文章目录
一、kubernetes认证-CKA证书
K8s的专业技术认证主要有以下几种:
- CKA(Kubernetes 管理员认证)
- CKAD(Kubernetes 应用程序开发者认证)
- CKS(Kubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证)
其中,知名度最高、应用范围最广的是CKA认证。
1. CKA(Kubernetes 管理员认证)介绍
官网:https://www.cncf.io/certification/cka/
关于CKA认证的官方FAQ: https://docs.linuxfoundation.org/tc-docs/certification/faq-cka-ckad-cks
CKA全称为(Certificated Kubernetes Administrator)即为官方认证的Kubernetes管理员。管理员认证(CKA)旨在确保认证持有者具备履行Kubernetes管理员职责的技能,知识和能力。
认证机构为Linux Foundation组织旗下的Cloud Native Computing Foundatin组织。本来Kubernetes是最伟大的IT公司Google的“亲儿子”(内部项目),后来开源出来,又后来为了其茁壮成长,“过继”给了CNCF,所以CNCF就成了认证机构。
CKA考察的是你是否具备足够管理 Kubernetes 集群的必备知识,说白了也就是基础原理和基础操作,考了起码可以说明你的基本功是很扎实的。
通过CKA认证培训的工程师说明已经满足对K8s进行管理的才能,可胜任K8s相关工作!
考出来也至少说明能把K8S的基本原理搞清楚了,基本操作掌握的也比较熟练了。
CKA证书价值
Kubernetes在国内的火爆程度,可以从招聘网站上各互联网公司的Kubernetes工程师招聘需求中看到,不仅职位供不应求,年薪福利更是远远高于大多数程序员。
CNCF主打项目 Google、IBM、RedHat、 华为、VMware、微软等主流厂商支持, 阿里、百度、腾讯、今日头条、 京东、360、网易等一线互联网 公司都将 Kubernetes作为自己的主流,人才需求大 薪水高。
首先含金量肯定是有的,因为这个CKA 证书是云原生计算基金会 CNCF 组织的,比国内的一些含水量很大的证书强太多了。
CKA是目前唯一的 Kubernetes 官方认证考试,而市场上对于K8s工程师的需求只增不减,CKA是企业判断人才技术能力的唯一标准,其含金量可见一斑。
这个证书的含金量。事实上,这个证现在看来还是很权威的,因为它本身是非常细致、严谨的官方技术考试,考出的人很少。截至今年 6 月,全球认证人数还不满 1000,含金量相对较高(后期如果培训市场介入了,量产的结果你懂的)。再加上这两年 Kubernetes 已经成为容器编排的事实标准,现在企业都在招这块的人才,未来这块的发展空间也很大。
企业部署云容器后,为了给未来创新优化提供更畅通的开源资源,可能会有申请 KCSP 企业资格、加入 CNCF 的想法。根据 CNCF 的要求,KCSP 的申请前提是公司内至少有 3 名员工有 CKA 认证证书,如果你有这个证,再加上企业有这个需求,你的竞争优势就很大了。
如果企业想要申请 KCSP(Kubernetes 认证服务提供商) ,条件之一是:至少需要三名员工拥有CKA认证。
总结:
1、Kubernetes太火了,云原生就是K8s的天下。
2、Google太牛逼了,你不跟他玩还想跟谁玩。
3、国家前有百万中小企业上云服务的政策,后有云厂商百亿百亿的烧钱,该上车就上车了。
考试难or易
考试采用开卷形式,似乎很容易,答案都可以自由搜索。但实际上这个开卷考试并不是完全的开卷,因为只允查阅官方文档,在考试过程中你只能去
https: //kubernetes.io/
https: //github. come
如果去了其它的网站,只能按作弊论处了。
想要说的是,官方文档中,是否可以轻松找到答案?如果你没有经验找起来还是挺麻烦的,因为文档的内容还是蛮丰富的,以下文档,是要重中之重,大家可以先有个心理准备
https://kubernetes. io/docs/reference/
https: //kubernetes. io/docs/concepts/
考题共有24道,全部实操题,支持中文和英文,建议用英文,因为中文翻译会有歧义。
考试时长?
考试时间为2个小时,中途可以向考官申请休息,去卫生间或者喝水,但时间不会暂停。
还有一点,CKA考试服务器在国外,在中国连接的时候经常断线,如果断线的话,可以询问考官能延长多少时间。我虽然翻出去,还弄了个专门线路,但是网络还是断了两三次。
考试形式?
可以在考试中心考,也可以选择线上考(需要科学上网)。但因疫情的原因,现在所有考试中心已不接待考试,只能在线上考了。
线上考环境要求:在一个密闭空间,例如书房、卧室、会议室等,电脑屏幕不能对着窗户,房间里除了考生不能存在第二个人,考试的桌面不能放其它东西,水杯就能放透明的白色液体的水杯,其它的也行。
必须使用chrome浏览器,共享桌面和摄像头,有老外负责监考,全程英文交流。即使你申请是中文考官,他也只和你英文流程,只不过会附上中文翻译。大家也不用太担心 ,英文交流指的是英文文本交流,不需要说。也可以借助于chrome自带翻译功能。
考试时提前15分钟登录网站,可以提前15分钟启动考试,按考官要求进行测试。
考官会让你出示护照(一定是护照,不能是中国身份证,因为上面没有英文字母,老外不认),会让你用摄像头,照一照桌面,桌底下,门,环顾一下屋子四周等等,按照他的提示做就可以了。
全部检查完成,他就会帮你启动考试了。考试过程中大家也要注意,不要离开摄像头的监控范围,否则他会给你警告。
CKA认证考试准备注意点总结:
- 提前办理一个护照,考官会让你出示护照(一定是护照)、(身份证及有本人签名的信用卡(境内境外都可以))
- 约考(有效期一年,注意时区问题。考试前24小时可修改)
- 考试时间为2个小时
- 考试时提前15分钟登录网站
- 环境检测(WebDelivery Compatibility Check,需要提前调试好网络、安装插件)
CKA认证考试报名
报名需要在Linux Foundation的官网进行,需要注册账号。需要准备一张能在国外支付的visa信用卡用来支付报名费$300,聪明的你如果会用Google的话会发现网上有很多免费的Coupon code可以减免$45,如果不着急的话建议在圣诞节附近考试,据说有黑五折扣,可以$189报名,还赠送培训课程。
现在国内也有了Linux Foundation的代理机构,可以预约报名国内的考试,不必担心科学上网的问题了。
CKA目前已经推出中文考试服务,并且可以直接使用支付宝购买,并开具发票。
报名地址:https://training.linuxfoundation.cn/certificate/details/1
中文报名考试费用为2088元人民币。
CKA现有以下考试方式可供选择: 英文监考官–线上考试 (考试编号:CKA), 中文监考官–线上考试(考试编号:CKA-CN)。可选择远程或者是在考点进行考试(考点的网络情况也一般,并无太大区别)。
2. CKA 内容详情
官方https://www.cncf.io/certification/cka/
在线考试由一组基于性能的项目(问题)组成,以便在命令行中解决,候选人有2小时时间来完成任务。
该认证侧重于当今业内成功的Kubernetes管理员所需的技能。这包括这些总域及其在考试中的权重:
- 集群架构,系统安装与配置 • 管理基于角色的访问控制(RBAC) • 使用Kubeadm安装基本集群 • 管理高可用性的Kubernetes集群 • 设置基础架构以部署Kubernetes集群 • 使用Kubeadm在Kubernetes集群上执行版本升级 • 实施etcd备份和还原
- 工作负载&调度 • 了解部署以及如何执行滚动更新和回滚 • 使用ConfigMaps和Secrets配置应用程序 • 了解如何扩展应用程序 • 了解用于创建健壮的、自修复的应用程序部署的原语 • 了解资源限制如何影响Pod调度 • 了解清单管理和通用模板工具
- 服务和网络 • 了解集群节点上的主机网络配置 • 理解Pods之间的连通性 • 了解ClusterIP、NodePort、LoadBalancer服务类型和端点 • 了解如何使用入口控制器和入口资源 • 了解如何配置和使用CoreDNS • 选择适当的容器网络接口插件
- 储存 • 了解存储类、持久卷 • 了解卷模式、访问模式和卷回收策略 • 理解持久容量声明原语 • 了解如何配置具有持久性存储的应用程序
- 故障排除 • 评估集群和节点日志 • 了解如何监视应用程序 • 管理容器标准输出和标准错误日志 • 解决应用程序故障 • 对群集组件故障进行故障排除 • 排除网络故障
费用为375美元,包括一个免费的撤回。有关考试的问题,请查看。
计划季度考试更新匹配Kubernetes发布。请参阅当前考试环境版本的FAQ解答。
考试一般选择最新版本的k8s,目前使用的是1.19版本。考纲会随着k8s版本更新而更新。
FAQ:考试语言选择
https://docs.linuxfoundation.org/tc-docs/certification/faq-cka-ckad-cks
上述允许的网站可能包含指向外部网站的链接。 候选人有责任不点击任何导致他们导航到不允许的域的链接。
FAQ: 考试环境中运行的应用程序版本是什么?
The CKA, CKAD and CKS exam environment is currently running etcd v3.5
The CKA exam environment is currently running Kubernetes v1.23
The CKAD exam environment is currently running Kubernetes v1.23
The CKS exam environment is currently running Kubernetes v1.23
The CKA, CKS and CKAD exam environment will be aligned with the most recent K8s minor version within approximately 4 to 8 weeks of the K8s release date.
网友相关经验总结
大多数时间都会被用来写yaml,改yaml。
如果读者具有Kubernetes维护经验的话,排障部分的考题应该会易如反掌,基本都是一些五行日志以内就能发现的问题,而且每个题目错误点通常只有一个。
考试并不要求完全手动的构建集群,反而推荐使用kubeadm作为辅助,比如我的有一道题目中就暗示了检查cluster-info这个configmap的正确性,而这个configmap就是给kubeadm使用的。
善用kubectl run,kubectl expose之类的命令确实可以节约大量的时间,kubectl cheat sheet 列出了很多实用的kubectl使用姿势,而且这篇是允许在考试期间访问的官方文档
3. 考试准备
理论学习
强烈建议复习的最佳材料就是Kubernetes官网的官方文档,不论是先看后看,一定要看!!!
考试前结合文档自己亲自用kubeadm搭建集群,至少熟悉文档位置。
考试过程中使用到的所有yaml文件都可以在文档中找到,熟悉文档十分重要啊。
有能力的话建议在云平台上购买虚拟机自行部署安装kubernetes,亲自动手实践以后会对概念理解的更加深刻。云平台的话建议选择GCP(有能力的话建议在云平台上购买虚拟机自行部署安装kubernetes,亲自动手实践以后会对概念理解的更加深刻。云平台的话建议选择GCP,国内的墙会严重影响你部署云平台时候的体验,在Google上你会体会到如丝般顺滑的部署体验。),国内的墙会严重影响你部署云平台时候的体验,在Google上你会体会到如丝般顺滑的部署体验。
部署的话可以采用二进制部署或者kubeadm,但官方推荐的是kubeadm,包括考试也会考到kubeadm相关的问题,kubeadm还更方便。
CKA认证考试环境准备
整洁的桌面
桌面不能有纸、笔、电子设备或其他杂物。可以喝水,不能吃东西,饮用水不能有标识。
桌底不能有纸、垃圾桶或其他杂物
干净的墙壁
墙壁上不能贴有纸或打印物。如果有在考试开始前会被要求移除
可以有画作或者墙壁装饰
光线
要求光线充足,能看清考生的脸、手和周围环境
考生身后没有明亮的灯光或者窗户
其他
考试期间考生必须留在摄像头范围内
考试环境应尽可能安静,避免咖啡厅、开放式办公场所等
CKA认证考试报名后从哪可以进入考试?
CKA认证考试报名后可通过用户中心入口进入考试,在考试开始前15分钟才开放入口。
考生需提前15分钟进入考试系统, 以便给监考时间考察考试环境,避免占用考试时间。
CKA认证考试是如何进行的?
考试是在线进行的,时长3小时。如果遇到意外情况,监考官会适当延长考试时间。
监考官通过文字、语音(全程不需要语音交流,主要是方便监考官监视环境)、视频、屏幕共享进行监控。因此对网络环境有较高要求,对于中国内地考生需要科学上网。
考试时与监考官主要通过live chat文字交流。监考官如果发现有异常行为(如摄像头黑了、考生手挡住嘴巴),可能会暂停考试,通过live chat文字聊天提醒考生。
考试全程均为上机题。完成考试任务的方法可能不止一种,除非另有说明,否则只要产生的结果正确即可。考试以结果作为评价标准。
考试过程中考试可以请求暂停考试,但是时间不会停止。建议考试前先解决个人需求。
CKA认证考试系统要求
- 考试要求使用chrome或其他chromium内核的浏览器,安装innovactive exams screensharing插件,并打开第三方cookie。建议使用较新版本的chrome。
- 需要同步音频、视频和桌面,对网络带宽及稳定性有较高要求。建议调试好网络。并且如果是共用网络,提前和他人打声招呼,不要看视频或者下载大文件。
- 提前准备好麦克风等设备,确保能采集到考试环境声音。笔记本电脑用自带的即可。
- 提前准备好摄像头等设备,确保能采集到考试环境画面,监考官会要求移动摄像头查看桌面、桌底以及周围环境。笔记本电脑用自带的即可。
CKA认证考试时的要求
- 考试前需通过摄像头向监考官展示护照等身份信息(需能清楚看到姓名、照片、有效期等)。
- 考试时除了考试平台页面,最多打开一个附加tab页面,可查询https://kubernetes.io/docs/, https://github.com/kubernetes/, https://kubernetes.io/blog/ 和他们其他语言的子页面 (如https://kubernetes.io/zh/docs/)。不能打开除以上网址之外的页面,包括https://discuss.kubernetes.io/。
- 以上页面可能包含跳转到其他页面的链接,考生有责任识别,否则将视为作弊。
- 考试现场需保持安静,不许有他人进入。
- 考生禁止读题,禁止用手挡住嘴巴等。
- 考试时间结束后,由监考官判断是否需要延迟交卷。由监考官决定是否结束考试并自动交卷,不用考生主动交卷。
CKA考试页面布局
考试页面左边是题目,右边是终端。可以使用考试系统自带的笔记本,大小位置可以拖拽(大小通过拖拽笔记本边框的右边和下边实现)。
题目的变量点击即可复制(切换上下文的语句点完还是再点下复制)。
CKA考试答题策略
考试需要在2小时内完成24道题,全部都是上机题,熟练的可能1个小时就能答完。按照难度每道题分值从1~9分不等,覆盖pod、pv等对象的创建、部署及回滚、集群搭建、排错等范畴。题目普遍不难,但是细节上批改地非常严格,需要做题时仔细阅读题干。答题时需合理分布时间,可先跳过不熟悉的题目,通过考试系统自带的标记功能标记题目,也可将题号记在考试系统的笔记本上。
二、kubernetes认证- CKS证书
kubernetes安全专家认证(Certified Kubernetes Security Specialist)
报考CKS必须要通过CKA考试,且证书在有效期内,CKS证书有效期为2年。
1. Kubernetes安全专家认证 (CKS) 介绍
获得CKS证书证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的必要能力,并且有资格在专业环境中执行这些任务。
CKS是一个实操的认证考试,它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,考生必须已经通过Kubernetes管理员认证考试(CKA),在获得CKA认证之后才可以预约CKS考试。
2. Kubernetes安全专家认证 (CKS) 内容详情
https://training.linuxfoundation.cn/certificates/16
CKS认证考试包括这些一般领域及其在考试中的权重:
- 集群安装:10%
- 集群强化:15%
- 系统强化:15%
- 微服务漏洞最小化:20%
- 供应链安全:20%
- 监控、日志记录和运行时安全:20%
集群安装:10%
使用网络安全策略来限制集群级别的访问
使用CIS基准检查Kubernetes组件(etcd, kubelet, kubedns, kubeapi)的安全配置
正确设置带有安全控制的Ingress对象
保护节点元数据和端点
最小化GUI元素的使用和访问
在部署之前验证平台二进制文件
集群强化:15%
限制访问Kubernetes API
使用基于角色的访问控制来最小化暴露
谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限
经常更新Kubernetes
系统强化:15%
最小化主机操作系统的大小(减少攻击面)
最小化IAM角色
最小化对网络的外部访问
适当使用内核强化工具,如AppArmor, seccomp
微服务漏洞最小化:20%
设置适当的OS级安全域,例如使用PSP, OPA,安全上下文
管理Kubernetes机密
在多租户环境中使用容器运行时 (例如gvisor, kata容器)
使用mTLS实现Pod对Pod加密
供应链安全:20%
最小化基本镜像大小
保护您的供应链:将允许的注册表列入白名单,对镜像进行签名和验证
使用用户工作负载的静态分析(例如kubernetes资源,Docker文件)
扫描镜像,找出已知的漏洞
监控、日志记录和运行时安全:20%
在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动
检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁
检测攻击的所有阶段,无论它发生在哪里,如何扩散
对环境中的不良行为者进行深入的分析调查和识别
确保容器在运行时不变
使用审计日志来监视访问
版权归原作者 西京刀客 所有, 如有侵权,请联系我们删除。