
זהה:
- 250 דולר ארה"ב נכון ל-2026.
- 60 שאלות רבות-ברירה / בחירה מרובה.
- 90 דקות.
- 75% כדי לעבור.
- פיקוח מקוון דרך PSI Bridge — מצלמת רשת, שיתוף מסך, בדיקת זיהוי, כרגיל.
- ניסיון חוזר אחד בחינם תוך 12 חודשים.
- תוקף לשנתיים (היה 3 שנים לפני אפריל 2024).
- Linux Foundation מפעילה לעיתים קרובות קודי פרומו של 30–60% הנחה; לעולם אל תשלמו מחיר מלא מבלי לבדוק.
שונה:
- KCNA רחבה יותר; KCSA מעמיקה יותר באבטחה.
- סגנון השאלות של KCSA נוטה מעט יותר ל"בהינתן תרחיש זה, מהי דאגת האבטחה" לעומת KCNA ששואלת "מה הדבר הזה ב-Kubernetes עושה."
לאף אחת אין מעבדות. לאף אחת אין גישה לטרמינל. חווית ה-PSI Bridge עבור שתיהן זהה לבחינות ה-associate בסגנון KCNA / KCSA מכל ספק ענן — מצלמת רשת, ללא מסך שני, שולחן נקי, ללא הערות, ללא טיוטה אלא אם כן מותר במפורש.
מתי לעשות את שתיהן
ביצוע שתיהן הגיוני אם אתם שואפים לתג Kubestronaut (הדורש KCNA + KCSA + CKA + CKAD + CKS). מחוץ לכך, ביצוע שתיהן הוא בעיקר "נחמד שיהיה". ערך האות של "עבר KCNA ו-KCSA" בקורות חיים דומה בערך ל"עבר KCSA" בלבד — מגייסים רואים "מוסמך Kubernetes" וממשיכים הלאה.
אם אתם עושים את שתיהן ולא רודפים אחר חבילת Kubestronaut, הסדר שהייתי ממליץ עליו הוא KCNA תחילה (4–6 שבועות), ואז 1–2 חודשים של תרגול מעשי ב-K8s על אשכול kind / k3d, ואז KCSA. ביצוען גב אל גב ללא תרגול תפעולי ביניהן משאיר אתכם עם אוצר מילים ואפס רפלקסים.
מתי לדלג על שתיהן
דלגו על שתיהן אם אתם מפעילים Kubernetes בסביבת ייצור במשך שנה או יותר. CKA מכסה כל מה ש-KCNA מכסה ומוסיפה את המבחנים התפעוליים המעשיים. KCNA בקורות חיים של בכיר הוא רעש קל. CKA הוא אות (signal).
דלגו על שתיהן אם אתם מכוונים ל-CKS באופן ספציפי. CKS דורש CKA פעיל, לא KCNA או KCSA. KCSA עוזר בהכנה ל-CKS אך אינו נדרש.
דלגו על שתיהן אם המטרה שלכם היא שינוי עבודה ב-90 הימים הקרובים ואתם כבר יכולים לקבל ראיונות K8s. השקיעו את הזמן בפרויקט תיק עבודות — תוסף kubectl, תרשים Helm ציבורי, Kubernetes operator — אלה מזיזים את המחט חזק יותר מתעודת associate.
CNCF לא מפרסמת שיעורי מעבר
למען הפרוטוקול, CNCF אינה מפרסמת שיעורי מעבר רשמיים עבור אף אחת מבחינותיה. סקרים קהילתיים (פורומים של Linux Foundation, Reddit r/kubernetes, ערוץ #certifications ב-Slack של CNCF) מצביעים על כך ששיעורי המעבר בניסיון ראשון של KCNA הם בטווח של 70–80% ושל KCSA בטווח של 60–70%. קחו את המספרים האלה כאנקדוטה — הם מדווחים באופן עצמי ונוטים לכיוון אנשים שעברו וטרחו לפרסם.
מה לעשות השבוע
אם אתם חדשים ל-K8s: קבעו את KCNA לעוד 6 שבועות, למדו את דפי המושגים ב-kubernetes.io, והפעילו אשכול kind מקומי כדי לבסס את אוצר המילים במשהו אמיתי.
אם אתם במסלול אבטחה ומרגישים בנוח עם K8s: קבעו את KCSA לעוד 5 שבועות, למדו את ה-CIS benchmarks, וקראו על מסגרת ה-4Cs.
אם אתם מוכנים ל-CKA: דלגו על שתיהן, חסכו את ה-500 דולר, ושימו אותם לכיוון חבילת CKA + CKAD (590 דולר) במקום זאת.
אם אתם הולכים על זה, עיינו בבנק התרגול של KCNA ב-CertLabPro או בבנק של KCSA. שניהם שימושיים למציאת פערי אוצר מילים במהירות — אוצר מילים הוא מה שהבחינות הללו בודקות בפועל.