Kubestronaut 之路：KCNA, KCSA, CKA, CKAD, CKS 顺序指南

Kubestronaut 捆绑包是 CNCF 将 KCNA、KCSA、CKA、CKAD 和 CKS 考试组合购买的名称。截至 2026 年，该捆绑包可为您节省约 788 美元的标价（五项考试单点总价为 1,835 美元；当 Linux 基金会没有促销活动时，捆绑包价格约为 1,047 美元，而他们几乎总是有促销活动）。您还将获得一枚时髦的翻领别针，并您的名字将出现在 CNCF 的公开列表中。这就是营销宣传。

坦诚地说：这是五项实打实的考试，其中三项是动手实践考试，所需时间投入取决于您的起点，大约在 200 到 400 小时之间。这个徽章很酷，但其实际的信号价值是“这个人花了一年左右的时间沉浸在 Kubernetes 中”。这是否值得投入金钱和周末时间，这是一个需要思考的问题。

您所获得的价值

五项考试。两个定价层级。助理级考试（KCNA、KCSA、CNPA）每项 250 美元，包含 60 道多项选择题，时长 90 分钟，通过 PSI Bridge 在线进行，并附带一次免费重考。专业级考试（CKA、CKAD、CKS、新的 CNPE）每项 445 美元，是动手实践的终端考试，时长两小时，同样通过 PSI Bridge 进行，并附带一次免费重考。截至 2026 年 4 月，CNPA 和 CNPE 不在 Kubestronaut 捆绑包中——只有最初的五项考试才算在内。

有效期很重要。CNCF 已于 2024 年 4 月 1 日将认证有效期从 3 年缩短至 2 年。因此，如果您在 2026 年底完成所有五项考试，您的 KCNA 将在 2028 年底到期，您就得重新考。Kubestronaut 徽章本身取决于您同时持有所有五项有效证书，这意味着如果您想保留它，就需要永无止境地进行再认证。

我实际推荐的考试顺序

大多数博客文章都会给出市场宣传友好的顺序：KCNA、KCSA、CKA、CKAD、CKS。这也是 CNCF 列出的顺序。这并不是一个糟糕的顺序。但它不是唯一的，也并非总是最好的。

这是我 2026 年的推荐：

1. 如果您是 Kubernetes 新手，先考 KCNA；如果您不是，则跳过。 KCNA 是基础性的——涉及 Pod、Service、Deployment、kubelet、控制平面和基本词汇。如果您已经部署到托管集群两年，这项考试会让你感到无聊，并让你觉得 250 美元不值。如果您是从虚拟机和 Docker 转过来，对 K8s 了解不多，那么它是一个有用的 4-6 周的强制性学习。对于初学者来说，大约需要 30-50 小时的准备时间。对于有操作经验的人来说，可能只需 10 小时。

2. 其次考 CKA。 这是捆绑包中的核心认证。两小时、真实的终端、真实的集群、kubeadm、etcd 备份和恢复、NetworkPolicy、RBAC、故障排除。CKS 在注册时明确要求拥有有效的 CKA——CNCF 强制执行这一点，这不是一个软性建议。所以即使您不单独关心 CKA，没有它也无法参加 CKS 考试。时间：如果您偶尔使用过 Kubernetes，需要 60-100 小时；如果您是新手，需要 150 小时以上。

3. 第三考 CKAD。 “开发者”考试。根据我的经验，它比 CKA 容易——上下文更少，没有 kubeadm，没有 etcd 操作。工作内容是应用程序相关的：Deployment、ConfigMap、探针、Job、多容器 Pod。大部分时间压力来自快速编写 YAML。如果您可以不假思索地使用 kubectl create deploy --dry-run=client -o yaml 和 vim，那么在 CKA 肌肉记忆的基础上，CKAD 只需要 30-60 小时的准备时间。诀窍是在 CKA 考试后的 2-3 个月内完成，趁操作反应仍然熟练。

4. 第四考 KCSA。 多项选择题，以安全为主题。从安全角度考察威胁建模、4C 原则、供应链、运行时、RBAC、NetworkPolicy。它基本上是 CKS 的入门。它不是 CKS 的先决条件，但在 CKS 之前完成它会大大减轻 CKS 的痛苦。需要 20-30 小时。

5. 最后考 CKS。 这是最难的一个。动手实践，两小时，范围虽窄但考查深入：Falco 规则、AppArmor 和 seccomp 配置文件、Trivy / Tracee、时间压力下的 NetworkPolicy（这是大多数人丢分的地方）、mTLS、镜像签名、Pod Security Standards、供应链相关内容。如果 CKA 的记忆还新鲜，需要 60-100 小时。如果 CKA 之后等待时间太长，肌肉记忆消失了，则需要更多时间。

我将 KCSA 推到 CKAD 和 CKS 之间而不是 KCNA 之后的原因是，KCSA 的内容与 CKS 大约有 70% 的重叠。背靠背地学习它们效率很高。如果把 KCSA 放在序列的早期，意味着你在参加 CKS 之前会忘记一半内容。

时间投入，真实版本

从“我了解 Docker”到 Kubestronaut 的总学习时长，假设您有正式工作和正常生活：在 8-14 个月内需要 250-400 小时。这大约是每周 5-10 小时的专注学习，如果您对 Linux 内部机制不熟悉或 vim 技能生疏，则需要更长时间。

动手实践考试是主要的限制因素。如果您有基础知识，KCNA、KCSA 以及 KCSA 类型的多项选择题可以在每个长周末完成。CKA、CKAD 和 CKS 都需要建立肌肉记忆，这并非通过阅读 kubernetes.io 文档就能获得——您必须实际动手破坏并修复集群。在本地使用 kind 或 k3d。在每次动手实践考试前购买 Killer Shell 会话（每次购买 445 美元时会捆绑两次）。Killer Shell 刻意设计得比真实考试更难，其时间压力模拟最接近真实的 PSI Bridge 体验。

徽章所代表的信号

CNCF 发布了一份公开的 Kubestronaut 名单。截至 2026 年初，该名单在全球范围内仅有数千人。CNCF 成员公司（Google、Microsoft、Red Hat、云原生咨询公司）的招聘人员知道这是什么。但在这个圈子之外的招聘人员大多不了解——他们看到的是“五个 Kubernetes 证书”，并将其视为一个 Kubernetes 证书加上额外的附加信息。

因此，该徽章在云原生社区中具有真正的社会资本，但在更广泛的市场中对薪资的额外影响有限。CNCF 和 HashiCorp 都不公布通过率，所以我无法给出具体的稀有度数字。根据传闻，我所认识的拥有此徽章的人都在咨询公司（Solo.io、Buoyant、IBM/Red Hat 生态圈）、超大规模企业中的平台团队工作，或者作为独立的 K8s 承包商，收费 200 美元/小时以上。

如果您的目标是这些细分领域之一，那么这个徽章是值得的。如果您是 B 轮创业公司的后端工程师，单独的 CKA 证书就能以 20% 的努力获得 80% 的信号价值。

何时应跳过捆绑包

如果您只需要 CKA 和 CKAD，请跳过。购买 CKA + CKAD 捆绑包（590 美元）可以节省现金。Kubestronaut 捆绑包是假设您想要所有五项考试。

如果您打算在超过 18 个月的时间内考取这些证书，请跳过。每项考试的 12 个月免费重考窗口仍然适用，但在您完成后面的考试之前，您可能已经需要为早先考取的证书支付续费了。

如果您宁愿将相同的时间投入到作品集上，请跳过。五个公共仓库中的 Kubernetes operator 或一个知名的 kubectl 插件在高级平台工程师面试中几乎每次都能比 Kubestronaut 徽章更具说服力。

何时应该考取

如果您日常工作中涉及 Kubernetes，并希望通过一个强制性的方式来弥补知识上的不足，那么就去考吧——我认识的大多数工程师对平台的学习都不均衡，而 Kubestronaut 路径会迫使您在那些您原本会跳过的地方深入学习。如果您的雇主报销证书费用（许多公司都报销；请询问），那么就去考吧。如果您是顾问，并且该徽章直接影响您的收费，那么也去考吧。

如果您打算考取，可以浏览 CertLabPro 上的 CKA 练习题库或开始一次限时模拟。动手实践的肌肉记忆必须来自真实集群，但概念上的不足最快会在题库中显现出来。两者都要使用。