KCNA vs KCSA: qual exame associado Kubernetes você deve fazer primeiro?

Versão rápida: faça o KCNA primeiro se você é novo em Kubernetes ou em cloud-native em geral. Faça o KCSA primeiro se você já conhece bem o Kubernetes e está em uma trilha de segurança. Não faça nenhum se você estiver indo direto para o CKA e já usa Kubernetes em produção há um ano.

Ambos os exames custam US$ 250, têm 60 questões de múltipla escolha, 90 minutos, são online via PSI Bridge, com uma refacção gratuita incluída. Ambos são associados CNCF — o nível de entrada abaixo dos exames profissionais práticos (CKA, CKAD, CKS, CNPE). Nenhum deles é um pré-requisito rígido para qualquer exame profissional; são portas de entrada opcionais. O preço e o formato do exame são idênticos, então a escolha é puramente sobre o conteúdo e onde você está em sua carreira.

O que o KCNA realmente abrange

KCNA — Kubernetes and Cloud Native Associate — é o mais amplo dos exames associados CNCF. O currículo, atualizado no início de 2026, divide-se aproximadamente em:

• Fundamentos de Kubernetes (~46%): pods, services, deployments, namespaces, ConfigMaps, Secrets, o control plane, o kubelet, o scheduler. O nível de vocabulário — o que cada peça faz e como elas se relacionam.
• Orquestração de contêineres (~22%): por que contêineres, runtimes de contêineres, a especificação OCI, conceitos de rede de contêineres.
• Arquitetura cloud-native (~16%): microsserviços, descoberta de serviços, observabilidade, os princípios "semelhantes aos 12 fatores".
• Observabilidade cloud-native (~8%): Prometheus, OpenTelemetry, a trindade de métricas / logs / traces, conceitos básicos de SLI/SLO.
• Entrega de aplicações cloud-native (~8%): GitOps em conceito, Argo CD / Flux em nível superficial, CI/CD básico conforme aplicado ao K8s.

É amplo e superficial. Você não será solicitado a escrever YAML; você será perguntado qual objeto Kubernetes lida com uma determinada preocupação. O tom é "você entende o universo cloud-native bem o suficiente para ser útil em conversas". Isso é realmente um nível real — muitos engenheiros entregaram cargas de trabalho K8s sem saber o que é etcd, e o KCNA o força a aprender os nomes.

Investimento de tempo: 30–50 horas ao longo de 4–6 semanas se você for novo. 10–15 horas se você já trabalha com Kubernetes há um ano e só precisa preencher lacunas de vocabulário.

O que o KCSA realmente abrange

KCSA — Kubernetes and Cloud Native Security Associate — é mais restrito e aprofundado que o KCNA, mas ainda de múltipla escolha e conceitual:

• Visão geral da segurança cloud-native (~14%): os 4Cs (Cloud, Cluster, Container, Code), o modelo de responsabilidade compartilhada no contexto K8s.
• Segurança dos componentes do cluster Kubernetes (~22%): endurecimento do servidor API, proteção etcd, flags do kubelet, plugins de rede.
• Fundamentos de segurança Kubernetes (~22%): Padrões de Segurança de Pod, políticas de rede (conceitos, não YAML), manipulação de Secrets, ServiceAccounts.
• Modelo de ameaças Kubernetes (~16%): STRIDE aplicado ao K8s, análise da superfície de ataque, os limites de confiança.
• Segurança da plataforma (~16%): cadeia de suprimentos, conceitos de varredura de imagens, conceitos de controle de admissão.
• Conformidade e frameworks de segurança (~10%): benchmarks CIS, NIST, o que o kube-bench faz em nível conceitual.

O KCSA é essencialmente um preparatório para o CKS, menos os laboratórios práticos. Cerca de 70% do conteúdo do KCSA se sobrepõe ao CKS em tópicos; a diferença é que o KCSA testa "você entende o que é NetworkPolicy" e o CKS testa "escreva uma NetworkPolicy de negação padrão em YAML em 90 segundos sem consultar a documentação".

Investimento de tempo: 25–40 horas ao longo de 4–5 semanas se você tiver conhecimento prático de K8s. Tentar fazer o KCSA sem nenhuma exposição a K8s é difícil — você estará aprendendo duas coisas ao mesmo tempo e o enquadramento de segurança o torna mais difícil do que o KCNA, não mais fácil.

A quem cada um se destina

O KCNA é direcionado a pessoas em transição de carreira, engenheiros juniores, gerentes de projeto e gerentes de produto que trabalham com produtos cloud-native, engenheiros de vendas e qualquer pessoa que precise de alfabetização em Kubernetes sem operar clusters. É uma ótima função de forçagem para "entender o vocabulário para que eu possa ter conversas inteligentes". É um sinal fraco para contratações de engenheiros seniores — recrutadores lendo currículos geralmente ignoram o KCNA em um candidato sênior.

O KCSA é direcionado a engenheiros de segurança aprendendo Kubernetes, profissionais de AppSec / segurança na nuvem migrando para segurança K8s e engenheiros se preparando para o CKS que desejam um aquecimento mais suave. Também é útil para funções de conformidade e auditoria onde você precisa falar sobre a postura de segurança K8s sem operar os clusters.

Se você é um engenheiro júnior tentando entrar na nuvem, KCNA. Se você é um engenheiro de segurança expandindo para a segurança de plataforma, KCSA. Se você já é um operador K8s sênior, nenhum — vá diretamente para CKA ou CKS.

Mecânica do exame: o que é igual, o que é diferente

Mesmo:

• US$ 250 USD a partir de 2026.
• 60 questões de múltipla escolha / múltipla seleção.
• 90 minutos.
• 75% para aprovação.
• Supervisionado online via PSI Bridge — webcam, compartilhamento de tela, verificação de identidade, o usual.
• Uma refacção gratuita em até 12 meses.
• Validade de 2 anos (era de 3 anos antes de abril de 2024).
• A Linux Foundation frequentemente oferece códigos promocionais de 30–60% de desconto; nunca pague o preço total sem verificar.

Diferente:

• O KCNA é mais amplo; o KCSA é mais profundo em segurança.
• O estilo de questão do KCSA tende um pouco mais para "dado este cenário, qual é a preocupação de segurança" versus o do KCNA "o que este item do Kubernetes faz".

Nenhum tem laboratórios. Nenhum tem acesso ao terminal. A experiência PSI Bridge para ambos é idêntica à dos exames associados no estilo KCNA/KCSA de qualquer fornecedor de nuvem — webcam, sem segundo monitor, mesa limpa, sem anotações, sem rascunhos, a menos que explicitamente permitido.

Quando fazer ambos

Fazer ambos faz sentido se você está buscando o badge Kubestronaut (que exige KCNA + KCSA + CKA + CKAD + CKS). Fora isso, fazer ambos é principalmente um "bom de ter". O valor de sinal de "aprovado no KCNA e KCSA" em um currículo é aproximadamente o mesmo que "aprovado no KCSA" sozinho — recrutadores veem "certificado em Kubernetes" e seguem em frente.

Se você estiver fazendo ambos e não buscando o pacote Kubestronaut, a ordem que eu recomendaria é KCNA primeiro (4–6 semanas), depois 1–2 meses de prática prática de K8s em um cluster kind / k3d, e então KCSA. Fazê-los consecutivamente sem prática operacional no meio te deixa com vocabulário e zero reflexos.

Quando pular ambos

Pule ambos se você já opera Kubernetes em produção há um ano ou mais. O CKA cobre tudo o que o KCNA faz e adiciona os testes operacionais práticos. KCNA em um currículo sênior é um ruído leve. CKA é um sinal.

Pule ambos se você estiver buscando o CKS especificamente. O CKS exige um CKA ativo, não o KCNA ou o KCSA. O KCSA ajuda na preparação para o CKS, mas não é obrigatório.

Pule ambos se seu objetivo é uma mudança de emprego nos próximos 90 dias e você já consegue entrevistas para K8s. Gaste o tempo em um projeto de portfólio — um plugin kubectl, um Helm chart público, um operador Kubernetes — esses movem a agulha mais do que uma certificação associada.

A CNCF não publica as taxas de aprovação

Para constar, a CNCF não publica as taxas oficiais de aprovação para nenhum de seus exames. Pesquisas da comunidade (fóruns da Linux Foundation, Reddit r/kubernetes, o canal #certifications do Slack da CNCF) sugerem que as taxas de aprovação na primeira tentativa do KCNA estão na faixa de 70–80% e do KCSA na faixa de 60–70%. Considere esses números como anedota — eles são auto-relatados e tendem a pessoas que foram aprovadas e se deram ao trabalho de postar.

O que fazer esta semana

Se você é novo em K8s: agende o KCNA para daqui a 6 semanas, estude as páginas de conceitos do kubernetes.io e execute um cluster kind localmente para solidificar o vocabulário em algo real.

Se você está na trilha de segurança e se sente confortável com K8s: agende o KCSA para daqui a 5 semanas, estude os benchmarks CIS e leia sobre o framework dos 4Cs.

Se você está pronto para o CKA: pule ambos, economize os $500 e os use em um pacote CKA + CKAD ($590) em vez disso.

Se você for fazer, explore o banco de prática KCNA no CertLabPro ou o banco KCSA. Ambos são úteis para encontrar rapidamente as lacunas de vocabulário — o vocabulário é o que esses exames realmente testam.