2026/1/11~2/6にCKA, KCNA, CKAD, KCSAを取得しました。
今回、残りのKubernetes資格であるCKSを3/13と17(再試験)に受けて、無事合格しました。
晴れてKubestronautになりました。
試験結果
79 %(合格スコア67 %)で合格しました。試験時間(2時間)をすべて使い切りました。
- 受験日: 2026/3/17 10:00~
- 受験場所: コワーキングスペース個室
- 受験端末: MacBook Air(2022, M2, 13.6)
感想と難易度
実は初回の試験(3/13)は44 %で落ちました。
初回は時間が足りず5問が未解答に終わり、仮に間に合っていたとしても3問は解き方がわからない状態でした。
私の場合、K8sやサードパーティツールの操作系の問題は解けたのですが、Linux操作系の問題が弱点でした。
再試験までの4日間に基本的なLinuxコマンドを復習したら、79 %で受かりました。
Kubernetes5試験の中では、CKAと同じくらい難しかったです(実務未経験からのCKA=4資格取得後のCKS)。
学習に使用した教材
KodeKloudとKillercodaとKiller Shellに取り組みました。
費やした時間は全部で約80時間(5週間)です。
KodeKloud
KodeKloudの講座をすべてやったうえで、Mock Exam 3つを4周ずつしました。
講座内の練習問題はツールの理解を深めるには役立ちましたが、試験にはあまり沿っていなかったので2周だけして、Mock Examにほとんどの時間を費やしました。
Killercoda
Mock Examは問題被りが多かったので、演習量を増やすためにKillercodaも解きました。
ImagePolicyWebhookやAudit Logまわりの問題を繰り返し解きました。
Killer Shell
それでも演習量が足りなかったので、試験を購入するとついてくるKiller Shell2回分(A, B)も3周ずつ解きました。
A問題はKodeKloudのMock Examレベルだったのですが、B問題はやたらと難しくて自信を失いました。
Tips
OS・Linuxシステム管理の基本操作を甘く見ない
CKSはKubernetes上のセキュリティだけでなく、ノード自体のセキュリティ設定も求められます。
kubectlの操作だけでなく、Linuxの基本的なシステム管理コマンドをスムーズに叩けるようにしておくことが重要です(軽視した結果、1回目は落ちました)。
-
systemctlを用いたデーモン(Dockerやkubeletなど)のステータス確認、設定ファイルの場所の特定、再起動(daemon-reload,restart) -
gpasswdやchgrpなどを活用した、ユーザーのグループへの追加・削除やソケットファイルの権限管理
ログからの情報抽出スピードを上げる(grepの活用)
FalcoやAudit Log、syslogなど、大量のログの中から不審なPodや特定のプロセスを見つけ出す場面が多々あります。
-
journalctl -u <サービス名>や、/var/log/syslogなどの生ログに対して、grep -iを使って素早く必要なキーワード(対象のパスやプロセス名など)を絞り込む練習をしておくと、本番での時間ロスを大幅に防げます
コントロールプレーン(API Server)の修正
kube-apiserver.yamlなどの静的Podのマニフェストを直接編集する作業は、設定を一つ間違えるとAPI Serverが起動しなくなるリスクがあります。
- Admission Pluginなどを有効化する際、フラグの追加だけでなく、必要な証明書や設定ファイルの
volumesとvolumeMountsの追記を忘れない
SecurityContextの階層(Podレベル vs Containerレベル)の違いを意識する
DeploymentやPodのセキュリティ設定を修正する際、Directiveをどこに記述するかが厳密に問われます。
-
runAsUserやfsGroupなどはPodレベル(pod.spec.securityContext)でも設定できますが、allowPrivilegeEscalationやreadOnlyRootFilesystemなどは各コンテナレベル(pod.spec.containers[].securityContext)に記述する必要があります
さいごに
せっかくなので、Golden Kubestronautも目指そうと思います。
