KCNA vs KCSA：你应该首先考哪个 Kubernetes 助理级考试？

简而言之：如果你刚接触 Kubernetes 或云原生，先考 KCNA。如果你已经很熟悉 Kubernetes 并且正在从事安全领域，先考 KCSA。如果你打算直接考 CKA 并且已经在生产环境中使用了 Kubernetes 一年，那么两者都不需要考。

这两个考试都收费 250 美元，包含 60 道选择题，考试时长 90 分钟，通过 PSI Bridge 在线进行，并附带一次免费重考机会。两者都是 CNCF 助理级考试——介于动手操作的专业级考试（CKA、CKAD、CKS、CNPE）之下。它们都不是任何专业级考试的硬性先决条件；它们是可选的入门途径。定价和考试形式完全相同，因此选择纯粹取决于内容和你所处的职业阶段。

KCNA 实际涵盖的内容

KCNA — Kubernetes and Cloud Native Associate — 是 CNCF 助理级考试中涵盖范围最广的。截至 2026 年初，其课程大纲大致分为：

• Kubernetes 基础知识 (~46%)：pods、services、deployments、namespaces、ConfigMaps、Secrets、控制平面、kubelet、调度器。词汇层面——每个组件的作用以及它们之间的关系。
• 容器编排 (~22%)：为何使用容器、容器运行时、OCI 规范、容器网络概念。
• 云原生架构 (~16%)：微服务、服务发现、可观测性、12 因子应用原则。
• 云原生可观测性 (~8%)：Prometheus、OpenTelemetry、指标/日志/追踪三驾马车、基本的 SLI/SLO 概念。
• 云原生应用交付 (~8%)：GitOps 概念、Argo CD / Flux 表面知识、应用于 K8s 的基本 CI/CD。

它宽泛而浅显。你不会被要求编写 YAML；你会被问到哪个 Kubernetes 对象处理某个特定的关注点。考试的重点是“你是否足够理解云原生世界，以便在交流中有用”。这实际上是一个真实的标准——许多工程师在交付 K8s 工作负载时并不知道 etcd 是什么，而 KCNA 迫使你学习这些名称。

时间投入：如果你是新手，需在 4-6 周内投入 30-50 小时。如果你已经接触 Kubernetes 一年，只需填补词汇空白，则需 10-15 小时。

KCSA 实际涵盖的内容

KCSA — Kubernetes and Cloud Native Security Associate — 比 KCNA 更窄更深，但仍然是选择题，并且仍然是概念性的：

• 云原生安全概述 (~14%)：4C（Cloud、Cluster、Container、Code）、K8s 环境下的共享责任模型。
• Kubernetes 集群组件安全 (~22%)：API server 强化、etcd 保护、kubelet 标志、网络插件。
• Kubernetes 安全基础知识 (~22%)：Pod 安全标准、网络策略（概念而非 YAML）、Secrets 处理、ServiceAccounts。
• Kubernetes 威胁模型 (~16%)：应用于 K8s 的 STRIDE、攻击面分析、信任边界。
• 平台安全 (~16%)：供应链、镜像扫描概念、准入控制概念。
• 合规性和安全框架 (~10%)：CIS 基准、NIST、kube-bench 在概念层面的作用。

KCSA 本质上是 CKS 的入门指南，但不包含动手实验。大约 70% 的 KCSA 内容在主题上与 CKS 重叠；不同之处在于 KCSA 考察的是“你是否理解 NetworkPolicy 是什么”，而 CKS 考察的是“在 90 秒内无需查阅文档，用 YAML 编写一个默认拒绝的 NetworkPolicy”。

时间投入：如果你具备 K8s 实操知识，需在 4-5 周内投入 25-40 小时。如果没有 K8s 接触经验就尝试考 KCSA 会很吃力——你将同时学习两样东西，而且安全视角会使其比 KCNA 更难，而不是更容易。

各自的目标人群

KCNA 面向职业转型者、初级工程师、从事云原生产品的项目经理和产品经理、销售工程师，以及任何需要 Kubernetes 基础知识但无需操作集群的人。它是一个很好的强制性功能，可以帮助你“理解词汇以便进行智能对话”。但对于高级工程师招聘来说，它是一个较弱的信号——招聘人员在阅读高级候选人的简历时，通常会跳过 KCNA。

KCSA 面向学习 Kubernetes 的安全工程师、转向 K8s 安全领域的 AppSec / 云安全专业人士，以及希望进行更柔和预热以备考 CKS 的工程师。它也适用于合规和审计角色，这些角色需要讨论 K8s 安全态势但无需亲自操作集群。

如果你是试图进入云领域的初级工程师，考 KCNA。如果你是扩展到平台安全领域的安全工程师，考 KCSA。如果你已经是高级 K8s 运维人员，两者都不需要考——直接考 CKA 或 CKS。

考试机制：异同点

相同点：

• 截至 2026 年，价格为 250 美元。
• 60 道单选/多选题。
• 90 分钟。
• 75% 通过。
• 通过 PSI Bridge 在线监考——需要摄像头、屏幕共享、身份验证等常规流程。
• 12 个月内一次免费重考机会。
• 2 年有效期（2024 年 4 月之前为 3 年）。
• Linux Foundation 经常提供 30-60% 的优惠码；在支付全价之前务必检查。

不同点：

• KCNA 更宽泛；KCSA 更深入地聚焦安全。
• KCSA 的题型略微偏向“给定此场景，安全问题是什么”，而 KCNA 偏向“这个 Kubernetes 组件是做什么的”。

两者都没有实验环节。两者都没有终端访问权限。PSI Bridge 的考试体验对于两者来说，与任何云厂商的 KCNA / KCSA / KCSA 式助理级考试完全相同——需要摄像头、不能使用第二显示器、桌面整洁、不能带笔记，除非明确允许，否则不能使用草稿纸。

何时两者都考

如果你正在争取 Kubestronaut 徽章（需要 KCNA + KCSA + CKA + CKAD + CKS），那么两者都考是有意义的。除此之外，两者都考大多只是锦上添花。“通过 KCNA 和 KCSA”在简历上的信号价值大致与仅“通过 KCSA”相同——招聘人员看到“Kubernetes 认证”就会继续看下一部分。

如果你两者都考，但并非为了 Kubestronaut 套件，我建议的顺序是：先考 KCNA（4-6 周），然后进行 1-2 个月在 kind / k3d 集群上的 K8s 动手实践，再考 KCSA。如果没有中间的操作实践就连续考，你只会学到词汇而没有实际操作的反应。

何时跳过两者

如果你已经在生产环境中操作 Kubernetes 一年或更长时间，那么跳过两者。CKA 涵盖了 KCNA 的所有内容，并增加了动手操作测试。KCNA 在高级工程师的简历上只是轻微的噪音，而 CKA 才是真正的信号。

如果你专门针对 CKS，那么跳过两者。CKS 要求有效的 CKA，而不是 KCNA 或 KCSA。KCSA 有助于 CKS 的准备，但并非必需。

如果你的目标是在未来 90 天内换工作，并且已经能获得 K8s 相关的面试机会，那么跳过两者。将时间花在一个作品集项目上——例如一个 kubectl 插件、一个公共 Helm chart 或一个 Kubernetes operator——这些比助理级证书更能帮助你。

CNCF 不公布通过率

需要说明的是，CNCF 不公布其任何考试的官方通过率。社区调查（Linux Foundation 论坛、Reddit r/kubernetes、CNCF Slack #certifications 频道）显示，KCNA 的首次尝试通过率在 70-80% 之间，KCSA 在 60-70% 之间。这些数据仅供参考——它们是自报的，并且偏向于那些通过考试并主动发帖的人。

本周行动建议

如果你是 K8s 新手：计划 6 周后参加 KCNA 考试，学习 kubernetes.io 上的概念页面，并在本地运行一个 kind 集群，将词汇与实际操作结合起来。

如果你是安全领域且熟悉 K8s：计划 5 周后参加 KCSA 考试，学习 CIS 基准，并阅读 4Cs 框架。

如果你已准备好考 CKA：跳过两者，节省 500 美元，转而购买 CKA + CKAD 套餐（590 美元）。

如果你决定考，请在 CertLabPro 上浏览 KCNA 练习题库或KCSA 题库。两者都有助于快速发现词汇方面的不足——这些考试实际上测试的就是词汇量。