Skip to content

Split View: Golden Kubestronaut 완전 로드맵 — 16개 CNCF 자격증 정복 가이드 (자격증별 공부 내용 포함, 2026)

|

Golden Kubestronaut 완전 로드맵 — 16개 CNCF 자격증 정복 가이드 (자격증별 공부 내용 포함, 2026)

프롤로그 — Kubestronaut, 그리고 그 위의 Golden

CNCF(Cloud Native Computing Foundation)의 Kubestronaut 프로그램은 클라우드 네이티브 자격증의 끝판왕 트랙이다.

  • Kubestronaut — Kubernetes 핵심 자격증 5개를 모두 취득한 사람. 멋진 재킷과 커뮤니티 배지를 받는다.
  • Golden Kubestronaut모든 CNCF 자격증 + LFCS를 취득한 사람. 2025년 4월 신설된 최상위 등급. 평생 유지되는 타이틀.

왜 이걸 하는가? 솔직하게:

  • 자격증이 실력을 증명하진 않는다. 하지만 체계적으로 클라우드 네이티브 생태계 전체를 훑게 만든다.
  • CKA/CKAD/CKS의 hands-on 시험은 진짜로 손을 쓰게 한다. 외워서는 못 푼다.
  • 채용·계약·승진에서 명확한 신호가 된다. 특히 DevOps·플랫폼 엔지니어.
  • 무엇보다 — Prometheus, Istio, Cilium, Argo, OpenTelemetry를 각각 깊게 볼 핑계가 생긴다. 평소엔 안 한다.

이 글은 16개 시험을 하나하나 분해한다. 형식, 도메인, 공부 내용, 난이도, 팁. 최대한 자세하게.

주의: CNCF는 새 자격증을 계속 추가한다. Golden Kubestronaut 요건도 그에 따라 갱신된다. 이 글은 2026년 5월 기준 — CNPA(2025년 10월 추가), CNPE(2026년 3월부터 요건)를 포함한다. 시험 전 항상 공식 페이지로 최신 요건을 확인하라.

1장 · 두 등급 — 5개 vs 16개

Kubestronaut — Kubernetes 5종

자격증풀네임형식
KCNAKubernetes and Cloud Native Associate객관식
KCSAKubernetes and Cloud Native Security Associate객관식
CKACertified Kubernetes Administrator핸즈온
CKADCertified Kubernetes Application Developer핸즈온
CKSCertified Kubernetes Security Specialist핸즈온

Golden Kubestronaut — 위 5개 + 아래 11개

그룹자격증
프로젝트 (8)PCA, ICA, CCA, CAPA, CGOA, CBA, OTCA, KCA
플랫폼 엔지니어링 (2)CNPA, CNPE
리눅스 (1)LFCS

합계: 15개 CNCF 자격증 + LFCS = 16개. 전부 통과하면 Golden Kubestronaut.

2장 · 시험 형식 두 종류 — 이 차이가 전부다

CNCF 시험은 딱 두 종류다. 준비 전략이 완전히 다르다.

Performance-based (핸즈온) — CKA, CKAD, CKS, CNPE, LFCS

  • 실제 터미널에서 진짜 Kubernetes 클러스터·리눅스 시스템을 다룬다.
  • 2시간. 여러 개의 실무 과제를 푼다.
  • 외워서는 절대 못 푼다. kubectl을 손에 익혀야 한다.
  • CKA/CKAD/CKS는 응시료에 재응시 1회 포함.
  • 점수 기준: 보통 CKA/CKS 66%, CKAD 66% 내외(공식 기준 확인).

Multiple-choice (객관식) — KCNA, KCSA, PCA, ICA, CCA, CAPA, CGOA, CBA, OTCA, KCA, CNPA

  • 객관식. KCNA는 90분.
  • 개념·아키텍처·용어 중심. 핸즈온 랩은 없다.
  • 상대적으로 빠르게 딸 수 있다 — Golden Kubestronaut의 "물량" 파트.
  • 그래도 실제로 그 프로젝트를 써본 경험이 있으면 압도적으로 유리하다.

전략의 핵심: 핸즈온 5종은 시간과 손이 필요하다. 객관식 11종은 지식의 폭이 필요하다. 이 둘을 섞어 일정을 짠다 (8장).

3장 · 추천 학습 순서 — 로드맵

순서가 중요하다. 쉬운 것이 어려운 것의 기반이 된다.

[1단계 · 기초]   KCNA → KCSA
                  (객관식, 생태계 전체 지도를 그린다)
[2단계 · 핸즈온 핵심]  CKAD → CKA → CKS
                  (CKS는 CKA 통과가 선행 조건. 손에 kubectl을 익힌다)
[3단계 · 프로젝트군]  CGOA → CAPA → PCA → OTCA → KCA → CBA → ICA → CCA
                  (객관식. 2단계에서 익힌 K8s 지식 위에 얹는다)
[4단계 · 플랫폼·리눅스]  LFCS → CNPA → CNPE
                  (LFCS는 핸즈온 리눅스. CNPE는 핸즈온 플랫폼 엔지니어링)
  • KCNA 먼저 — 생태계 전체 지도를 먼저 그린다. 나머지 모든 시험의 맥락이 된다.
  • CKAD를 CKA보다 먼저 권하는 경우가 많다 — 범위가 좁고 진입이 부드럽다. (반대 의견도 있다 — CKA가 더 근본적이라 먼저. 본인 배경에 따라.)
  • CKS는 무조건 CKA 통과 후 — 공식 선행 요건.
  • 프로젝트군은 2단계 후 — Kubernetes를 알아야 Istio·Cilium·Argo가 이해된다.

4장 · Kubernetes 5종 — 도메인과 공부 내용

KCNA — Kubernetes and Cloud Native Associate

  • 형식: 객관식, 90분. 난이도: 입문.
  • 도메인: Kubernetes Fundamentals 46%, Container Orchestration 22%, Cloud Native Architecture 16%, Cloud Native Observability 8%, Cloud Native Application Delivery 8%.
  • 공부 내용: Pod·Deployment·Service·Namespace 같은 핵심 오브젝트, 컨테이너 런타임과 OCI, 스케줄링 기초, 클라우드 네이티브 아키텍처(마이크로서비스, 자동확장, 12-factor), 관측성 3축(메트릭·로그·트레이스) 개념, CI/CD·GitOps·Helm 개념.
  • : 모든 여정의 출발점. 여기서 생태계 용어를 잡으면 나머지가 쉬워진다.

KCSA — Kubernetes and Cloud Native Security Associate

  • 형식: 객관식. 난이도: 입문~중급.
  • 공부 내용: Kubernetes 보안 4C(Cloud·Cluster·Container·Code), 위협 모델, RBAC 개념, Pod Security Standards, 네트워크 폴리시 개념, 공급망 보안, etcd·API 서버 보안, 인증·인가 흐름.
  • : CKS의 "개념판". KCSA로 보안 어휘를 잡고, CKS에서 손으로 구현한다.

CKAD — Certified Kubernetes Application Developer

  • 형식: 핸즈온, 2시간. 난이도: 중급.
  • 공부 내용: 애플리케이션 설계·빌드(멀티컨테이너 Pod 패턴, init container, Job/CronJob), 배포(Deployment 롤링업데이트·롤백, Helm 기초), 설정(ConfigMap·Secret, SecurityContext, ServiceAccount, 리소스 requests/limits), 관측성(probe — liveness·readiness·startup, 로그·디버깅), 네트워킹·스토리지(Service, NetworkPolicy 기초, PV/PVC).
  • : 개발자 관점. "앱을 K8s 위에서 굴리는" 능력. CKA보다 범위가 좁아 입문용으로 좋다.

CKA — Certified Kubernetes Administrator

  • 형식: 핸즈온, 2시간. 난이도: 중급~상급.
  • 공부 내용: 클러스터 아키텍처·설치·구성(kubeadm으로 클러스터 구축, 업그레이드, etcd 백업·복구), 워크로드·스케줄링, 서비스·네트워킹(CNI, CoreDNS, Ingress, Gateway API), 스토리지(StorageClass, PV/PVC 동적 프로비저닝), 트러블슈팅(노드·컨트롤플레인·앱 장애, 로그 분석) — 트러블슈팅 비중이 크다.
  • : 가장 "근본적인" 자격증. etcd 백업/복구와 클러스터 업그레이드는 거의 반드시 나온다. 손에 익혀라.

CKS — Certified Kubernetes Security Specialist

  • 형식: 핸즈온, 2시간. 선행 요건: CKA 통과. 난이도: 상급.
  • 공부 내용: 클러스터 셋업 강화(CIS 벤치마크, kube-bench), 시스템 강화(최소 권한, AppArmor·seccomp), 마이크로서비스 취약성 최소화(Pod Security Standards, OPA/Gatekeeper·Kyverno, mTLS), 공급망 보안(이미지 스캔, SBOM, 이미지 서명), 런타임 보안·모니터링(Falco, 감사 로그, behavioral analytics).
  • : 가장 어렵다. 도구가 많다(Falco, Trivy, kube-bench, AppArmor). 각 도구를 실제로 돌려봐야 한다.

5장 · 프로젝트 자격증군 — 8개 (전부 객관식)

CNCF 졸업·인큐베이팅 프로젝트별 자격증. 전부 객관식이라 빠르게 모을 수 있다.

PCA — Prometheus Certified Associate

  • 프로젝트: Prometheus (메트릭·모니터링).
  • 공부 내용: Prometheus 아키텍처(스크래핑, TSDB, 풀 모델), PromQL(셀렉터, 함수, 집계 — 가장 중요), exporter와 instrumentation, 알림(Alertmanager, 라우팅·억제), 서비스 디스커버리, 레코딩 룰.

ICA — Istio Certified Associate

  • 프로젝트: Istio (서비스 메시).
  • 공부 내용: 메시 아키텍처(데이터플레인 Envoy, 컨트롤플레인 istiod, 사이드카 vs ambient 모드), 트래픽 관리(VirtualService, DestinationRule, 카나리·미러링), 보안(mTLS, AuthorizationPolicy, PeerAuthentication), 관측성(분산 추적, 메트릭).

CCA — Cilium Certified Associate

  • 프로젝트: Cilium (eBPF 기반 네트워킹·보안).
  • 공부 내용: eBPF 기초, Cilium 아키텍처, CNI로서의 Cilium, 네트워크 폴리시(L3/L4/L7), Hubble로 관측성, 클러스터 메시, 로드밸런싱·kube-proxy 대체.

CAPA — Certified Argo Project Associate

  • 프로젝트: Argo (CD·Workflows·Rollouts·Events).
  • 공부 내용: Argo CD(GitOps 동기화, App of Apps, sync wave), Argo Workflows(DAG·step 워크플로), Argo Rollouts(카나리·블루그린, 분석), Argo Events(이벤트 기반 트리거).

CGOA — GitOps Certified Associate

  • 프로젝트: GitOps 원칙 (특정 도구가 아닌 방법론).
  • 공부 내용: GitOps 4원칙(선언적, 버전관리·불변, 자동 pull, 지속 조정), push vs pull 모델, drift 감지·자가 치유, Flux·Argo CD 같은 도구의 위치, 비밀 관리.

CBA — Certified Backstage Associate

  • 프로젝트: Backstage (개발자 포털).
  • 공부 내용: 개발자 포털 개념, Software Catalog(엔티티 모델 — Component·API·System), Software Templates(스캐폴딩), TechDocs, 플러그인 아키텍처, Backstage 배포.

OTCA — OpenTelemetry Certified Associate

  • 프로젝트: OpenTelemetry (관측성 표준).
  • 공부 내용: 관측성 3축(traces·metrics·logs)과 OTel의 통합 모델, instrumentation(자동 vs 수동), OpenTelemetry Collector(receiver·processor·exporter 파이프라인), 컨텍스트 전파, 시맨틱 컨벤션, OTLP 프로토콜.

KCA — Kyverno Certified Associate

  • 프로젝트: Kyverno (정책 엔진).
  • 공부 내용: Policy as Code 개념, Kyverno 정책 타입(validate·mutate·generate·verifyImages), admission controller로서의 동작, ClusterPolicy vs Policy, 정책 예외, CKS의 OPA/Gatekeeper와의 비교.

학습 효율 팁: 이 8개는 2단계(CKA/CKAD/CKS)를 끝낸 직후 몰아서 보면 시너지가 크다. K8s 오브젝트 모델을 알면 Istio의 CRD도, Argo의 CRD도, Kyverno의 정책도 같은 패턴으로 읽힌다.

6장 · 플랫폼 엔지니어링 + 리눅스 — CNPA, CNPE, LFCS

LFCS — Linux Foundation Certified System Administrator

  • 형식: 핸즈온. 공부 내용: 리눅스 운영 전반 — 파일시스템·스토리지, 사용자·권한, 프로세스·서비스(systemd), 네트워킹, 패키지 관리, 셸 스크립팅, 기본 보안.
  • : CNCF 자격증은 아니지만 Golden 요건. K8s 핸즈온 시험들의 기반 체력이기도 하다. vim·bash·grep·sed가 손에 익는다.

CNPA — Cloud Native Platform Engineering Associate

  • 형식: 객관식. 추가 시점: 2025년 10월 15일부터 Golden 요건.
  • 공부 내용: 플랫폼 엔지니어링 개념, 내부 개발자 플랫폼(IDP), 골든 패스(golden path), 개발자 경험(DevEx), 셀프서비스 인프라, 플랫폼 as a product 사고방식.

CNPE — Certified Cloud Native Platform Engineer

  • 형식: 핸즈온. 요건 시점: 2026년 3월 1일부터 Golden 요건.
  • 공부 내용: 내부 개발자 플랫폼을 실제로 구축·운영하는 능력 — 여러 CNCF 도구(Argo, Backstage, 관측성 스택 등)를 엮어 셀프서비스 플랫폼을 만든다. 앞선 모든 자격증의 종합편 성격.
  • : 가장 늦게, 마지막에. 다른 자격증에서 익힌 도구들을 조립하는 시험이라 맨 끝이 자연스럽다.

7장 · 핸즈온 시험 실전 팁

CKA·CKAD·CKS·CNPE·LFCS — 핸즈온 5종은 별도의 기술이 필요하다.

환경에 익숙해지기

  • kubectl 별칭: 시험 시작하자마자 alias k=kubectl. 손가락 시간을 아낀다.
  • 자동완성: source <(kubectl completion bash).
  • kubectl explain: 필드 구조가 기억 안 나면 kubectl explain pod.spec.containers. 문서를 안 떠나도 된다.
  • 공식 문서 허용: 시험 중 kubernetes.io/docs를 볼 수 있다. 하지만 검색에 의존하면 시간이 부족하다. 자주 쓰는 건 외워라.

속도 전략

  • --dry-run=client -o yaml: 오브젝트를 처음부터 타이핑하지 마라. k run·k create로 YAML 골격을 뽑고 수정한다.
  • 시간 배분: 배점이 큰 문제부터. 막히면 플래그를 달고 넘어간다 — 한 문제에 매몰되지 마라.
  • 컨텍스트 전환: 각 문제는 다른 클러스터일 수 있다. 문제마다 주어진 kubectl config use-context 명령을 반드시 먼저 실행.
  • 검증: 답을 만든 뒤 k get·k describe로 실제로 동작하는지 확인. 부분 점수가 있다.

연습 환경

  • killer.sh — CKA/CKAD/CKS 응시료에 포함된 시뮬레이터. 실제 시험보다 어렵다. 두 번 돌릴 수 있다.
  • 로컬 클러스터kind·minikube·k3d로 직접 깨고 고친다.
  • 킬러 연습: etcd 백업/복구, 클러스터 업그레이드, 깨진 노드 살리기 — CKA 단골. 손에 익을 때까지.

vim 최소 생존 기술

핸즈온 시험은 vim을 쓰게 된다. 최소한:

  • YAML 들여쓰기: :set expandtab tabstop=2 shiftwidth=2
  • 비주얼 블록으로 다중 라인 들여쓰기, :%s로 치환, dd/yy/p.

8장 · 비용·일정 관리

비용 감각

  • CKA·CKAD·CKS: 각 $395 내외 (재응시 1회 포함).
  • KCNA·KCSA·프로젝트 객관식들: 각 $250 내외.
  • LFCS: 핸즈온, 별도 가격.
  • 전체 16개는 상당한 금액이다. 단, CNCF는 번들·세일·바우처를 자주 낸다. Kubestronaut/Golden 번들을 노려라. KubeCon 시즌 할인도 흔하다.
  • 자격증은 보통 유효기간이 있다 (대개 2~3년, 자격증마다 다름). Golden Kubestronaut 타이틀 자체는 평생이지만, 개별 자격증 갱신 정책은 확인하라.

일정 짜기 — 핸즈온과 객관식을 섞어라

번아웃을 피하는 핵심: 무거운 핸즈온과 가벼운 객관식을 번갈아.

예시 페이스 (개인 사정에 맞게 조정):
  월 1   KCNA + KCSA           (객관식, 워밍업)
  월 2-3 CKAD → CKA            (핸즈온, 집중)
  월 4   CGOA + CAPA + PCA     (객관식, 회복 + 물량)
  월 5   CKS                   (핸즈온, 최난도)
  월 6   OTCA + KCA + CBA      (객관식)
  월 7   ICA + CCA + CNPA      (객관식)
  월 8   LFCS → CNPE           (핸즈온, 종합편)
  • 핸즈온 직후엔 객관식으로 회복.
  • CKS는 CKA 충분히 익은 뒤 — 바로 연달아 가지 마라.
  • CNPE는 맨 끝 — 다른 도구를 다 익힌 뒤 조립.
  • 한 번에 다 하려 하지 마라. 6~12개월 페이스가 현실적이다.

떨어졌을 때

핸즈온 시험은 재응시가 포함돼 있다. 떨어져도 정상이다. 무엇이 부족했는지 메모하고 — 보통 "특정 작업의 속도" 또는 "특정 도구 미숙" — 그 부분만 집중 연습 후 재응시.

에필로그 — 자격증이 아니라 여정

Golden Kubestronaut의 진짜 가치는 재킷이 아니다. 클라우드 네이티브 생태계 전체를 — Kubernetes 코어부터 Prometheus·Istio·Cilium·Argo·OpenTelemetry·Backstage·Kyverno까지 — 체계적으로, 빠짐없이 훑게 된다는 것이다.

평소엔 안 한다. "언젠가 Cilium 깊게 봐야지", "Backstage 한 번 써봐야지" 하고 미룬다. 자격증은 그 미룸을 끝내는 강제 장치다. 그리고 핸즈온 5종은 — 외워서는 못 푸는 시험은 — 실제로 손을 쓰게 만든다.

순서대로, 핸즈온과 객관식을 섞어, 6~12개월. 끝내고 나면 자격증 16개보다 클라우드 네이티브 전 영역의 멘탈 모델이 남는다. 그게 진짜 보상이다.

학습 체크리스트

  1. KCNA로 생태계 전체 지도를 먼저 그렸는가?
  2. 핸즈온 5종(CKA·CKAD·CKS·CNPE·LFCS)과 객관식 11종을 구분해 일정을 짰는가?
  3. kubectl 별칭·자동완성·--dry-run이 손에 익었는가?
  4. etcd 백업/복구, 클러스터 업그레이드를 직접 해봤는가?
  5. killer.sh 시뮬레이터를 돌렸는가?
  6. CKS 전에 CKA를 통과했는가 (선행 요건)?
  7. 프로젝트 8종을 CKA/CKAD/CKS 직후로 배치했는가?
  8. 핸즈온과 객관식을 번갈아 배치해 번아웃을 피했는가?
  9. CNCF 번들·바우처·KubeCon 할인을 확인했는가?
  10. 각 자격증의 유효기간·갱신 정책을 확인했는가?

안티패턴 7가지

  1. KCNA 없이 바로 CKA — 생태계 맥락 없이 헤맨다.
  2. 핸즈온 시험을 "외워서" 준비 — 절대 안 통한다.
  3. 시험 중 한 문제에 매몰 — 플래그 달고 넘어가라.
  4. 문제마다 컨텍스트 전환 명령을 안 함 — 엉뚱한 클러스터에 작업.
  5. 핸즈온만 연달아 — 번아웃. 객관식으로 회복하라.
  6. CKA 미숙한 채 CKS 도전 — 도구가 너무 많아 무너진다.
  7. 정가로만 결제 — 번들·세일을 놓치면 큰 손해.

다음 글 예고

다음 글 후보: CKA 시험 실전 워크스루 — etcd 백업부터 클러스터 업그레이드까지, CKS 도구 총정리 — Falco·Trivy·kube-bench·OPA·Kyverno 핸즈온, CNPE를 위한 내부 개발자 플랫폼 구축 — Backstage + Argo + 관측성 스택.

"자격증은 목적지가 아니라 커리큘럼이다. Golden Kubestronaut의 보상은 타이틀이 아니라, 그 과정에서 강제로 배우게 되는 생태계 전체다."

— Golden Kubestronaut 완전 로드맵, 끝.

The Complete Golden Kubestronaut Roadmap — Conquering All 16 CNCF Certifications (With Per-Cert Study Content, 2026)

Prologue — Kubestronaut, and the Golden tier above it

The Kubestronaut program from the CNCF (Cloud Native Computing Foundation) is the ultimate track for cloud native certifications.

  • Kubestronaut — someone who has earned all 5 core Kubernetes certifications. You get a slick jacket and a community badge.
  • Golden Kubestronaut — someone who has earned every CNCF certification plus LFCS. The top tier, introduced in April 2025. A title held for life.

Why do this? Honestly:

  • Certifications don't prove skill. But they do force you to systematically sweep the entire cloud native ecosystem.
  • The hands-on exams for CKA/CKAD/CKS really make you use your hands. You can't pass by memorizing.
  • They're a clear signal in hiring, contracts, and promotions. Especially for DevOps and platform engineers.
  • Above all — you get an excuse to go deep on Prometheus, Istio, Cilium, Argo, and OpenTelemetry individually. Normally you won't.

This post breaks down all 16 exams one by one. Format, domains, study content, difficulty, tips. In as much detail as possible.

Note: CNCF keeps adding new certifications. The Golden Kubestronaut requirements get updated accordingly. This post is current as of May 2026 — it includes CNPA (added October 2025) and CNPE (a requirement from March 2026). Always check the official page for the latest requirements before you sit an exam.

Chapter 1 · Two tiers — 5 vs 16

Kubestronaut — the Kubernetes 5

CertificationFull nameFormat
KCNAKubernetes and Cloud Native AssociateMultiple-choice
KCSAKubernetes and Cloud Native Security AssociateMultiple-choice
CKACertified Kubernetes AdministratorHands-on
CKADCertified Kubernetes Application DeveloperHands-on
CKSCertified Kubernetes Security SpecialistHands-on

Golden Kubestronaut — the 5 above plus the 11 below

GroupCertifications
Project (8)PCA, ICA, CCA, CAPA, CGOA, CBA, OTCA, KCA
Platform engineering (2)CNPA, CNPE
Linux (1)LFCS

Total: 15 CNCF certifications plus LFCS = 16. Pass all of them and you are a Golden Kubestronaut.

Chapter 2 · The two exam formats — this difference is everything

CNCF exams come in exactly two kinds. The preparation strategy is completely different for each.

Performance-based (hands-on) — CKA, CKAD, CKS, CNPE, LFCS

  • You work with real Kubernetes clusters and Linux systems in an actual terminal.
  • 2 hours. You solve multiple practical tasks.
  • You absolutely cannot pass by memorizing. You have to make kubectl second nature.
  • CKA/CKAD/CKS include one free retake in the exam fee.
  • Passing score: typically around 66% for CKA/CKS and 66% for CKAD (verify against the official criteria).

Multiple-choice — KCNA, KCSA, PCA, ICA, CCA, CAPA, CGOA, CBA, OTCA, KCA, CNPA

  • Multiple choice. KCNA is 90 minutes.
  • Concept-, architecture-, and terminology-focused. No hands-on labs.
  • Relatively quick to earn — the "volume" part of Golden Kubestronaut.
  • Still, having actually used the project gives you an overwhelming advantage.

The core of the strategy: the 5 hands-on certs need time and hands. The 11 multiple-choice certs need breadth of knowledge. You interleave the two to build your schedule (Chapter 8).

Chapter 3 · The recommended study order — the roadmap

Order matters. The easy ones become the foundation for the hard ones.

[Stage 1 · Foundation]   KCNA -> KCSA
                  (multiple-choice; draw the whole ecosystem map)
        |
        v
[Stage 2 · Hands-on core]  CKAD -> CKA -> CKS
                  (CKS requires passing CKA first; make kubectl second nature)
        |
        v
[Stage 3 · Project group]  CGOA -> CAPA -> PCA -> OTCA -> KCA -> CBA -> ICA -> CCA
                  (multiple-choice; layer on top of the K8s knowledge from Stage 2)
        |
        v
[Stage 4 · Platform and Linux]  LFCS -> CNPA -> CNPE
                  (LFCS is hands-on Linux; CNPE is hands-on platform engineering)
  • KCNA first — draw the whole ecosystem map up front. It becomes the context for every other exam.
  • CKAD before CKA is often recommended — the scope is narrower and the entry is smoother. (There's a counterargument too — CKA is more fundamental, so do it first. It depends on your background.)
  • CKS only after passing CKA — that's the official prerequisite.
  • The project group comes after Stage 2 — you need to know Kubernetes for Istio, Cilium, and Argo to make sense.

Chapter 4 · The Kubernetes 5 — domains and study content

KCNA — Kubernetes and Cloud Native Associate

  • Format: multiple-choice, 90 minutes. Difficulty: entry-level.
  • Domains: Kubernetes Fundamentals 46%, Container Orchestration 22%, Cloud Native Architecture 16%, Cloud Native Observability 8%, Cloud Native Application Delivery 8%.
  • Study content: core objects like Pod, Deployment, Service, and Namespace; container runtimes and OCI; scheduling basics; cloud native architecture (microservices, autoscaling, 12-factor); the three observability pillars (metrics, logs, traces) as concepts; CI/CD, GitOps, and Helm concepts.
  • Tip: the starting point of the whole journey. Nail the ecosystem terminology here and everything else gets easier.

KCSA — Kubernetes and Cloud Native Security Associate

  • Format: multiple-choice. Difficulty: entry to intermediate.
  • Study content: the Kubernetes security 4C (Cloud, Cluster, Container, Code); threat models; RBAC concepts; Pod Security Standards; network policy concepts; supply chain security; etcd and API server security; the authentication and authorization flow.
  • Tip: the "concept edition" of CKS. Use KCSA to grab the security vocabulary, then implement it by hand in CKS.

CKAD — Certified Kubernetes Application Developer

  • Format: hands-on, 2 hours. Difficulty: intermediate.
  • Study content: application design and build (multi-container Pod patterns, init containers, Job/CronJob); deployment (Deployment rolling updates and rollbacks, Helm basics); configuration (ConfigMap and Secret, SecurityContext, ServiceAccount, resource requests/limits); observability (probes — liveness, readiness, startup; logs and debugging); networking and storage (Service, NetworkPolicy basics, PV/PVC).
  • Tip: the developer's perspective. The ability to "run apps on top of K8s." The scope is narrower than CKA, which makes it a good entry point.

CKA — Certified Kubernetes Administrator

  • Format: hands-on, 2 hours. Difficulty: intermediate to advanced.
  • Study content: cluster architecture, installation, and configuration (building a cluster with kubeadm, upgrades, etcd backup and restore); workloads and scheduling; services and networking (CNI, CoreDNS, Ingress, Gateway API); storage (StorageClass, PV/PVC dynamic provisioning); troubleshooting (node, control plane, and app failures, log analysis) — troubleshooting carries a large weight.
  • Tip: the most "fundamental" certification. etcd backup/restore and cluster upgrades will almost certainly appear. Make them second nature.

CKS — Certified Kubernetes Security Specialist

  • Format: hands-on, 2 hours. Prerequisite: passing CKA. Difficulty: advanced.
  • Study content: cluster setup hardening (CIS benchmarks, kube-bench); system hardening (least privilege, AppArmor and seccomp); minimizing microservice vulnerabilities (Pod Security Standards, OPA/Gatekeeper and Kyverno, mTLS); supply chain security (image scanning, SBOM, image signing); runtime security and monitoring (Falco, audit logs, behavioral analytics).
  • Tip: the hardest one. There are a lot of tools (Falco, Trivy, kube-bench, AppArmor). You have to actually run each tool.

Chapter 5 · The project certification group — 8 certs (all multiple-choice)

Certifications tied to individual CNCF graduated and incubating projects. They're all multiple-choice, so you can collect them quickly.

PCA — Prometheus Certified Associate

  • Project: Prometheus (metrics and monitoring).
  • Study content: Prometheus architecture (scraping, TSDB, pull model); PromQL (selectors, functions, aggregation — the most important part); exporters and instrumentation; alerting (Alertmanager, routing and inhibition); service discovery; recording rules.

ICA — Istio Certified Associate

  • Project: Istio (service mesh).
  • Study content: mesh architecture (the Envoy data plane, the istiod control plane, sidecar vs ambient mode); traffic management (VirtualService, DestinationRule, canary and mirroring); security (mTLS, AuthorizationPolicy, PeerAuthentication); observability (distributed tracing, metrics).

CCA — Cilium Certified Associate

  • Project: Cilium (eBPF-based networking and security).
  • Study content: eBPF fundamentals; Cilium architecture; Cilium as a CNI; network policy (L3/L4/L7); observability with Hubble; cluster mesh; load balancing and kube-proxy replacement.

CAPA — Certified Argo Project Associate

  • Project: Argo (CD, Workflows, Rollouts, Events).
  • Study content: Argo CD (GitOps sync, App of Apps, sync waves); Argo Workflows (DAG and step workflows); Argo Rollouts (canary and blue-green, analysis); Argo Events (event-driven triggers).

CGOA — GitOps Certified Associate

  • Project: GitOps principles (a methodology, not a specific tool).
  • Study content: the 4 GitOps principles (declarative; versioned and immutable; pulled automatically; continuously reconciled); push vs pull models; drift detection and self-healing; where tools like Flux and Argo CD fit; secret management.

CBA — Certified Backstage Associate

  • Project: Backstage (developer portal).
  • Study content: developer portal concepts; the Software Catalog (the entity model — Component, API, System); Software Templates (scaffolding); TechDocs; the plugin architecture; deploying Backstage.

OTCA — OpenTelemetry Certified Associate

  • Project: OpenTelemetry (the observability standard).
  • Study content: the three observability pillars (traces, metrics, logs) and OTel's unified model; instrumentation (automatic vs manual); the OpenTelemetry Collector (the receiver, processor, exporter pipeline); context propagation; semantic conventions; the OTLP protocol.

KCA — Kyverno Certified Associate

  • Project: Kyverno (policy engine).
  • Study content: the Policy as Code concept; Kyverno policy types (validate, mutate, generate, verifyImages); how it works as an admission controller; ClusterPolicy vs Policy; policy exceptions; a comparison with CKS's OPA/Gatekeeper.

Study efficiency tip: these 8 have huge synergy if you binge them right after finishing Stage 2 (CKA/CKAD/CKS). Once you know the K8s object model, Istio's CRDs, Argo's CRDs, and Kyverno's policies all read with the same pattern.

Chapter 6 · Platform engineering plus Linux — CNPA, CNPE, LFCS

LFCS — Linux Foundation Certified System Administrator

  • Format: hands-on. Study content: general Linux operations — filesystems and storage, users and permissions, processes and services (systemd), networking, package management, shell scripting, basic security.
  • Tip: it's not a CNCF certification, but it's a Golden requirement. It's also the base fitness for the K8s hands-on exams. vim, bash, grep, and sed become second nature.

CNPA — Cloud Native Platform Engineering Associate

  • Format: multiple-choice. Added: a Golden requirement from October 15, 2025.
  • Study content: platform engineering concepts; the internal developer platform (IDP); the golden path; developer experience (DevEx); self-service infrastructure; the platform-as-a-product mindset.

CNPE — Certified Cloud Native Platform Engineer

  • Format: hands-on. Requirement date: a Golden requirement from March 1, 2026.
  • Study content: the ability to actually build and operate an internal developer platform — weaving together multiple CNCF tools (Argo, Backstage, an observability stack, and so on) to create a self-service platform. It has the character of a capstone for all the preceding certifications.
  • Tip: do it last, at the very end. It's an exam about assembling tools you learned in the other certifications, so it's natural to put it at the end.

Chapter 7 · Hands-on exam tactics

CKA, CKAD, CKS, CNPE, LFCS — the 5 hands-on certs require a distinct skill set.

Getting comfortable with the environment

  • kubectl alias: the moment the exam starts, run alias k=kubectl. It saves finger time.
  • Autocompletion: source <(kubectl completion bash).
  • kubectl explain: when you can't remember the field structure, run kubectl explain pod.spec.containers. You don't have to leave the documentation.
  • Official docs allowed: you can view kubernetes.io/docs during the exam. But if you rely on search, you'll run out of time. Memorize the things you use often.

Speed strategy

  • --dry-run=client -o yaml: don't type objects from scratch. Generate a YAML skeleton with k run or k create, then edit it.
  • Time allocation: start with the high-point questions. If you get stuck, flag it and move on — don't get bogged down in a single question.
  • Context switching: each question may be a different cluster. For every question, always run first the given kubectl config use-context command.
  • Verification: after you build an answer, check whether it actually works with k get and k describe. There is partial credit.

Practice environments

  • killer.sh — the simulator included in the CKA/CKAD/CKS exam fee. It's harder than the actual exam. You can run it twice.
  • Local clusters — break and fix things yourself with kind, minikube, and k3d.
  • Killer practice: etcd backup/restore, cluster upgrades, reviving a broken node — CKA regulars. Practice until they're second nature.

Minimal vim survival skills

The hands-on exams will have you using vim. At a minimum:

  • YAML indentation: :set expandtab tabstop=2 shiftwidth=2
  • Multi-line indentation with visual block, substitution with :%s, and dd/yy/p.

Chapter 8 · Cost and schedule management

A sense of the cost

  • CKA, CKAD, CKS: around 395 USD each (one free retake included).
  • KCNA, KCSA, and the project multiple-choice exams: around 250 USD each.
  • LFCS: hands-on, priced separately.
  • All 16 together is a substantial amount. That said, CNCF frequently releases bundles, sales, and vouchers. Watch for the Kubestronaut/Golden bundles. KubeCon-season discounts are common too.
  • Certifications typically have a validity period (usually 2 to 3 years, varying by certification). The Golden Kubestronaut title itself is for life, but check the renewal policy for the individual certifications.

Building the schedule — interleave hands-on and multiple-choice

The key to avoiding burnout: alternate heavy hands-on exams with light multiple-choice ones.

Example pace (adjust to your own circumstances):
  Month 1   KCNA + KCSA           (multiple-choice, warmup)
  Month 2-3 CKAD -> CKA           (hands-on, focus)
  Month 4   CGOA + CAPA + PCA     (multiple-choice, recovery + volume)
  Month 5   CKS                   (hands-on, hardest)
  Month 6   OTCA + KCA + CBA      (multiple-choice)
  Month 7   ICA + CCA + CNPA      (multiple-choice)
  Month 8   LFCS -> CNPE          (hands-on, capstone)
  • Multiple-choice right after hands-on for recovery.
  • CKS only after CKA is well settled — don't go straight from one to the other.
  • CNPE at the very end — assemble after you've learned all the other tools.
  • Don't try to do it all at once. A 6-to-12-month pace is realistic.

When you fail

The hands-on exams include a retake. Failing is normal. Note what was lacking — usually "speed on a specific task" or "unfamiliarity with a specific tool" — and after focused practice on just that part, retake it.

Epilogue — not a certification, but a journey

The real value of Golden Kubestronaut isn't the jacket. It's that you systematically and exhaustively sweep the entire cloud native ecosystem — from the Kubernetes core to Prometheus, Istio, Cilium, Argo, OpenTelemetry, Backstage, and Kyverno.

Normally you won't. You put it off — "someday I'll go deep on Cilium," "I should try Backstage sometime." The certification is the forcing mechanism that ends the procrastination. And the 5 hands-on certs — the exams you can't pass by memorizing — actually make you use your hands.

In order, interleaving hands-on and multiple-choice, over 6 to 12 months. When you finish, what's left is not 16 certifications but a mental model of the entire cloud native domain. That's the real reward.

Study checklist

  1. Did you draw the whole ecosystem map first with KCNA?
  2. Did you build your schedule by separating the 5 hands-on certs (CKA, CKAD, CKS, CNPE, LFCS) from the 11 multiple-choice certs?
  3. Are the kubectl alias, autocompletion, and --dry-run second nature?
  4. Have you done etcd backup/restore and cluster upgrades yourself?
  5. Did you run the killer.sh simulator?
  6. Did you pass CKA before CKS (the prerequisite)?
  7. Did you place the 8 project certs right after CKA/CKAD/CKS?
  8. Did you alternate hands-on and multiple-choice to avoid burnout?
  9. Did you check for CNCF bundles, vouchers, and KubeCon discounts?
  10. Did you check each certification's validity period and renewal policy?

7 anti-patterns

  1. Jumping straight to CKA without KCNA — you flounder with no ecosystem context.
  2. Preparing for hands-on exams "by memorizing" — it absolutely doesn't work.
  3. Getting bogged down in one question during the exam — flag it and move on.
  4. Not running the context-switch command for each question — you work on the wrong cluster.
  5. Doing only hands-on back to back — burnout. Recover with multiple-choice.
  6. Attempting CKS while still shaky on CKA — too many tools, and you collapse.
  7. Paying full price only — missing bundles and sales is a big loss.

Next post preview

Candidates for the next post: A CKA exam hands-on walkthrough — from etcd backup to cluster upgrades, A complete roundup of CKS tools — hands-on with Falco, Trivy, kube-bench, OPA, and Kyverno, Building an internal developer platform for CNPE — Backstage plus Argo plus an observability stack.

"A certification is not a destination but a curriculum. The reward of Golden Kubestronaut is not the title, but the entire ecosystem you're forced to learn along the way."

— The Complete Golden Kubestronaut Roadmap, end.