Kubernetes CNPE：CNCF 云原生平台工程师认证及其考察内容

CNPE – 云原生平台工程师 – 是 CNCF 推出的专业级平台工程认证。它与 CNPA（助理级版本）于 2026 年初同期普遍可用（GA），是 CNCF 首个专门专注于构建内部开发者平台，而非仅仅操作 Kubernetes 集群的认证。实践操作型终端考试，445 美元，两小时，十二个月内两次免费重考。与 CKA / CKAD / CKS 格式相同。如果你参加过其中任何一个，其操作形式会让你感到熟悉。

不同之处在于考察内容。CKA 考察的是“你是否能操作一个集群”。CNPE 考察的是“你是否能构建一个平台，让其他团队无需学习集群即可使用它”。这是两种截然不同的工作。

目标受众

CNPE 主要面向以下三种角色：

高级平台工程师。 你是平台团队中负责设计开发者体验的人——包括黄金路径、自助服务模板，以及解决后端开发者如何从“我有一个想法”到“我的服务已投入生产”而无需阅读 kubectl 文档的问题。

负责多租户 Kubernetes 工作的 SRE。 你的团队运行集群 以及 其之上的一层，将集群从产品团队中抽象出来。CNPE 对应的是上层工作：将命名空间作为租户、大规模 RBAC、按团队的成本归属、黄金路径模板化。

采用平台工程的公司中的 DevOps 负责人。 许多组织中的“DevOps 团队”正在演变为“平台团队”。CNPE 是第一个表明你能够胜任这一角色，而不仅仅是操作底层基础设施的认证。

这不是一个初级认证。CNPE 假定你具备 CKA 级别的 Kubernetes 熟练度，考试不会在基础 kubectl 问题上浪费时间。如果你不能凭记忆画出 Deployment YAML，请先考取 CKA。

考试内容

CNCF 于 2025 年末发布了官方课程大纲。以下是五个领域，及其在考试指南和早期考生报告中的大致权重：

领域	权重
Internal Developer Platforms (IDPs) and Backstage	~25%
GitOps and continuous delivery (Argo CD, Flux)	~20%
Crossplane and platform APIs	~20%
Multi-tenant Kubernetes and policy (OPA, Kyverno)	~20%
Observability and platform SLOs	~15%

每个部分都是实践操作型终端工作。你不会有多项选择题。你将获得一个 Linux shell、一个 kubeconfig，有时通过端口转发访问 Backstage 实例或 Argo CD UI，以及一份要完成的任务列表。

实际操作中，这些任务类型是考生报告中常见的：

• 创建一个 Backstage 软件模板，用于搭建一个包含 Helm chart、Argo CD 应用程序和 OpenAPI 规范存根的新微服务。通过实例化一个新实体来验证模板是否有效。
• 配置 Argo CD，使其从 Git 仓库同步应用程序，并对 CRD 进行自定义健康检查。使同步遵循 PR 合并门禁。
• 编写一个 Crossplane Composition，暴露一个由 CloudSQL 实例支持的“PostgresDatabase”抽象。应用一个复合资源（Composite Resource）并验证数据库已成功配置。
• 配置 Kyverno 策略，以阻止在三个特定命名空间中未定义资源限制的任何 Pod。
• 设置一个多租户入口（ingress）策略，每个租户使用独立的 cert-manager Issuer。
• 使用 Pyrra 或 sloth 等工具为平台服务配置 SLO，并在引入错误时验证 SLO 是否正确触发违规。

如果这些任务听起来很抽象，那是因为平台工程确实是一项抽象的工作。考试也反映了这一点。两小时感觉很短，未完成的任务只有在你的工作可检查点化（checkpoint-able）的情况下才能获得部分分数。

与 CKA 的区别

CKA 和 CNPE 是互补的，而非竞争关系。最简单的区分方式如下：

	CKA	CNPE
等级	Associate	Professional
目标受众	集群操作员	平台工程师
侧重点	操作 Kubernetes	构建开发者平台
工具	kubectl, etcd, kubeadm	Backstage, Argo, Crossplane, OPA / Kyverno, Helm
考试时长	2 hours	2 hours
费用	$445	$445
有效期	2 years	2 years

CKA 考察：你是否能修复一个损坏的集群。CNPE 考察：你是否能设计集群之上的体验，从而让没有人需要去修复它。

大多数平台工程师最终都会持有这两个认证。自然的顺序是 CKA → CKAD 或 CKS → CNPE，理想情况下，应合理安排时间，让前一个认证的肌肉记忆能延续到下一个。

为什么这个认证现在很重要

平台工程在大约 2022-2023 年间成为一个真实且有品牌支撑的学科，在 2024-2025 年加速发展，现在已成为大多数中大型公司的常规职位。Backstage 在此期间从“Spotify 的东西”变成了“默认工具”。Crossplane 从研究项目发展到在 Upbound 客户群等公司大规模投入生产。

缺少的是相应的凭证。CKA 涵盖集群操作；CKAD 涵盖应用程序开发者；CKS 涵盖安全性。它们都没有涵盖“我正在构建开发者平台”这项工作，而这正是当前云原生工作中增长最快的部分。CNPE 填补了这一空白。

薪资方面仍在发展中。根据 levels.fyi 的数据，2026 年美国主要大都市的平台工程师基本工资为 16 万至 22 万美元，而 FAANG 级别公司的高级平台工程师总薪酬（TC）可达 30 万至 45 万美元以上。CNPE 本身并不能提升这些数字——是生产平台经验才能。但该认证是云原生生态系统中，表明你具体在平台层工作过的最清晰的信号。

学习时间和资源

由于该认证是新的，因此情况会参差不齐。截至 GA，官方准备资料相对较少：

• CNCF 的课程仓库 包含领域细分和推荐阅读链接。以此作为学习主线。
• Backstage 文档 是必读材料。特别是：软件模板、目录和 TechDocs。
• Argo CD 文档和 Codefresh 出版的 GitOps 书籍 很有用，但考试专门考察 Argo（而非作为替代方案的 Flux——尽管两者都被提及，但早期报告中只出现 Argo 任务）。
• Crossplane 文档，包括 Composition 教程。特别要花时间学习 Composition。配置提供者（providers）大多是设置，不会被重点考察。
• Kyverno 和 OPA Gatekeeper 文档。 可能会出现其中一个或两者；在早期报告中，Kyverno 更为常见。

时间预算：

• 已在交付 IDP 的高级平台工程师：4-6 周的集中学习，如果之前没用过 Crossplane Compositions，主要侧重于此。
• 具有扎实 Kubernetes 基础但无 IDP 经验的 SRE / DevOps 负责人：8-12 周。搭建一个包含三个软件模板的小型 Backstage 实例作为学习项目。仅此一项就可以覆盖大约 30% 的考试内容。
• 转型到平台工作的工程师：16 周以上。先实际构建一些东西，然后再回来准备。考试对那些只停留在工具概念层面认识的考生来说是严苛的。

常见失误与早期报告

考生普遍容易犯错的几点：

Backstage 模板比看起来要复杂。 考试要求你在时间压力下编写一个可用的软件模板——包括一个 TechDocs 页面、一个 CI 集成存根和一个 Argo CD 应用程序清单。Backstage 脚手架（scaffolder）语法有一些怪异之处，需要实际练习。

Crossplane Compositions 与 CompositionRevisions。 了解修订（revisions）如何与已部署资源交互，这在大多数入门教程中没有提及，但会出现在考试中。

Argo CD ApplicationSet 生成器。 List、cluster、git、matrix、scm-provider 等生成器各有特定的使用场景。考试会给你一个场景，询问哪种生成器最适合。

网络层的多租户。 除了命名空间和 RBAC，你还需要了解 NetworkPolicies 以及它们如何与 cilium / calico CNI 交互。

总结

CNPE 是适合高级平台工程师和运行开发者平台的 SRE 的正确认证。对于仅仅操作 Kubernetes 的工程师来说则大材小用——CKA 是更合适的认证。对于刚接触云原生的工程师来说还为时过早——请先考取 CKA 并交付一个小型平台项目。

薪资情况更多地取决于职位而非认证本身。平台工程是目前基础设施领域薪酬较高的职业路径之一，而 CNPE 是让那些不了解 Backstage 的招聘人员清晰识别你的平台经验的最直接方式。

如果你正在准备 CNPE，可以在 CertLabPro 上进行限时模拟考试或浏览 CNPE 题库。题库中的实践场景任务与真实考试最接近——死记硬背的题库并不能为你准备基于终端的操作工作。

如果你仍在犹豫：你目前工作中是否正在构建 IDP？如果是，那么这个认证值得你投入时间和金钱。如果不是——特别是如果你在未来 12 个月内没有机会从事这项工作——那么你的 445 美元最好花在其他地方。