Golden Kubestronaut 完全ロードマップ — 16のCNCF認定資格を制覇するガイド(資格ごとの学習内容を含む、2026)

プロローグ — Kubestronaut、そしてその上のGolden

CNCF(Cloud Native Computing Foundation)の Kubestronaut プログラムは、クラウドネイティブ認定資格の最終形トラックだ。

• Kubestronaut — Kubernetes のコア認定資格 5つ をすべて取得した人。かっこいいジャケットとコミュニティバッジを受け取る。
• Golden Kubestronaut — すべてのCNCF認定資格 + LFCS を取得した人。2025年4月に新設された最上位の等級。一生維持されるタイトル。

なぜこれをやるのか? 正直に言えば:

• 資格が実力を証明するわけではない。 だが 体系的にクラウドネイティブのエコシステム全体をなぞる ことを強制してくれる。
• CKA/CKAD/CKSの ハンズオン試験 は本当に手を動かさせる。暗記では解けない。
• 採用・契約・昇進において 明確なシグナル になる。特にDevOps・プラットフォームエンジニアにとって。
• 何より — Prometheus、Istio、Cilium、Argo、OpenTelemetry を それぞれ深く見るための口実 ができる。普段はやらない。

この記事は16の試験を 一つひとつ分解 する。形式、ドメイン、学習内容、難易度、Tips。できる限り詳細に。

注意: CNCFは新しい認定資格を継続的に追加している。Golden Kubestronaut の要件もそれに伴って更新される。この記事は2026年5月時点のもの — CNPA(2025年10月追加)、CNPE(2026年3月から要件)を含む。受験前には必ず公式ページで最新の要件を確認してほしい。

第1章 · 2つの等級 — 5つ vs 16

Kubestronaut — Kubernetes 5種

Golden Kubestronaut — 上記5つ + 以下の11

合計: 15のCNCF認定資格 + LFCS = 16。 すべて合格すれば Golden Kubestronaut。

第2章 · 試験形式は2種類 — この違いがすべてだ

CNCFの試験はちょうど2種類だ。準備戦略がまったく異なる。

Performance-based(ハンズオン)— CKA, CKAD, CKS, CNPE, LFCS

• 実際のターミナル で本物の Kubernetes クラスタ・Linux システムを扱う。
• 2時間。複数の実務的な課題を解く。
• 暗記では絶対に解けない。 kubectl を手に馴染ませる必要がある。
• CKA/CKAD/CKSは受験料に 再受験1回が含まれる。
• 合格基準: 通常はCKA/CKSが66%、CKADが66%前後(公式基準を確認)。

Multiple-choice(選択式)— KCNA, KCSA, PCA, ICA, CCA, CAPA, CGOA, CBA, OTCA, KCA, CNPA

• 選択式。KCNAは90分。
• 概念・アーキテクチャ・用語が中心。ハンズオンのラボはない。
• 相対的に素早く取得できる — Golden Kubestronaut の「物量」パート。
• とはいえ、実際にそのプロジェクトを使った経験があれば圧倒的に有利だ。

戦略の核心: ハンズオン5種は 時間と手 が必要だ。選択式11種は 知識の広さ が必要だ。この2つを混ぜてスケジュールを組む(第8章)。

第3章 · 推奨される学習順序 — ロードマップ

順序が重要だ。簡単なものが難しいものの土台になる。

[ステップ1 · 基礎]   KCNA → KCSA
                  (選択式、エコシステム全体の地図を描く)
        │
        ▼
[ステップ2 · ハンズオン中核]  CKAD → CKA → CKS
                  (CKSはCKA合格が前提条件。手にkubectlを馴染ませる)
        │
        ▼
[ステップ3 · プロジェクト群]  CGOA → CAPA → PCA → OTCA → KCA → CBA → ICA → CCA
                  (選択式。ステップ2で習得したK8s知識の上に重ねる)
        │
        ▼
[ステップ4 · プラットフォーム・Linux]  LFCS → CNPA → CNPE
                  (LFCSはハンズオンLinux。CNPEはハンズオンのプラットフォームエンジニアリング)

• KCNAを先に — エコシステム全体の地図をまず描く。残りすべての試験の文脈になる。
• CKADをCKAより先に 勧める場合が多い — 範囲が狭く、入り口が滑らかだからだ。(反対意見もある — CKAのほうがより根本的なので先に、と。自分のバックグラウンドに応じて。)
• CKSは必ずCKA合格後 — 公式の前提条件。
• プロジェクト群はステップ2の後 — Kubernetes を知っていてこそ Istio・Cilium・Argo が理解できる。

第4章 · Kubernetes 5種 — ドメインと学習内容

KCNA — Kubernetes and Cloud Native Associate

• 形式: 選択式、90分。難易度: 入門。
• ドメイン: Kubernetes Fundamentals 46%、Container Orchestration 22%、Cloud Native Architecture 16%、Cloud Native Observability 8%、Cloud Native Application Delivery 8%。
• 学習内容: Pod・Deployment・Service・Namespace といったコアオブジェクト、コンテナランタイムとOCI、スケジューリングの基礎、クラウドネイティブアーキテクチャ(マイクロサービス、自動スケーリング、12-factor)、オブザーバビリティの3軸(メトリクス・ログ・トレース)の概念、CI/CD・GitOps・Helm の概念。
• Tips: あらゆる旅の出発点。ここでエコシステムの用語を押さえれば残りが楽になる。

KCSA — Kubernetes and Cloud Native Security Associate

• 形式: 選択式。難易度: 入門〜中級。
• 学習内容: Kubernetes セキュリティの4C(Cloud・Cluster・Container・Code)、脅威モデル、RBAC の概念、Pod Security Standards、ネットワークポリシーの概念、サプライチェーンセキュリティ、etcd・API サーバのセキュリティ、認証・認可のフロー。
• Tips: CKSの「概念版」。KCSAでセキュリティの語彙を押さえ、CKSで手を動かして実装する。

CKAD — Certified Kubernetes Application Developer

• 形式: ハンズオン、2時間。難易度: 中級。
• 学習内容: アプリケーションの設計・ビルド(マルチコンテナ Pod パターン、init container、Job/CronJob)、デプロイ(Deployment のローリングアップデート・ロールバック、Helm の基礎)、設定(ConfigMap・Secret、SecurityContext、ServiceAccount、リソースの requests/limits)、オブザーバビリティ(probe — liveness・readiness・startup、ログ・デバッグ)、ネットワーキング・ストレージ(Service、NetworkPolicy の基礎、PV/PVC)。
• Tips: 開発者視点。「アプリをK8sの上で動かす」能力。CKAより範囲が狭く入門用に良い。

CKA — Certified Kubernetes Administrator

• 形式: ハンズオン、2時間。難易度: 中級〜上級。
• 学習内容: クラスタアーキテクチャ・インストール・構成(kubeadm でのクラスタ構築、アップグレード、etcd のバックアップ・リストア)、ワークロード・スケジューリング、サービス・ネットワーキング(CNI、CoreDNS、Ingress、Gateway API)、ストレージ(StorageClass、PV/PVC の動的プロビジョニング)、トラブルシューティング(ノード・コントロールプレーン・アプリの障害、ログ分析) — トラブルシューティングの比重が大きい。
• Tips: 最も「根本的な」資格。etcd のバックアップ/リストアとクラスタアップグレードはほぼ必ず出る。手に馴染ませよ。

CKS — Certified Kubernetes Security Specialist

• 形式: ハンズオン、2時間。前提条件: CKA合格。難易度: 上級。
• 学習内容: クラスタセットアップの強化(CIS ベンチマーク、kube-bench)、システム強化(最小権限、AppArmor・seccomp)、マイクロサービスの脆弱性最小化(Pod Security Standards、OPA/Gatekeeper・Kyverno、mTLS)、サプライチェーンセキュリティ(イメージスキャン、SBOM、イメージ署名)、ランタイムセキュリティ・モニタリング(Falco、監査ログ、behavioral analytics)。
• Tips: 最も難しい。ツールが多い(Falco、Trivy、kube-bench、AppArmor)。各ツールを実際に動かしてみる必要がある。

第5章 · プロジェクト資格群 — 8個(すべて選択式)

CNCFの卒業・インキュベーティングプロジェクトごとの認定資格。すべて選択式なので素早く集められる。

PCA — Prometheus Certified Associate

• プロジェクト: Prometheus(メトリクス・モニタリング)。
• 学習内容: Prometheus のアーキテクチャ(スクレイピング、TSDB、プルモデル)、PromQL(セレクタ、関数、集計 — 最も重要)、exporter と instrumentation、アラート(Alertmanager、ルーティング・抑制)、サービスディスカバリ、レコーディングルール。

ICA — Istio Certified Associate

• プロジェクト: Istio(サービスメッシュ)。
• 学習内容: メッシュのアーキテクチャ(データプレーンの Envoy、コントロールプレーンの istiod、サイドカー vs ambient モード)、トラフィック管理(VirtualService、DestinationRule、カナリア・ミラーリング)、セキュリティ(mTLS、AuthorizationPolicy、PeerAuthentication)、オブザーバビリティ(分散トレーシング、メトリクス)。

CCA — Cilium Certified Associate

• プロジェクト: Cilium(eBPF ベースのネットワーキング・セキュリティ)。
• 学習内容: eBPF の基礎、Cilium のアーキテクチャ、CNI としての Cilium、ネットワークポリシー(L3/L4/L7)、Hubble によるオブザーバビリティ、クラスタメッシュ、ロードバランシング・kube-proxy の代替。

CAPA — Certified Argo Project Associate

• プロジェクト: Argo(CD・Workflows・Rollouts・Events)。
• 学習内容: Argo CD(GitOps の同期、App of Apps、sync wave)、Argo Workflows(DAG・step ワークフロー)、Argo Rollouts(カナリア・ブルーグリーン、分析)、Argo Events(イベント駆動のトリガー)。

CGOA — GitOps Certified Associate

• プロジェクト: GitOps の原則(特定のツールではなく方法論)。
• 学習内容: GitOps の4原則(宣言的、バージョン管理・不変、自動 pull、継続的な調整)、push vs pull モデル、drift の検知・自己修復、Flux・Argo CD のようなツールの位置づけ、シークレット管理。

CBA — Certified Backstage Associate

• プロジェクト: Backstage(開発者ポータル)。
• 学習内容: 開発者ポータルの概念、Software Catalog(エンティティモデル — Component・API・System)、Software Templates(スキャフォールディング)、TechDocs、プラグインアーキテクチャ、Backstage のデプロイ。

OTCA — OpenTelemetry Certified Associate

• プロジェクト: OpenTelemetry(オブザーバビリティ標準)。
• 学習内容: オブザーバビリティの3軸(traces・metrics・logs)と OTel の統合モデル、instrumentation(自動 vs 手動)、OpenTelemetry Collector(receiver・processor・exporter のパイプライン)、コンテキスト伝播、セマンティック規約、OTLP プロトコル。

KCA — Kyverno Certified Associate

• プロジェクト: Kyverno(ポリシーエンジン)。
• 学習内容: Policy as Code の概念、Kyverno のポリシータイプ(validate・mutate・generate・verifyImages)、admission controller としての動作、ClusterPolicy vs Policy、ポリシー例外、CKSの OPA/Gatekeeper との比較。

学習効率のTips: この8個は ステップ2(CKA/CKAD/CKS)を終えた直後 にまとめて見ると相乗効果が大きい。K8s のオブジェクトモデルを知っていれば、Istio の CRD も、Argo の CRD も、Kyverno のポリシーも同じパターンで読める。

第6章 · プラットフォームエンジニアリング + Linux — CNPA, CNPE, LFCS

LFCS — Linux Foundation Certified System Administrator

• 形式: ハンズオン。学習内容: Linux 運用全般 — ファイルシステム・ストレージ、ユーザー・権限、プロセス・サービス(systemd)、ネットワーキング、パッケージ管理、シェルスクリプティング、基本的なセキュリティ。
• Tips: CNCFの認定資格ではないが Golden の要件。K8s のハンズオン試験群の 基礎体力 でもある。vim・bash・grep・sed が手に馴染む。

CNPA — Cloud Native Platform Engineering Associate

• 形式: 選択式。追加時点: 2025年10月15日から Golden の要件。
• 学習内容: プラットフォームエンジニアリングの概念、内部開発者プラットフォーム(IDP)、ゴールデンパス(golden path)、開発者体験(DevEx)、セルフサービスインフラ、プラットフォーム as a product の考え方。

CNPE — Certified Cloud Native Platform Engineer

• 形式: ハンズオン。要件時点: 2026年3月1日から Golden の要件。
• 学習内容: 内部開発者プラットフォームを実際に構築・運用する能力 — 複数のCNCFツール(Argo、Backstage、オブザーバビリティスタックなど)を組み合わせてセルフサービスプラットフォームを作る。先行するすべての資格の 総合編 の性格。
• Tips: 最も後、最後に。他の資格で習得したツールを組み立てる試験なので、いちばん最後が自然だ。

第7章 · ハンズオン試験の実戦Tips

CKA・CKAD・CKS・CNPE・LFCS — ハンズオン5種は別個のスキルが必要だ。

環境に慣れる

• kubectl のエイリアス: 試験開始直後に alias k=kubectl。指を動かす時間を節約する。
• 自動補完: source <(kubectl completion bash)。
• kubectl explain: フィールド構造が思い出せなければ kubectl explain pod.spec.containers。ドキュメントを離れずに済む。
• 公式ドキュメント許可: 試験中に kubernetes.io/docs を見られる。だが 検索に頼ると時間が足りない。 よく使うものは暗記せよ。

スピード戦略

• --dry-run=client -o yaml: オブジェクトを最初から打たないこと。k run・k create で YAML の骨格を抜き出して修正する。
• 時間配分: 配点の大きい問題から。詰まったら フラグを付けて飛ばす — 1つの問題に埋没するな。
• コンテキスト切り替え: 各問題は別のクラスタかもしれない。問題ごとに与えられる kubectl config use-context コマンドを 必ず先に 実行する。
• 検証: 答えを作った後に k get・k describe で実際に動作するか確認する。部分点がある。

練習環境

• killer.sh — CKA/CKAD/CKSの受験料に含まれるシミュレータ。実際の試験より難しい。2回回せる。
• ローカルクラスタ — kind・minikube・k3d で自分で壊して直す。
• キラー練習: etcd のバックアップ/リストア、クラスタアップグレード、壊れたノードの復旧 — CKAの常連。手に馴染むまで。

vim の最小生存スキル

ハンズオン試験では vim を使うことになる。最低限:

• YAML のインデント: :set expandtab tabstop=2 shiftwidth=2
• ビジュアルブロックで複数行のインデント、:%s で置換、dd/yy/p。

第8章 · コスト・スケジュール管理

コスト感覚

• CKA・CKAD・CKS: 各 $395 前後(再受験1回を含む)。
• KCNA・KCSA・プロジェクトの選択式群: 各 $250 前後。
• LFCS: ハンズオン、別価格。
• 16個すべてはかなりの金額 だ。ただし、CNCFは バンドル・セール・バウチャー を頻繁に出す。Kubestronaut/Golden のバンドルを狙え。KubeCon シーズンの割引もよくある。
• 認定資格には通常 有効期限 がある(おおむね2〜3年、資格ごとに異なる)。Golden Kubestronaut のタイトル自体は一生だが、個別の資格の更新ポリシーは確認すること。

スケジュールを組む — ハンズオンと選択式を混ぜろ

バーンアウトを避ける核心: 重いハンズオンと軽い選択式を交互に。

ペース例(個人の事情に合わせて調整):
  月1   KCNA + KCSA           (選択式、ウォーミングアップ)
  月2-3 CKAD → CKA            (ハンズオン、集中)
  月4   CGOA + CAPA + PCA     (選択式、回復 + 物量)
  月5   CKS                   (ハンズオン、最難度)
  月6   OTCA + KCA + CBA      (選択式)
  月7   ICA + CCA + CNPA      (選択式)
  月8   LFCS → CNPE           (ハンズオン、総合編)

• ハンズオン直後は選択式 で回復。
• CKSはCKAが十分に馴染んだ後 — すぐに連続で行くな。
• CNPEはいちばん最後 — 他のツールをすべて習得した後に組み立てる。
• 一度に全部やろうとするな。6〜12ヶ月のペースが現実的だ。

落ちたとき

ハンズオン試験は再受験が含まれている。落ちても普通のことだ。何が足りなかったかをメモ し — たいていは「特定の作業のスピード」または「特定のツールの未熟さ」 — その部分だけを集中的に練習してから再受験する。

エピローグ — 資格ではなく旅

Golden Kubestronaut の本当の価値はジャケットではない。クラウドネイティブのエコシステム全体を — Kubernetes のコアから Prometheus・Istio・Cilium・Argo・OpenTelemetry・Backstage・Kyverno まで — 体系的に、漏れなくなぞることになる、ということ だ。

普段はやらない。「いつか Cilium を深く見ないと」「Backstage を一度使ってみないと」と先延ばしにする。資格は、その先延ばしを終わらせる 強制装置 だ。そしてハンズオン5種は — 暗記では解けない試験は — 実際に手を動かさせる。

順番どおりに、ハンズオンと選択式を混ぜて、6〜12ヶ月。終えた後に残るのは、資格16個よりも クラウドネイティブ全領域のメンタルモデル だ。それが本当の報酬だ。

学習チェックリスト

1. KCNAでエコシステム全体の地図をまず描いたか?
2. ハンズオン5種(CKA・CKAD・CKS・CNPE・LFCS)と選択式11種を区別してスケジュールを組んだか?
3. kubectl のエイリアス・自動補完・--dry-run が手に馴染んだか?
4. etcd のバックアップ/リストア、クラスタアップグレードを自分でやってみたか?
5. killer.sh のシミュレータを回したか?
6. CKSの前にCKAを合格したか(前提条件)?
7. プロジェクト8種をCKA/CKAD/CKSの直後に配置したか?
8. ハンズオンと選択式を交互に配置してバーンアウトを避けたか?
9. CNCFのバンドル・バウチャー・KubeCon 割引を確認したか?
10. 各資格の有効期限・更新ポリシーを確認したか?

アンチパターン7つ

1. KCNAなしでいきなりCKA — エコシステムの文脈なしに迷う。
2. ハンズオン試験を「暗記で」準備する — 絶対に通用しない。
3. 試験中に1つの問題に埋没する — フラグを付けて飛ばせ。
4. 問題ごとにコンテキスト切り替えコマンドをやらない — 見当違いのクラスタで作業する。
5. ハンズオンばかり連続させる — バーンアウト。選択式で回復せよ。
6. CKAが未熟なままCKSに挑戦する — ツールが多すぎて崩れる。
7. 定価でしか決済しない — バンドル・セールを逃すと大損。

次回予告

次回の記事候補: CKA試験の実戦ウォークスルー — etcd バックアップからクラスタアップグレードまで、CKSツール総まとめ — Falco・Trivy・kube-bench・OPA・Kyverno のハンズオン、CNPEのための内部開発者プラットフォーム構築 — Backstage + Argo + オブザーバビリティスタック。

「資格は目的地ではなくカリキュラムだ。Golden Kubestronaut の報酬はタイトルではなく、その過程で強制的に学ぶことになるエコシステム全体だ。」

— Golden Kubestronaut 完全ロードマップ、終わり。