はじめに
CNCF主催の認定試験 Kyverno Certified Associate (KCA) を受験し合格したので、受験記を記載します。同認定試験の受験を考えている方の参考になれば幸いです。
免責事項(Disclamer)
- 本投稿は受験当時の情報となります。受験を検討する際は最新の情報の確認をお願いします。
- 本投稿は個人の所感です。
- 所属する企業や団体は関係ありません。
- 情報の利用は自己責任でお願いします。
試験概要
- Kubernetesで用いるポリシー管理エンジンKyvernoに関する認定試験です。
- 受験日:2025/1/20
- 試験形式
- オンライン試験
- 1回再受験可能
- 多肢選択式
- 試験時間90分
- 試験言語は英語のみ提供
- 100点満点中75点以上で合格
Kyvernoとは
- Kubernetes上のポリシー管理エンジンです。
- 社内のセキュリティポリシーに準拠するために、マニフェストに必要な設定を強制するなどができます。
- Kyvernoで設定できるポリシーの種類毎に以下のような活用シーンが考えられます。
- Validate(設定確認)
- セキュリティ上入っているべき設定が入っていない場合、マニフェストのデプロイを拒否する
- Mutate(変更)
- 例えば、リソースに必ずつけるラベルがある場合、リソースデプロイ時にラベルを追加する
- Generate(生成)
- 例えば、ネームスペースがデプロイされた際、デフォルト全拒否のネットワークポリシーをデプロイする
- Validate(設定確認)
- OPA(Open Policy Agent)とできることは似ているが、OPAはREGO言語で書かれており学習コストがかかるが、KyvernoはYAMLなので読みやすいのがメリットです。
- Kubernetes APIリクエスト処理時のアドミッションコントローラーを使って動作します。
勉強方法
参考にした受験記
学習リソース
- 他のCNCF認定だと無料のトレーニングコースがありましたが、Kyvernoは無料コースはなくこちらの有料コースのみのようです。
- 私は上記のコースは使わず、公式ドキュメントで学習しました。
- カリキュラムと公式ドキュメントの項目がマッピングしやすいので、カリキュラムにある項目をカバーするように公式ドキュメントを見て学習していきました。
- Kyvernoプレイグラウンドも公開されているので、動かしてみてポリシーを理解するのにも役立ちます。
受験してみての所感
- 試験の難易度は全体的に高くはありません。
- 試験では各設定の概要が問われることが多く、具体的な設定方法の詳細は問われることはほとんどなかったです。
- 各設定がどのようなことを実現する設定なのか、というところを重点的に覚えておきましょう。
- Kyvernoポリシーは適用対象を絞るオプションなどが多くありますが、この適用対象を絞るオプションや、マニフェストから適用対象を問われるような問題は少なかったです。
- 私の予想よりConfiguring Kyvernoについての問題が多く問われました。
- Kyvernoがインストール時に作る証明書やロールなどは把握しておきましょう。