- Published on
Kubestronaut ロードマップ 2026 完全ガイド - CKA・CKAD・CKS・KCNA・KCSA と CNCF 認定資格ラダー(Prometheus・Istio・Cilium・OpenTelemetry・Argo)徹底解説
- Authors
- Name
- Youngju Kim
- @fjvbn20031
はじめに — 2026年5月、Kubestronaut は「クラウドネイティブの卒業証書」になった
2024年1月の KubeCon Paris で初めて発表された Kubestronaut プログラムは、2026年5月時点で世界 20,000 名 を突破した。CKA・CKAD・CKS・KCNA・KCSA の5資格を同時に有効な状態で保持している人だけに与えられる称号で、2年前は「カッコいいパッチ」程度だったものが、いまでは シニア SRE・プラットフォームエンジニアの求人で歓迎条件として明記される ほどの重みになった。
さらに 2025年下半期に CNCF が導入した Golden Kubestronaut(現存するすべての CNCF 系認定を同時保持)トラックと、6種以上に増えたアソシエイト試験により、クラウドネイティブ認定は本格的な「ラダー」になった。本稿はマーケティングページではなく、実際の試験環境、出題傾向、準備時間、そして年収インパクトまで正直にまとめる。
Kubestronaut プログラム概要 — 何を、なぜ、どう取るか
Kubestronaut の称号は、CNCF が運営し Linux Foundation が試験を実施する5つの主要認定資格を 同時に有効な状態 で保持しているときに付与される。各認定の有効期間は通常2年で、2026年5月時点ですべての試験は PSI Bridge 基盤のオンライン監督方式だ。
- CKA — Certified Kubernetes Administrator。クラスタ管理者トラック。
- CKAD — Certified Kubernetes Application Developer。アプリ開発者トラック。
- CKS — Certified Kubernetes Security Specialist。セキュリティトラック。CKA が前提。
- KCNA — Kubernetes and Cloud Native Associate。入門トラック。
- KCSA — Kubernetes and Cloud Native Security Associate。入門セキュリティトラック。
Kubestronaut 認定者には、年に1回の無料 CNCF 試験バウチャー、限定ジャケット・パッチ、Linux Foundation サイトでの殿堂入り掲載、CNCF イベントでの専用ラウンジ入場権などが提供される。無料バウチャーは実質 年600 USD 相当の価値 があるので、単なる名誉ではなく実用的な特典だ。
認定ラダー — アソシエイト・プロフェッショナル・スペシャルティ
CNCF 認定は大きく3段階に分かれる。
- アソシエイト: KCNA、KCSA、PCA(Prometheus)、ICA(Istio)、CAPA(Cilium)、OTCA(OpenTelemetry)、CGOA(Argo)。90分・選択式・合格点75%。
- プロフェッショナル: CKA、CKAD、CKS。2時間・ハンズオン端末。合格点は CKA/CKAD が66%、CKS が67%。
- スペシャルティ: 2026年に追加された CCSCA(Certified Cloud Security Specialist)などのシニア向け。
下の表で一望できる。
| 認定 | レベル | 時間 | 形式 | 合格点 | 受験料(USD) |
|---|---|---|---|---|---|
| KCNA | Associate | 90分 | 選択60問 | 75% | 250 |
| KCSA | Associate | 90分 | 選択60問 | 75% | 250 |
| PCA | Associate | 90分 | 選択60問 | 75% | 250 |
| ICA | Associate | 90分 | 選択60問 | 75% | 250 |
| CAPA | Associate | 90分 | 選択60問 | 75% | 250 |
| OTCA | Associate | 90分 | 選択60問 | 75% | 250 |
| CGOA | Associate | 90分 | 選択60問 | 75% | 250 |
| CKAD | Pro | 2時間 | ハンズオン端末 | 66% | 445 |
| CKA | Pro | 2時間 | ハンズオン端末 | 66% | 445 |
| CKS | Pro | 2時間 | ハンズオン端末 | 67% | 445 |
| CCSCA | Specialty | 2時間 | ハンズオン端末 | 67% | 545 |
受験料は定価ベース。KubeCon の時期とブラックフライデーには 40〜50% オフのクーポンが配布される。Linux Foundation Training とのバンドルだと、試験1回 + コース込みで約 595 USD だ。
KCNA — クラウドネイティブの ABC
KCNA は「なぜ Kubernetes を使うか」から始まる。出題比率は次の通り。
- Kubernetes Fundamentals 46%: コントロールプレーン、ワークロード、スケジューリング、サービス/ネットワーク。
- Container Orchestration 22%: コンテナランタイム、セキュリティ、ネットワーク。
- Cloud Native Architecture 16%: 自律性、回復性、マイクロサービス、サーバーレス。
- Cloud Native Observability 8%: メトリクス・ログ・トレースの違い。
- Cloud Native Application Delivery 8%: GitOps、CI/CD。
典型的な KCNA 問題は「次のうちサイドカーパターンの説明として正しいのは?」のような概念型だ。ハンズオンはないため、CNCF の無料ドキュメントと KodeKloud 動画 12〜16時間 で合格できることが多い。KCNA の本当の価値は資格そのものよりも、後で CKA を受ける前に用語を標準化してくれる点にある。
KCSA — クラウドネイティブセキュリティの入門
KCSA は 2023年後半に追加された入門レベルのセキュリティ試験。出題範囲は次の通り。
- Overview of Cloud Native Security 14%: 4C モデル(Cloud, Cluster, Container, Code)。
- Kubernetes Cluster Component Security 22%: API サーバ、etcd、kubelet、kube-proxy のハードニング。
- Kubernetes Security Fundamentals 22%: RBAC、Pod Security Standards、Network Policy、Secret 管理。
- Kubernetes Threat Model 16%: 攻撃面の分析。
- Platform Security 16%: サプライチェーン、イメージ署名、ポリシーエンジン。
- Compliance and Security Frameworks 10%: NIST 800-190、MITRE ATT&CK for Containers。
KCSA は「CKS の半分」と考えるとよい。CKS はハンズオンだが KCSA は選択式なので、概念整理に向く。KCNA の次に薦める2つ目のアソシエイトだ。
CKA — クラスタ管理者トラックの王道
CKA は5種類の中で最も歴史が古い試験だ。2024年9月の V1.31 改訂で出題比率は次のように再編された。
- Cluster Architecture, Installation and Configuration 25%
- Workloads and Scheduling 15%
- Services and Networking 20%
- Storage 10%
- Troubleshooting 30%
見ての通り トラブルシュート 30% が中核だ。次のようなシナリオが頻出する。
- ノードが NotReady。原因を特定し復旧せよ。(kubelet サービス、kubeconfig のパス、コンテナランタイム)
- Pod が Pending。(Taint/Toleration、Node selector、リソース不足)
- Service につながらない。(Endpoint、kube-proxy iptables、NetworkPolicy)
- etcd のバックアップとリストア。(
etcdctl snapshot save/restore)
CKA を解くときの定番スキルセットは次のようになる。
alias k=kubectl
export do='--dry-run=client -o yaml'
export now='--grace-period=0 --force'
k create deployment web --image=nginx:1.27 --replicas=3 $do > web.yaml
k apply -f web.yaml
k get pods -A -o wide --sort-by=.spec.nodeName
k describe pod failing-pod | sed -n '/Events/,$p'
k drain node-2 --ignore-daemonsets --delete-emptydir-data
sudo systemctl status kubelet
sudo journalctl -u kubelet -n 200 --no-pager
alias k=kubectl と export do='--dry-run=client -o yaml' は試験場で時間を稼ぐ標準マクロだ。2時間で 15〜20 問を捌くため、指先の自動化が合否を分ける。
CKAD — アプリ開発者トラック
CKAD はクラスタ運用ではなく アプリの記述とデプロイ に焦点がある。2026年5月時点のドメインは次の通り。
- Application Design and Build 20%: Job、CronJob、init コンテナ、マルチコンテナパターン。
- Application Deployment 20%: Deployment 戦略、Helm、Kustomize。
- Application Observability and Maintenance 15%: probes、ログ、モニタリング。
- Application Environment, Configuration and Security 25%: ConfigMap、Secret、SecurityContext、ServiceAccount。
- Services and Networking 20%: Service、Ingress、NetworkPolicy。
CKAD の典型パターンは、Pod 定義の YAML を dry-run で生成してから手早く編集することだ。
apiVersion: v1
kind: Pod
metadata:
name: web
labels:
app: web
spec:
containers:
- name: web
image: nginx:1.27
ports:
- containerPort: 80
readinessProbe:
httpGet:
path: /
port: 80
initialDelaySeconds: 3
periodSeconds: 5
livenessProbe:
httpGet:
path: /
port: 80
initialDelaySeconds: 10
periodSeconds: 10
resources:
requests:
cpu: 100m
memory: 128Mi
limits:
cpu: 500m
memory: 256Mi
CKA が「クラスタを救う」なら、CKAD は「行儀のよいワークロードを書く」だ。
CKS — セキュリティトラック、5試験で最難関
CKS は CKA 合格が受験要件だ。2024年後半の V1.30 カリキュラム基準のドメインは次の通り。
- Cluster Setup 10%: CIS Benchmark、kubelet ハードニング、kube-apiserver のフラグ。
- Cluster Hardening 15%: 最小権限 RBAC、ServiceAccount。
- System Hardening 10%: ホスト OS、AppArmor、seccomp。
- Minimize Microservice Vulnerabilities 20%: Pod Security Standards、サンドボックス(gVisor、Kata Containers)、Secret。
- Supply Chain Security 20%: イメージ検証、Cosign、SBOM、Admission Controller。
- Monitoring, Logging and Runtime Security 20%: Falco、監査ログ。
CKS の定番シナリオはこんな感じだ。「指定された Pod に gVisor RuntimeClass を適用し、外部 egress を遮断する NetworkPolicy を書け」。
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
name: deny-egress-default
namespace: payments
spec:
podSelector: {}
policyTypes:
- Egress
egress:
- to:
- namespaceSelector:
matchLabels:
tier: data
ports:
- protocol: TCP
port: 5432
apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
name: gvisor
handler: runsc
---
apiVersion: v1
kind: Pod
metadata:
name: untrusted-app
spec:
runtimeClassName: gvisor
containers:
- name: app
image: registry.internal/untrusted/app:1.0
ここに「Falco ルールも書け」が乗ってくる。Falco DSL の骨格は次の通り。
- rule: Shell in Container
desc: Detect interactive shell spawn inside container
condition: >
spawned_process and container and
proc.name in (bash, sh, zsh)
output: >
Interactive shell launched in container
(user=%user.name container=%container.id image=%container.image.repository)
priority: WARNING
tags: [container, shell, mitre_execution]
CKS は「暗記で解く」試験ではなく、実際に Pod Security Standards・Network Policy・Falco ルールを白紙から書いた経験 がないと通らない。平均準備時間は 80〜120 時間。
アソシエイトラダー — PCA・ICA・CAPA・OTCA・CGOA・CCSCA
2025〜2026年にかけて CNCF は各 Graduated プロジェクトごとにアソシエイト試験を追加した。
- PCA (Prometheus Certified Associate): PromQL、recording rule、alerting rule、exporter、federation、remote_write。
- ICA (Istio Certified Associate): VirtualService、DestinationRule、Gateway、AuthorizationPolicy、mTLS、telemetry v2。
- CAPA (Cilium Associate): eBPF データプレーン、CiliumNetworkPolicy、Hubble、ClusterMesh。
- OTCA (OpenTelemetry Certified Associate): SDK、Collector、exporter、OTLP、trace/metric/log の各シグナル。
- CGOA (Argo Certified Associate): Argo Workflows、Events、Rollouts、CD。GitOps パターン。
- CCSCA (Certified Cloud Security Specialist): 2026年に追加されたハンズオン型セキュリティスペシャルティ。CKS の上位。
すべてのアソシエイトが選択式60問・90分・75% 合格と形式が揃っているため、各ツールを実務で四半期以上触ったことがある人なら 30〜50 時間の準備で合格圏に届く。
Golden Kubestronaut — すべての CNCF 認定を同時保持
Golden Kubestronaut は、Kubestronaut の5資格 + アソシエイト6種 + Linux Foundation の LFCS/LFCT まで 現存するすべての CNCF 関連認定 を同時に有効に保つ人に贈られる称号だ。2026年5月時点で世界の保有者は 200名未満。
追加特典は次の通り。
- ゴールドジャケットと別パッチ。
- KubeCon メインキーノートの VIP 席。
- CNCF Ambassador 自動推薦。
- 毎年すべての認定の無料バウチャー。
Golden Kubestronaut は実用的価値以上に クラウドネイティブエコシステム内でのシグナリング が本質だ。大手のシニア SRE・プラットフォームエンジニアの採用では「この人は本当に深くやっている」の速い証拠になる。
試験環境 — PSI Bridge、本人確認、ホワイトボードルール
2024年後半に Linux Foundation は試験システムを ExamsLocal から PSI Bridge へ完全移行した。2026年5月時点ですべての CNCF 試験は PSI Bridge で実施され、次のルールが適用される。
- 開始15分前からチェックイン可能。写真付き ID 1点必須(パスポート推奨)。
- 試験中、机の上に置けるのは PC、キーボード、マウス、水のコップだけ。紙とペンは禁止。
- ホワイトボード機能が試験 UI に内蔵されているため、メモはそこに書く。
- カメラによる 360 度の部屋スキャン必須。視線逸脱や外部音検知で警告/失格。
- 試験中に参照できる外部資料は kubernetes.io、kubernetes.io/blog、github.com/kubernetes の公式ドキュメント 1タブ + 試験 UI 内のドキュメント検索だけ。
この「1タブルール」を知らない受験者が意外に多い。試験中に新しいタブやウィンドウを開いた瞬間に失格だ。普段から kubectl の例ページ、公式 cheat sheet、ドキュメント検索を 1タブ内で完結する練習 が必要になる。
試験テク — 2時間で 17 問を解く方法
CKA・CKAD・CKS はすべてハンズオン端末試験だ。時間配分が合否を決める。
- 最初の5分: 全問を流し見し、配点が高くて短時間で済むものに印をつける。配点は右側に % で表示される。
- alias 設定(10秒):
alias k=kubectl、export do='--dry-run=client -o yaml'、export now='--grace-period=0 --force'、source <(kubectl completion bash)。 - vimrc 設定(20秒):
~/.vimrcにset ts=2 sw=2 et aiを1行。YAML のインデントが崩れたら答案は無効。 - kubectl explain 活用: API フィールド名が思い出せないなら
kubectl explain pod.spec.containers --recursive。 - コンテキスト切替コマンド: 問題ごとに画面上部にコンテキスト切替コマンドが表示される。違うクラスタで実行した答案は 0点。
- チェックポイント: 提出済みでも最後に2回見直す。CKS はポリシーが本当に効いているか検証コマンドまで書く。
平均的に CKA は 17〜20問、CKAD は 14〜17問、CKS は 15〜18問 出題され、1問あたり 5〜9分で終わらせないと厳しい。
学習リソース — Killer Shell、KodeKloud、A Cloud Guru、LF Training
2026年5月時点でコスパが最も良い組み合わせは次の通り。
- Linux Foundation Training: 公式コース。試験1回 + コースのバンドルで約 595 USD。進度は穏やかだが出題範囲を網羅する。
- KodeKloud: 韓国・インド・米国いずれでも評価が高い。講師 Mumshad Mannambeth のコースが事実上の業界標準。
- Killer Shell: Linux Foundation の試験申込時に無料提供されるシミュレータ。本番より約 1.3倍 難しい。
- A Cloud Guru / Pluralsight: 動画中心。CKA より KCNA・KCSA に向く。
- CNCF Curriculum リポジトリ: 公式の出題範囲 PDF。四半期ごとに更新。
- udemy「CKA with Practice Tests」: KodeKloud の Udemy 版。同じ講義を安く買える。
推奨の流れは、KodeKloud の動画で概念整理 → CNCF 公式 PDF で抜けチェック → Killer Shell 2周。Killer Shell で 80% 以上解ける人は本試験でほぼ受かる。
学習時間の目安 — 1年目と5年目
現場でよく聞かれる「準備時間」の現実的な範囲は次の通り。
| 試験 | 1〜2年目 | 3〜5年目 | シニア | 備考 |
|---|---|---|---|---|
| KCNA | 30〜50h | 12〜20h | 6〜12h | 概念整理中心 |
| KCSA | 40〜60h | 20〜30h | 12〜20h | セキュリティ経験があれば半減 |
| CKAD | 80〜120h | 40〜70h | 25〜40h | dry-run と Kustomize の練習時間込み |
| CKA | 120〜160h | 70〜100h | 40〜60h | 実クラスタのトラブルシュート時間 |
| CKS | 100〜140h | 70〜100h | 50〜80h | Falco/OPA/Trivy の実習込み |
| PCA | 40〜60h | 20〜30h | 12〜20h | PromQL が中核 |
| ICA | 60〜80h | 30〜50h | 20〜30h | mTLS とトラフィック管理の実習 |
| CAPA | 60〜80h | 30〜50h | 20〜30h | eBPF 概念と CiliumNetworkPolicy |
| OTCA | 50〜70h | 25〜40h | 15〜25h | Collector 構成の実習 |
| CGOA | 50〜70h | 25〜40h | 15〜25h | Argo CD と Rollouts の実習 |
時間は「実習+動画+模試」の合計だ。動画だけ見ても試験本番で指がついて来ない。
韓国コミュニティ — KCD Seoul、Kubernetes Korea User Group
韓国の Kubestronaut 保有者は 2026年5月時点で約 380名。学習・ネットワーキングの拠点は次の通り。
- Kubernetes Korea User Group (K8s Korea): facebook.com/groups/k8skr、会員 1.7万人。毎月の定例ミートアップ。
- KCD Seoul: CNCF 公式 KCD(Kubernetes Community Days)シリーズのソウル版。2025年11月は 1,400名が参加。
- CNCG Seoul/Busan: 釜山・大田などの地方拠点。試験後の振り返り共有が活発。
- OpenInfra Day Korea: インフラ全般だが K8s/CNCF トラックが大きい。
- NHN Forward、AWS Community Day、Naver DEVIEW: 企業カンファレンス内の K8s トラック。
- inflearn / fastcampus: 国内の韓国語講座。英語の KodeKloud が辛い場合の入口になる。
K8s Korea の Slack には、試験後24時間以内に振り返りを共有するチャンネルがあり、出題傾向を素早く掴める。NDA を破らずに、出題範囲と難易度の体感だけを共有する。
日本コミュニティ — CNDT、KCD Tokyo、JKD
日本では 2018年から CloudNative Days Tokyo(CNDT)が続いており、韓国より 1〜2年ほど早くクラウドネイティブカンファレンスが定着した。
- Cloud Native Days Tokyo / Summer (CNDT/CNDS): 毎年秋と夏。CNDT 2024 は 2,800名が参加。
- KCD Tokyo: 2024年に初開催。CNCF 公式 KCD シリーズ。
- Japan Container Days (JKD): CNDT の前身。現在もサブイベントとして残る。
- Cloud Native Community Japan (CNCJ): 統括組織。Slack の
#cncjチャンネルが活発。 - OpenStack Days Tokyo: K8s トラックが中心になっている。
日本市場は SIer 比率が高いため、Kubestronaut 保有者は「社内の K8s チャンピオン」として一気にポジションが固まりやすい。SoftBank、LINE、CyberAgent、ZOZO、Yahoo Japan、Rakuten には社内学習費の補助制度があり、受験料の還付が一般的だ。
年収インパクト — Kubestronaut でいくら上がるのか
資格そのものが年収を決めるわけではない。とはいえ次のデータは一貫して「同等経験の未保有者より 12〜22% 多く受け取る」を示している。
| 市場 | 1〜3年目 | 4〜7年目 | 8年目以降 | 出典 |
|---|---|---|---|---|
| 米国(リモート) | 11〜14万 USD | 16〜22万 USD | 24万 USD+ | Stack Overflow Developer Survey 2025 |
| EU | 6.5〜8.5万 EUR | 9〜13万 EUR | 14万 EUR+ | KodeKloud State of K8s 2025 |
| 韓国 | 6,500〜8,500万 KRW | 9,500万〜1.4億 KRW | 1.5億 KRW+ | Jobplanet + Wanted 2025 |
| 日本 | 700〜900万 JPY | 1,100〜1,500万 JPY | 1,600万 JPY+ | doda IT/エンジニア 2025 |
| インド(リモート) | 18〜28L INR | 35〜55L INR | 60L INR+ | KodeKloud Survey 2025 |
CNCF 自身の 2024 CNCF Survey によると、Kubestronaut 保有者の 67% が認定後 12 か月以内に昇給または転職に成功 と答えている。回答者バイアスはあるので絶対値より「+12〜22%」の幅を基準に見るとよい。
kubectl ワークフロー — 合否を決める指先の自動化
ハンズオン試験で合否を分けるのは結局 どれだけ速く答案を生成できるか だ。次のパターンは反射で打てるレベルまで覚えておきたい。
# Pod / Deployment / Service / Ingress の高速生成
k run nginx --image=nginx:1.27 --port=80 $do > pod.yaml
k create deployment api --image=api:1.0 --replicas=3 --port=8080 $do > deploy.yaml
k expose deployment api --port=80 --target-port=8080 --type=ClusterIP $do > svc.yaml
k create ingress api --rule="api.example.com/*=api:80" $do > ing.yaml
# Job / CronJob
k create job hello --image=busybox:1.36 -- /bin/sh -c "echo hi; sleep 5" $do > job.yaml
k create cronjob nightly --image=busybox:1.36 --schedule="0 2 * * *" -- /bin/sh -c "echo nightly" $do > cron.yaml
# ConfigMap / Secret
k create configmap app-cfg --from-literal=ENV=prod --from-file=app.properties $do > cm.yaml
k create secret generic db-cred --from-literal=DB_USER=app --from-literal=DB_PASS=pa55w0rd $do > secret.yaml
# RBAC
k create serviceaccount deployer -n ci
k create clusterrole reader --verb=get,list,watch --resource=pods,deployments $do > role.yaml
k create clusterrolebinding deployer-reader --clusterrole=reader --serviceaccount=ci:deployer $do > rb.yaml
do と now 環境変数、kubectl explain、kubectl get -o jsonpath まで組み合わせれば、答案の 9割は指先から自動で流れ出る。
Helm・Kustomize・GitOps — CKAD を超える実務ツール
試験は kubectl 中心だが実務はそうではない。Helm と Kustomize、そして Argo CD/Flux は CNCF 認定ラダー全体で比重が増えている。
# kustomization.yaml
apiVersion: kustomize.config.k8s.io/v1beta1
kind: Kustomization
namespace: prod
commonLabels:
app: payments
env: prod
resources:
- ../../base
patches:
- target:
kind: Deployment
name: payments
patch: |-
- op: replace
path: /spec/replicas
value: 8
- op: replace
path: /spec/template/spec/containers/0/image
value: registry.internal/payments:1.42.0
images:
- name: payments
newTag: 1.42.0
configMapGenerator:
- name: payments-cfg
literals:
- ENV=prod
- REGION=apne2
# Helm の基本フロー
helm repo add bitnami https://charts.bitnami.com/bitnami
helm repo update
helm install pg bitnami/postgresql --version 15.5.20 -n data --create-namespace \
--set auth.username=app --set auth.password=pa55w0rd
# Argo CD App 定義(宣言的 GitOps)
kubectl apply -n argocd -f - <<'YAML'
apiVersion: argoproj.io/v1alpha1
kind: Application
metadata:
name: payments-prod
namespace: argocd
spec:
project: default
source:
repoURL: https://github.com/org/payments.git
path: deploy/overlays/prod
targetRevision: main
destination:
server: https://kubernetes.default.svc
namespace: prod
syncPolicy:
automated:
prune: true
selfHeal: true
YAML
CKAD 試験で Helm や Kustomize を深く問うことはあまりないが、CGOA(Argo Certified Associate) と OTCA、そしてシニアの実務では必須だ。
セキュリティツール — Falco・OPA Gatekeeper・Kyverno・Trivy
CKS の定番ツールは次の4つだ。
- Falco: ランタイム侵入検知。eBPF ベースのシステムコール監視。
- OPA Gatekeeper: Rego 言語の Admission ポリシー。
- Kyverno: YAML フレンドリな Admission ポリシー。日本語ユーザーにも読みやすい。
- Trivy: イメージ/IaC/SBOM のスキャン。Aqua Security 製。
Kyverno のポリシー例は次の通り。
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
name: require-nonroot
spec:
validationFailureAction: Enforce
background: true
rules:
- name: check-runAsNonRoot
match:
any:
- resources:
kinds: ["Pod"]
validate:
message: "Pods must set runAsNonRoot=true"
pattern:
spec:
securityContext:
runAsNonRoot: true
こうしたポリシーを試験場で一発で書けるかどうかが CKS の合格ラインを分ける。
オブザーバビリティトラック — Prometheus・OpenTelemetry・Istio
PCA・OTCA・ICA は実質ひとまとまりだ。クラウドネイティブにおける可観測性はメトリクス/トレース/ログの 3 軸に分かれ、それぞれの標準が Prometheus、OpenTelemetry、OpenSearch/Loki になっている。
- PCA: PromQL 24%、インスタンス/スクレイプ 18%、アラート 18%、インストルメンテーション 16%、運用/デプロイ 14%、その他 10%。
- OTCA: 分散トレース概念 22%、OTel Collector 28%、SDK/API 20%、OTLP 12%、コンベンション 18%。
- ICA: トラフィック管理 30%、セキュリティ 25%、可観測性 15%、インストール/アップグレード 20%、カスタマイズ 10%。
PromQL の一行が読み書きできれば PCA はほぼ通る。
# 1分平均のリクエストレート
rate(http_requests_total[1m])
# 5xx の割合
sum(rate(http_requests_total{code=~"5.."}[5m]))
/ sum(rate(http_requests_total[5m]))
# p99 レイテンシ
histogram_quantile(0.99,
sum by (le)(rate(http_request_duration_seconds_bucket[5m])))
# ノードディスク予測(24時間後に枯渇するか)
predict_linear(node_filesystem_avail_bytes{mountpoint="/"}[6h], 86400) < 0
このレベルの式を読み書きできれば PCA は事実上合格圏だ。
受験スケジュールの組み方 — 6か月で5資格を取るには
6か月で Kubestronaut を取りたい人のための標準プランは次の通り。
- 0〜4週: KCNA。KodeKloud 12時間 + 公式 PDF + Killer Shell の無料枠。
- 5〜8週: KCSA。KCNA の後にセキュリティ章を強化。30〜50 時間。
- 9〜16週: CKAD。100 時間前後。毎週土曜に 2時間の Killer Shell。
- 17〜22週: CKA。120〜160 時間。週 1回の模試。
- 23〜26週: CKS。100〜140 時間。CKA 合格直後に申し込むと vim と
kの指先が新鮮なまま使える。
5資格を同時に有効な状態にすると、自動的に Kubestronaut の称号が付与される。認定処理には 3〜5 営業日かかる。
ハマりやすい落とし穴 — 時間管理、1タブルール、答案検証
最後に、失敗の典型パターン5つ。
- 時間配分の失敗: 最初の1問に 30分使って残りが終わらない。難問は即 skip して最後に戻る。
- 1タブルール違反: kubernetes.io には新しいタブで開くリンクがある。常に同じタブ内で navigate すること。
- YAML インデント崩壊: vimrc がないと答案が丸ごと 0点になる。試験開始 30秒以内に vimrc を 1行打つ。
- 検証の省略: ポリシーを書いても本当に効いているか検証しないと点数が削られる。
kubectl auth can-i、kubectl run --rm -it test --image=busyboxを活用。 - コンテキスト忘れ: 問題ごとにクラスタが変わる。画面上部のコンテキスト切替コマンドを必ず実行する。
この5つを避けるだけで合格率が目に見えて上がる。
結論 — 資格はスタート地点、本当の価値は運用経験
Kubestronaut は「すでに上手い人がさっと取るマラソン」ではなく、「体系的に Kubernetes を勉強させる外圧」に近い。CKAD・CKA・CKS の3試験を通すなかで、RBAC、Pod Security Standards、NetworkPolicy、イメージ署名、GitOps、可観測性といった標準概念が自然と手に馴染む。
資格そのものが年収を決めるわけではない。とはいえ、同等経験で 12〜22% の報酬差、1年以内に 67% が昇給/転職に成功というデータは無視できない。それ以上に重要なのは、クラウドネイティブのエコシステムがすでにこのラダーの上で人を分類し始めているという事実だ。2026年後半にはアソシエイト試験が新卒採用の優遇条件、Kubestronaut がシニア SRE の標準シグナルとして根付くだろう。
References
- CNCF Certifications Overview — https://www.cncf.io/training/certification/
- Kubestronaut Program — https://www.linuxfoundation.org/kubestronaut
- CNCF Curriculum Repository — https://github.com/cncf/curriculum
- CKA Exam Curriculum — https://github.com/cncf/curriculum/blob/main/CKA_Curriculum_v1.31.pdf
- CKAD Exam Curriculum — https://github.com/cncf/curriculum/blob/main/CKAD_Curriculum.pdf
- CKS Exam Curriculum — https://github.com/cncf/curriculum/blob/main/CKS_Curriculum_v1.30.pdf
- KCNA Exam Curriculum — https://github.com/cncf/curriculum/blob/main/KCNA_Curriculum.pdf
- KCSA Exam Curriculum — https://github.com/cncf/curriculum/blob/main/KCSA_Curriculum.pdf
- Killer Shell Simulator — https://killer.sh
- KodeKloud — https://kodekloud.com/
- Linux Foundation Training — https://training.linuxfoundation.org/
- Learn CNCF — https://learn.cncf.io/
- Kubernetes Documentation — https://kubernetes.io/docs/
- Cilium Documentation — https://docs.cilium.io/
- Istio Documentation — https://istio.io/latest/docs/
- OpenTelemetry Documentation — https://opentelemetry.io/docs/
- Argo Project — https://argoproj.github.io/
- Prometheus Documentation — https://prometheus.io/docs/introduction/overview/
- Falco Documentation — https://falco.org/docs/
- Kyverno — https://kyverno.io/docs/
- OPA Gatekeeper — https://open-policy-agent.github.io/gatekeeper/website/
- Trivy — https://trivy.dev/
- KCD Seoul — https://community.cncf.io/kcd-seoul/
- KCD Tokyo — https://community.cncf.io/kcd-tokyo/
- Cloud Native Days Tokyo — https://cloudnativedays.jp/
- Stack Overflow Developer Survey 2025 — https://survey.stackoverflow.co/2025