KCNA против KCSA: какой из экзаменов Kubernetes Associate следует сдавать первым?

Краткая версия: сдавайте KCNA первым, если вы новичок в Kubernetes или в cloud-native в целом. Сдавайте KCSA первым, если вы уже хорошо знаете Kubernetes и занимаетесь безопасностью. Не сдавайте ни один, если вы сразу идете на CKA и уже год используете Kubernetes в production.

Оба экзамена стоят 250 долларов, состоят из 60 вопросов с множественным выбором, длятся 90 минут, сдаются онлайн через PSI Bridge, с одной бесплатной пересдачей в комплекте. Оба являются экзаменами CNCF associates — начальный уровень ниже профессиональных практических экзаменов (CKA, CKAD, CKS, CNPE). Ни один из них не является строгим предварительным условием для любого профессионального экзамена; они являются опциональными точками входа. Цены и формат экзаменов идентичны, поэтому выбор зависит исключительно от содержания и вашего положения в карьере.

Что на самом деле охватывает KCNA

KCNA — Kubernetes and Cloud Native Associate — является самым широким из экзаменов CNCF Associate. Учебная программа, актуальная на начало 2026 года, примерно разделена на:

• Основы Kubernetes (~46%): pods, services, deployments, namespaces, ConfigMaps, Secrets, control plane, kubelet, scheduler. Уровень терминологии — что делает каждая часть и как они связаны.
• Оркестрация контейнеров (~22%): почему контейнеры, среды выполнения контейнеров, спецификация OCI, концепции сетевого взаимодействия контейнеров.
• Архитектура cloud-native (~16%): микросервисы, обнаружение сервисов, observability, принципы, подобные "12-factor app".
• Observability в cloud-native (~8%): Prometheus, OpenTelemetry, триединство метрик / логов / трассировок, базовые концепции SLI/SLO.
• Доставка приложений в cloud-native (~8%): концепция GitOps, Argo CD / Flux на поверхностном уровне, базовый CI/CD применительно к K8s.

Это широкий и неглубокий экзамен. Вас не попросят писать YAML; вас спросят, какой объект Kubernetes решает ту или иную задачу. Суть в том, "достаточно ли хорошо вы понимаете мир cloud-native, чтобы быть полезным в разговорах". Это на самом деле реальный барьер — многие инженеры разворачивали рабочие нагрузки K8s, не зная, что такое etcd, а KCNA заставляет выучить названия.

Затраты времени: 30–50 часов в течение 4–6 недель, если вы новичок. 10–15 часов, если вы работаете с Kubernetes около года и просто нужно восполнить пробелы в терминологии.

Что на самом деле охватывает KCSA

KCSA — Kubernetes and Cloud Native Security Associate — уже и глубже, чем KCNA, но по-прежнему представляет собой множественный выбор и концептуальный экзамен:

• Обзор безопасности cloud-native (~14%): 4C (Cloud, Cluster, Container, Code), модель общей ответственности в контексте K8s.
• Безопасность компонентов кластера Kubernetes (~22%): усиление безопасности API server, защита etcd, флаги kubelet, сетевые плагины.
• Основы безопасности Kubernetes (~22%): Pod Security Standards, сетевые политики (концепции, а не YAML), обработка Secrets, ServiceAccounts.
• Модель угроз Kubernetes (~16%): STRIDE, примененный к K8s, анализ поверхности атаки, границы доверия.
• Безопасность платформы (~16%): цепочка поставок, концепции сканирования образов, концепции admission control.
• Соответствие стандартам и фреймворки безопасности (~10%): бенчмарки CIS, NIST, что делает kube-bench на концептуальном уровне.

KCSA — это, по сути, подготовка к CKS без практических лабораторных работ. Около 70% содержания KCSA пересекается с CKS по темам; разница в том, что KCSA проверяет "понимаете ли вы, что такое NetworkPolicy", а CKS проверяет "напишите NetworkPolicy с политикой default-deny в YAML за 90 секунд без обращения к документации".

Затраты времени: 25–40 часов в течение 4–5 недель, если у вас есть рабочие знания K8s. Попытка сдать KCSA без какого-либо опыта работы с K8s будет сложной — вы будете изучать две вещи одновременно, и фокус на безопасности делает это сложнее, чем KCNA, а не легче.

На кого ориентирован каждый экзамен

KCNA ориентирован на людей, меняющих карьеру, младших инженеров, руководителей проектов и продакт-менеджеров, работающих с cloud-native продуктами, инженеров по продажам и всех, кому нужна грамотность в Kubernetes без необходимости управлять кластерами. Это отличный стимул для "понимания терминологии, чтобы вести осмысленные беседы". Это слабый сигнал для найма старших инженеров — рекрутеры, просматривающие резюме, обычно пропускают KCNA у старших кандидатов.

KCSA ориентирован на инженеров по безопасности, изучающих Kubernetes, специалистов по AppSec / cloud security, переходящих в безопасность K8s, и инженеров, готовящихся к CKS, которые хотят более мягкой разминки. Он также полезен для специалистов по комплаенсу и аудиту, которым нужно обсуждать состояние безопасности K8s, не управляя кластерами самостоятельно.

Если вы младший инженер, пытающийся войти в cloud, сдавайте KCNA. Если вы инженер по безопасности, расширяющий свои знания в области безопасности платформы, сдавайте KCSA. Если вы уже старший оператор K8s, то ни один из них — идите сразу на CKA или CKS.

Механика экзамена: что одинаково, что по-разному

Одинаково:

• 250 долларов США по состоянию на 2026 год.
• 60 вопросов с множественным выбором / множественным ответом.
• 90 минут.
• 75% для сдачи.
• Онлайн-прокторинг через PSI Bridge — веб-камера, демонстрация экрана, проверка личности, обычные требования.
• Одна бесплатная пересдача в течение 12 месяцев.
• Срок действия 2 года (было 3 года до апреля 2024 года).
• Linux Foundation часто проводит акции со скидками 30–60%; никогда не платите полную цену без проверки.

Отличия:

• KCNA шире; KCSA глубже в плане безопасности.
• Стиль вопросов KCSA немного больше склоняется к "учитывая этот сценарий, в чем заключается проблема безопасности" по сравнению с KCNA "что делает этот объект Kubernetes".

Ни один из экзаменов не содержит лабораторных работ. Ни один из них не предоставляет доступ к терминалу. Опыт работы с PSI Bridge для обоих идентичен экзаменам KCNA / KCSA / associate-экзаменам в стиле KCSA от любого облачного вендора — веб-камера, отсутствие второго монитора, чистый стол, отсутствие заметок, отсутствие черновиков, если это явно не разрешено.

Когда сдавать оба

Сдавать оба имеет смысл, если вы стремитесь получить значок Kubestronaut (который требует KCNA + KCSA + CKA + CKAD + CKS). Вне этого, сдача обоих экзаменов в основном является приятным дополнением. Ценность сигнала "сдал KCNA и KCSA" в резюме примерно та же, что и "сдал KCSA" отдельно — рекрутеры видят "сертифицирован по Kubernetes" и переходят дальше.

Если вы сдаете оба экзамена и не стремитесь к получению бандла Kubestronaut, я бы рекомендовал такой порядок: сначала KCNA (4–6 недель), затем 1–2 месяца практической работы с K8s на кластере kind / k3d, а затем KCSA. Сдача их подряд без практического опыта между ними оставит вас с терминологией и нулевыми рефлексами.

Когда пропустить оба

• Пропустите оба, если вы управляете Kubernetes в production год или более. CKA охватывает все, что делает KCNA, и добавляет практические операционные тесты. KCNA в резюме старшего специалиста — это небольшой шум. CKA — это сигнал.
• Пропустите оба, если вы целенаправленно идете на CKS. CKS требует активного CKA, а не KCNA или KCSA. KCSA помогает в подготовке к CKS, но не является обязательным.
• Пропустите оба, если ваша цель — смена работы в ближайшие 90 дней, и вы уже можете получать приглашения на собеседования по K8s. Потратьте время на проект для портфолио — плагин kubectl, публичный Helm chart, оператор Kubernetes — это сильнее повлияет на вашу карьеру, чем сертификат уровня Associate.

CNCF не публикует статистику сдачи

Для протокола, CNCF не публикует официальную статистику сдачи ни по одному из своих экзаменов. Опросы сообщества (форумы Linux Foundation, Reddit r/kubernetes, канал #certifications в Slack CNCF) предполагают, что процент успешной сдачи KCNA с первой попытки находится в диапазоне 70–80%, а KCSA — в диапазоне 60–70%. Воспринимайте эти цифры как анекдотические — они основаны на самоотчетах и смещены в сторону людей, которые успешно сдали экзамен и потрудились об этом сообщить.

Что делать на этой неделе

• Если вы новичок в K8s: запланируйте KCNA через 6 недель, изучите страницы концепций kubernetes.io и запустите локальный кластер kind, чтобы закрепить терминологию на чем-то реальном.
• Если вы занимаетесь безопасностью и уверенно работаете с K8s: запланируйте KCSA через 5 недель, изучите бенчмарки CIS и ознакомьтесь с фреймворком 4C.
• Если вы готовы к CKA: пропустите оба, сэкономьте 500 долларов и вместо этого направьте их на бандл CKA + CKAD (590 долларов).
• Если вы собираетесь сдавать, просмотрите банк практических вопросов KCNA на CertLabPro или банк KCSA. Оба полезны для быстрого выявления пробелов в терминологии — именно терминологию эти экзамены и проверяют.