Іспит з вибором варіантів відповіді | 90 хвилин | Прохідний бал: 66% | $250 USD | Запущено у 2024 році
CCA (Cilium Certified Associate) підтверджує фундаментальні знання про Cilium, мережеві можливості на базі eBPF, мережеві політики, спостережуваність (observability) та підключення між кластерами. Це теоретичний іспит із питаннями з вибором варіантів відповіді — без практичних завдань, проте глибоке розуміння концепцій Cilium є критично важливим.
KubeDojo покриває ~90%+ тем CCA через наші існуючі модулі інструментарію Platform Engineering, а також спеціалізований просунутий модуль Cilium. На цій сторінці наведено відповідність доменів CCA існуючим модулям.
Зараз Cilium є стандартним CNI для GKE, EKS та AKS. Розуміння Cilium — це не лише підготовка до іспиту, а й базова навичка для будь-якого інженера Kubernetes.
Домен Вага Покриття у KubeDojo Статус Architecture 20% Часткове — поглиблено у Модулі 1.1 Покрито Network Policy 18% Часткове — поглиблено у Модулі 1.1 Покрито Service Mesh 16% Добре (Gateway API розглянуто у Модулі 1.1) Покрито Observability 10% Добре (модуль Hubble) Покрито Installation & Configuration 10% Часткове — поглиблено у Модулі 1.1 Покрито Cluster Mesh 10% ПРОГАЛИНА — покрито у Модулі 1.1 Покрито eBPF 10% Добре (кілька існуючих модулів) Покрито BGP & External Networking 6% ПРОГАЛИНА — покрито у Модулі 1.1 Покрито
Розуміти архітектуру компонентів Cilium (agent, operator, Hubble, relay)Знати , як Cilium інтегрується з ядром Linux через eBPFРозуміти безпеку на основі ідентифікаторів та її відмінність від безпеки на основі IPВивчити режими IPAM та варіанти шляху даних (data path)
Модуль Тема Актуальність Cilium Toolkit Огляд Cilium, основи eBPF, схема архітектури, безпека на основі ідентифікаторів Пряма Module 1.1: Advanced Cilium for CCA Глибоке занурення в Agent, Operator, Hubble, режими IPAM (cluster-pool, kubernetes, multi-pool) Пряма eBPF Foundations eBPF verifier, типи програм, карти (maps) Пряма
Написати CiliumNetworkPolicy та CiliumClusterwideNetworkPolicyРозуміти застосування політики на рівнях L3/L4 та L7 (з підтримкою HTTP)Порівняти моделі політик на основі ідентифікаторів та на основі IPРозуміти режими застосування політик (default, always, never)Створити політики вихідного трафіку (egress) на основі DNS (FQDN)
Модуль Тема Актуальність Cilium Toolkit Стандартна NetworkPolicy, CiliumNetworkPolicy, правила L7, egress на основі DNS, загальнокластерні політики Пряма Module 1.1: Advanced Cilium for CCA Порівняння CiliumNetworkPolicy та K8s NetworkPolicy, режими застосування політик, правила L7 з підтримкою HTTP, політики на основі сутностей (entities) Пряма CKS Network Policies Стандартна K8s NetworkPolicy (базові знання) Допоміжна
Розуміти модель Service Mesh від Cilium без використання sidecar-контейнерівЗнати принципи інтеграції з Gateway APIНалаштувати mTLS у Cilium (ідентифікатори SPIFFE)Розуміти балансування навантаження та управління трафіком
Модуль Тема Актуальність Service Mesh Toolkit Паттерни Service Mesh, sidecar проти sidecar-free, Gateway API Пряма Cilium Toolkit Шифрування WireGuard, заміна kube-proxy Часткова SPIFFE/SPIRE Ідентифікація робочих навантажень, концепції mTLS Допоміжна
Конфігурація Gateway API для Cilium (HTTPRoute, GRPCRoute з Cilium як контролером Gateway) тепер розглядається у Модулі 1.1: Advanced Cilium for CCA . Для глибшого вивчення дивіться документацію Cilium Gateway API .
Використовувати Hubble CLI для спостереження за потоками та фільтраціїРозуміти архітектуру Hubble Relay та UIНалаштувати метрики Hubble для PrometheusІнтерпретувати дані мережевих потоків для діагностики несправностей
Модуль Тема Актуальність Hubble Toolkit Архітектура Hubble, використання CLI, фільтрація потоків, інтерфейс користувача (UI), метрики Prometheus, сценарії діагностики Пряма Cilium Toolkit Команди Hubble CLI, структура виводу, сценарії налагодження, конфігурація метрик Пряма
Встановити Cilium за допомогою Cilium CLI та HelmНалаштувати заміну kube-proxyПеревірити коректність встановлення за допомогою cilium status та cilium connectivity testОновити Cilium
Модуль Тема Актуальність Cilium Toolkit Встановлення через Cilium CLI, встановлення з Helm values, тест підключення Пряма Module 1.1: Advanced Cilium for CCA Глибоке занурення в Cilium CLI (install, status, connectivity test, config), встановлення через Helm Пряма
Розуміти підключення між кластерами за допомогою Cluster MeshНалаштувати глобальні сервіси та афінність сервісів (service affinity)Розуміти виявлення сервісів між кластерамиЗнати вимоги та обмеження Cluster Mesh
Модуль Тема Актуальність Module 1.1: Advanced Cilium for CCA Архітектура Cluster Mesh, глобальні сервіси, анотації афінності, виявлення сервісів у кількох кластерах, практичне налаштування Пряма
Це була ПРОГАЛИНА в нашому існуючому контенті. Модуль 1.1 забезпечує повне покриття цієї теми.
Розуміти основи eBPF (програми, карти, верифікатор)Знати , як Cilium використовує eBPF для мережевої взаємодії, політик та спостережуваностіПорівняти eBPF та iptables для обробки пакетівВивчити основи XDP (eXpress Data Path)
Розуміти налаштування BGP-пірингу за допомогою CiliumBGPPeeringPolicyАнонсувати CIDR Pod’ів та VIP-адреси Service зовнішнім маршрутизаторамАнонсувати IP-адреси LoadBalancerЗнати базові концепції BGP (ASN, піринг, анонсування маршрутів)
Це була ПРОГАЛИНА в нашому існуючому контенті. Модуль 1.1 забезпечує повне покриття цієї теми.
ШЛЯХ ПІДГОТОВКИ ДО CCA (рекомендований порядок)
══════════════════════════════════════════════════════════════
Тиждень 1: Основи (eBPF + Архітектура = 30%)
├── Модуль Cilium Toolkit (повне прочитання)
├── Модуль 1.1: Глибоке занурення в архітектуру
├── Зосередитись на: ролях agent та operator, моделі ідентифікаторів, IPAM
└── Лабораторна робота: Встановити Cilium у кластері kind, запустити тест підключення
Тиждень 2: Мережеві політики (18%)
├── Cilium Toolkit: розділи про Network Policy
├── Модуль 1.1: Режими застосування політик
├── Практика написання YAML для CiliumNetworkPolicy
└── Лабораторна робота: Правила "заборонити все за замовчуванням" + дозволяючі правила, політики L7 HTTP
Тиждень 3: Service Mesh + Спостережуваність (26%)
├── Модуль Service Mesh toolkit
├── Модуль Hubble toolkit (повністю)
├── Cilium Toolkit: розділи про Hubble
└── Лабораторна робота: Hubble observe з --verdict DROPPED, метрики Prometheus
Тиждень 4: Cluster Mesh + BGP + Повторення (16%)
├── Модуль 1.1: розділ Cluster Mesh
├── Модуль 1.1: розділ BGP
├── Повторення всіх контрольних запитань
└── Практика: Наскрізні сценарії діагностики несправностей
Це теоретичний іспит — без роботи в терміналі, але концептуальна глибина є ключовою.Досконало знайте архітектуру — який компонент за що відповідає, де він запускається, скільки екземплярів.CiliumNetworkPolicy проти K8s NetworkPolicy — чітко розумійте, що саме додає Cilium (L7, FQDN, сутності, загальнокластерні політики).Модель ідентифікаторів — на іспиті часто зустрічаються питання про те, чому безпека на основі ідентифікаторів краща за безпека на основі IP.Прапорці Hubble CLI — знайте загальні фільтри (--verdict, --from-pod, --to-pod, --protocol).Cluster Mesh — розумійте вимоги (спільний CA, унікальні CIDR Pod’ів, зв’язність між кластерами).BGP — знайте, що робить CiliumBGPPeeringPolicy і коли її використовувати (анонсування IP-адрес LoadBalancer).Режими застосування політик — default, always, never та умови застосування кожного з них.
Існуючі модулі інструментарію разом із Модулем 1.1 забезпечують всебічну підготовку до CCA.
══════════════════════════════════════════════════════════════
├── KCNA (Cloud Native Associate) — основи K8s
├── KCSA (Security Associate) — основи безпеки
└── CCA (Cilium Certified Associate) <-- ВИ ТУТ
├── CKA (K8s Administrator) — операції з кластером
├── CKAD (K8s Developer) — розгортання застосунків
├── CKS (K8s Security Specialist) — зміцнення безпеки
└── CNPE (Platform Engineer) — інженерія платформ
└── CKNE (K8s Network Engineer) — просунуті мережі (поглиблено охоплює Cilium)
CCA добре поєднується з KCNA (загальні знання K8s) та KCSA (основи безпеки). Якщо ви плануєте отримати CKNE пізніше, CCA дасть вам потужний старт у частині, що стосується Cilium.