Introduction
J’avais un peu annoncé la couleur lors de mon précédent post “À quoi ça sert, des certifs en 2025 ?”.
J’ai passé, avec succès, les 5 certifications “officielles” de la CNCF / de Kubernetes, ce qui devrait me donner (pour l’instant ça n’est pas officiel, a priori ce n’est pas immédiat) le titre tant convoité (ou non ?) de Kubestronaut.
Et comme c’est un side project sur le long cours (j’ai commencé en 2025 le parcours complet), je vous propose un petit REX de comment je l’ai vécu.
Note : pas mal de gens ont déjà raconté leur expérience, et il y a déjà de supers articles de la communauté Cloud Native FR. Je vais essayer de ne pas trop faire de redite et je vous ai mis plein de liens en fin d’article vers d’autres ressources similaires en français.
C’est quoi ces certifs déjà ??
Les 5 certifications officielles Kubernetes de la CNCF sont :
- KCNA (Kubernetes and Cloud Native Associate) : certification d’entrée de gamme qui valide les concepts de base de Kubernetes et du cloud native
- KCSA (Kubernetes and Cloud Native Security Associate) : certification d’entrée de gamme focalisée sur les concepts de sécurité dans Kubernetes
- CKA (Certified Kubernetes Administrator) : certification pratique qui valide les compétences d’administration d’un cluster Kubernetes
- CKAD (Certified Kubernetes Application Developer) : certification pratique qui valide les compétences de développement d’applications sur Kubernetes
- CKS (Certified Kubernetes Security Specialist) : certification pratique avancée qui valide les compétences en sécurisation d’un cluster Kubernetes (prérequis : CKA)
Pourquoi Kubestronaut ??
D’abord, pour ceux qui ne me connaissent pas, je suis expert de Kubernetes depuis 2017/2018, donc j’aurais pu avoir ces certifs, ou au minimum un sous-ensemble de ces 5 certifs depuis longtemps. Mais ayant toujours travaillé chez des clients finaux (donc pas de consulting, que ce soit en freelance ou en ESN, où avoir un papier peut apporter un peu de légitimité complémentaire pour décrocher un client), je n’en ai jamais ressenti le besoin.
Je ne vais pas mentir et dire que je n’avais pas du tout ENVIE de les avoir. C’est toujours agréable de se dire qu’on a la CNCF qui a validé officiellement qu’on sait de quoi on parle (même si en vrai, les compétences validées sont discutables. On en reparlera). Mais le tarif prohibitif (en tout cas si j’avais dû les payer de ma poche) m’avait toujours rebuté.
La moula
Car OUI, ça coûte bonbon (pour rester poli).
- Comptez 445$ l’unité pour les CKA, CKAD, CKS
- 250$ l’unité pour les KCNA / KCSA
How will the CKA benefit me?
- Credential Recognition
- Career Advancement
- Networking Opportunities
- Cross-industry Career Opportunities
Source : https://training.linuxfoundation.org
C’est bien gentil mais ça fait quand même plus de 1500€. Heureusement, on peut compter sur les promos très régulièrement et des prix de gros via des bundles pour diminuer la douloureuse.
Le but du jeu est de trouver la meilleure combinaison Bundle + promo pour économiser le plus, et a priori à présent, le mieux que j’ai trouvé est d’acheter pendant la “Cyber Monday week” (-50/-60% selon les bundles), et d’acheter séparément le bundle KCNA+KCSA à -60% et CKA+CKAD+CKS également à -60% (le bundle avec les 5 est moins intéressant car plafonné à -50%)
Ce qui fait au total un peu plus de 600€ (tout de même).
À partir de là, vous avez 1 an pour passer les 5 certifs (mais vous pouvez le faire en 2 fois. C’est ce que j’ai fait en prenant les CKx fin 2024, les KCxA en 2025).
Note : mon employeur m’a payé les CKx, dans l’idée de motiver des juniors à passer sérieusement ces certifs. Sans cela, je ne l’aurais probablement jamais fait.
Déroulé et difficulté
Je ne vais pas présenter les examens dans l’ordre où je les ai passés, mais plutôt dans l’ordre de difficulté dans lequel on les présente d’habitude. Car, a posteriori, je trouve que c’est relativement représentatif, de mon point de vue, de leur difficulté réelle.
KCNA : un QCM de culture générale sur le Cloud Native. Vraiment, payer 250$ pour ça, c’est du vol. C’est vraiment tout ce que je déteste dans les certifs (dont je parlais dans l’article sur les certifications techniques). Sur les 60 questions, il n’y a toujours qu’une bonne réponse et on peut “deviner” les 3/4 juste en éliminant les mauvaises réponses, souvent ridicules. Pour moi, la KCNA n’a aucune valeur technique. J’ai fait 97%, ce qui correspond à 2 erreurs sur 60, probablement des questions ambiguës ou des mauvaises réponses où j’ai cherché “trop compliqué” (la réponse la plus simple est la bonne, il faut ignorer les edges cases que seuls les experts peuvent connaître). Je l’ai terminé en 30 minutes au lieu des 90.
KCSA : un QCM un poil plus corsé. J’y suis allé là aussi sans préparation, et j’ai fait un score honnête (93%, 4 fautes). Certaines questions m’ont donné plus de fil à retordre. Il y a une ou deux questions sur le “NIST SP 800-161 Rev. 1” que je ne connaissais pas, et 4-5 questions sur lesquelles je voyais 2 réponses “moyennes” plausibles, sans pour autant parvenir à les départager parce qu’à mon avis pas 100% exactes. Ça peut être un problème de compréhension de l’anglais de ma part, ou juste que je ne suis pas aussi bon que je le pense. 93, ça reste très honnête, sachant qu’on a droit à 15 fautes. Je l’ai terminé en 50 minutes car j’ai passé beaucoup de temps à réfléchir sur ces fameuses questions que je trouvais ambiguës.
CKAD : une des deux certifications historiques. Être Certified Kubernetes Application Developer fait de vous quelqu’un capable de “concevoir, construire et déployer des applications cloud native”. Ce qu’il y a de bien avec les CKx, c’est que ce sont des examens pratiques. On a une liste de ~17 tâches simples à réaliser en 2h sur des machines virtuelles. Si vous y arrivez, ça veut dire que vous êtes capables techniquement de réaliser de vraies tâches sur de vrais clusters, pas juste que vous avez bachoté. L’inconvénient, c’est que les tâches à réaliser sont extrêmement lointaines de la réalité des tâches qu’on doit faire : créer des manifestes YAML de deployments et de services Kubernetes à la main. Personne ne fait ça (enfin, j’espère ?). En termes de difficulté, j’ai peut-être eu de la chance, mais je l’ai trouvée triviale. Je l’ai terminée en 1h au lieu de 2 et j’ai eu quasiment 100%.
CKA : l’autre certification historique. Là aussi, 17 exercices pour manipuler des applications dans Kubernetes et aussi jouer un peu avec les composants du control plane (notamment l’api-server et etcd). Petit accident de parcours ici, j’ai bien réussi les simulateurs (on en reparlera) et pour autant, je n’ai pas réussi entièrement à finir au bout des 2h et j’ai eu un score assez médiocre (71%). Au-delà des connaissances précédentes nécessaires pour la CKAD, il faut avoir une très bonne connaissance des clusters créés avec kubeadm puisque vous allez manipuler et modifier 17 clusters créés de cette manière.
CKS : la dernière certification pratique (en dehors des QCM), mais avec un focus sur la sécurité par rapport à la CKA / CKAD. Celle-ci a réellement de la valeur selon moi. Elle est à la fois complexe, avec un panel assez large d’aspects à maîtriser, et surtout utile, car elle couvre des sujets réalistes en termes de sécurité, quel que soit le cluster. Contrairement à la CKA / CKAD, on repart vraiment avec des compétences qu’on imagine utiliser en production dans un scénario plus réaliste que les clusters kubeadm fournis.
Aparté : PSI proctored exam
Vraiment un des trucs que je déteste le plus avec ces certifications. Contrairement à d’autres certifications tech qui peuvent être passées soit à la maison sous surveillance, soit dans une salle gérée par un organisme spécialisé, les certifs CNCF ne peuvent être passées QUE à distance via “proctored exam”.
N’ayons pas peur des mots, l’expérience est désastreuse. Je ne compte pas les retours que j’ai pu avoir de gens qui ont perdu un “try” à cause de bugs du logiciel ou autre problème technique. À titre perso, j’ai dû tester plusieurs machines pour en trouver une qui fonctionnait avec leur bouse de “navigateur sécurisé”. Et encore, parce que je m’y suis pris suffisamment à l’avance et que j’ai fait le test.
Ça, plus le fait d’avoir à sa disposition une pièce fermée, sans papiers/affiches, sans caméras, sans écrans, dont il va falloir faire le tour en balayant de bas en haut à 360° pour prouver à l’examinateur que “non, c’est bon on ne va pas tricher”.
Il serait tellement plus simple d’avoir des centres d’examen partenaires, mais non, la LF maintient que “c’est pour notre bien”. Moi, j’ai dû passer les 5 examens dans la chambre de mon fils, sur une planche et 2 tréteaux, car c’était la seule pièce qui convenait. J’ai lu des gens qui le font dans leurs WC… Quel enfer.
Aparté : killer.sh
C’est un peu caché, mais tous les examens CKA/CKAD/CKS donnent l’accès à 2 examens blancs sur le site killer.sh. Vraiment, je ne peux QUE vous conseiller de les faire, car ils sont très utiles.
D’une part, ils sont selon les cas similaires en termes de difficulté, voire beaucoup plus durs. Si vous avez une bonne note sur killer.sh, il y a de grandes chances que vous ayez votre CKA/AD/S.
Et comme il y a 2 runs, vous pouvez commencer par tester un run, voir ce que vous avez fait faux (vous avez la plateforme de chaque run pendant 36h, ça laisse le temps de tryhard pour obtenir 100%) et savoir quoi réviser par la suite. Une fois que vous êtes confiants, vous pouvez faire le 2ème run et valider que vous pouvez lancer le vrai examen.
Si jamais vous n’avez pas assez de “runs”, vous pouvez toujours chercher d’autres simulateurs, comme sailor-sh/CK-X. Pour ce qui est des KCNA/KCSA, il y a aussi pas mal de quiz qui ont été générés à la volée à l’aide de LLM mais ils sont rarement qualitatifs et les questions sont très éloignées, ainsi que des sites “pirates” avec des questions authentiques. À vous de voir ce que vous en pensez.
Ce que je savais déjà vs ce j’ai appris
KCNA / KCSA : Je n’ai rien appris. Ce sont des QCMs basiques, qui n’ont aucun intérêt et ne démontrent aucune compétence sur un CV.
CKAD : Je n’ai pas appris grand-chose, à part quelques sous-commandes kubectl permettant de gagner du temps, comme kubectl expose, ou quelques détails sur la façon dont sont gérés les cycles de vie des API de Kubernetes. Comme une grosse partie de l’examen consiste à générer des manifestes YAML pour les différentes API de Kubernetes, il est important de connaître toutes les sous-commandes de kubectl create et aussi savoir quand c’est plus rapide d’aller faire une recherche d’un manifeste prêt à l’emploi sur la doc officielle, et le copier/coller.
CKA : En plus des recommandations précédentes, il y a quelques astuces à avoir (que je connaissais déjà), comme ne pas oublier de sauvegarder dans un autre dossier tous les manifestes statiques présents dans /etc/kubernetes/manifests/ car il est facile de flinguer le cluster et perdre tous les points de la question. Il faut aussi savoir rapidement retrouver où sont stockés les logs des conteneurs avec containerd pour débuguer quand l’API server est KO, ne pas hésiter à redémarrer le kubelet pour gagner du temps en cas de crashloop backoff, savoir manipuler les données dans etcd avec etcdctl. Là encore, je suis vraiment sceptique sur l’intérêt au quotidien, sauf à gérer en prod des clusters créés avec kubeadm (ce que je ne fais plus depuis bien longtemps).
CKS : Il y a pas mal d’avis divergents sur l’intérêt de la CKS parmi ceux qui l’ont passée. Tout le monde est unanime pour dire qu’elle est dure (c’est vrai). C’est la plus exigeante, j’ai sué à grosses gouttes en la passant, et j’ai dû faire quelques révisions sur une partie des sujets que je ne connaissais pas. C’est aussi la seule où j’ai vraiment l’impression d’avoir appris des trucs utiles (chiffrement etcd, révisions/découvertes apparmor/seccomp). Un des points mis en avant comme négatif est qu’elle oblige à connaître un minimum des choses sur falco / trivy / cilium / istio, ce qui paraît étonnant sachant qu’il s’agit de projets tiers portés par des entreprises et non pas la CNCF, même s’il est vrai qu’elles y participent activement. À titre perso, je n’ai pas trouvé ça “choquant”, mais je comprends la gêne pour une certif officielle Kubernetes.
Conclusion / est-ce que je le referai ?
Ça dépend de la question. Je ne suis pas “CNCF ambassador” alors je ne vais pas me gêner pour dire ce que j’en pense.
Si c’est les KCNA/KCSA, c’est un grand NON. Elles ne servent strictement à rien.
Si la question c’est “est-ce que je repasserai les certifs CKx quand elles expireront”, c’est quasiment sûr que non.
Sauf à passer freelance / bosser dans une ESN (c’est pas du tout prévu) et que ça me soit utile (ça reste à prouver, à mon avis mon CV a plus de valeur), je ne vois pas d’avantage à les repasser, que des inconvénients. Franchement l’expérience “proctored exam” était trop pénible, et les KCNA/KCSA n’ont aucune valeur à mes yeux.
Si jamais c’est un exercice de pensée en mode “imaginons, on revient en 2024, est-ce que tu le refais”, la réponse est probablement “oui”, sous condition.
Je l’ai dit plus haut, c’est mon employeur qui m’a payé les certifs CKx, avec dans l’idée que moi “le vieux”, motive un peu les “jeunes” à qui les certifs étaient aussi payées, à les passer.
Et ça, c’était vraiment rigolo : le faire en groupe et “se tirer la bourre”. Ça a plutôt bien marché d’ailleurs, j’ai passé chaque certif en premier, mais ils ont fait de meilleurs scores que moi, au final (moi ça me fait rigoler, eux sont contents d’avoir mouché le “vieux”).
Donc entre le coût pris en charge d’un côté, et le côté collaboration / faire grandir l’équipe, ça valait le coût (jeu de mots, humour, haha).
Autres ressources
Si vous voulez aller plus loin, voici d’autres retours d’expérience et ressources utiles de la communauté française :
- Comment bien foirer vos certifications Kubernetes CK{A,S} - Rémi Tech Notes
- Notes de certification KCSA - Joseph Ligier
- Tips & Tricks — Kubernetes Certifications “CKA — CKAD — CKS” - Jérôme Masson (Sphinxgaia)
- Guide pour réussir l’examen de certification CKA
- Certifications Kubernetes : CKA et CKAD - Mossroy
- CK-X - simulateur des certifications Kubernetes - sailor-sh