Перейти до вмісту
GitHub

KCA — Сертифікований спеціаліст із Kyverno

Іспит із множинним вибором | 90 хвилин | Прохідний бал: 75% | $250 USD | Сертифікація CNCF

Огляд

Розділ «Огляд»

KCA (Kyverno Certified Associate) підтверджує знання Kyverno — нативного для Kubernetes двигуна політик. Це теоретичний іспит — питання з множинним вибором, що перевіряють ваше розуміння того, як писати, тестувати та впроваджувати політики як код (policy-as-code) для безпеки, автоматизації та відповідності вимогам.

KubeDojo охоплює ~95% тем KCA через існуючий модуль Kyverno та два спеціалізовані модулі KCA, що охоплюють просунуту конфігурацію та роботу з CLI.

Kyverno є стандартом для політик Kubernetes. На відміну від OPA, він використовує нативний YAML Kubernetes, що робить його надзвичайно популярним серед платформних команд. KCA підтверджує вашу здатність автоматизувати управління кластерами за допомогою політик.

Модулі, специфічні для KCA

Розділ «Модулі, специфічні для KCA»

Ці модулі охоплюють сфери між загальними знаннями безпеки та вимогами іспиту KCA:

#МодульТемаОхоплені домени
1Просунуті політики KyvernoverifyImages (Cosign), CEL вирази (Kubernetes 1.30+), політики очищення (cleanup), складні мутаціїДомени 4-5
2Операції Kyverno та CLIКоманди kyverno apply/test/jp, звіти про політики (PolicyReports), виключення (exceptions), висока доступність (HA)Домени 2-3, 6

Домени іспиту

Розділ «Домени іспиту»
ДоменВагаОхоплення в KubeDojo
Основи Policy-as-Code18%Відмінне (DevSecOps 4.5)
Архітектура та Встановлення18%Відмінне (Security Tools 4.7)
Kyverno CLI12%Відмінне (Kyverno Operations & CLI)
Застосування політик10%Відмінне (Security Tools 4.7)
Написання політик32%Відмінне (Просунуті політики Kyverno)
Управління політиками10%Відмінне (Kyverno Operations & CLI)

Домен 1: Основи Policy-as-Code (18%)

Розділ «Домен 1: Основи Policy-as-Code (18%)»

Компетенції

Розділ «Компетенції»
  • Розуміння концепції Policy-as-Code та її переваг
  • Роль Admission Controllers у Kubernetes
  • Відмінність між валідацією, мутацією та генерацією ресурсів
  • Дотримання Pod Security Standards (PSS) через політики

Шлях навчання в KubeDojo

Розділ «Шлях навчання в KubeDojo»
МодульТемаРелевантність
DevSecOps 4.5Філософія Policy-as-CodeПряма
Security Principles 4.4Безпека за замовчуванням та guardrailsКонтекст

Домен 2: Архітектура та Встановлення (18%)

Розділ «Домен 2: Архітектура та Встановлення (18%)»

Компетенції

Розділ «Компетенції»
  • Компоненти Kyverno (Deployment, Webhooks, CRDs)
  • Встановлення через Helm з кастомними значеннями
  • Налаштування високої доступності (HA mode)
  • Розуміння Admission Webhooks (Validating та Mutating)

Шлях навчання в KubeDojo

Розділ «Шлях навчання в KubeDojo»
МодульТемаРелевантність
Security Tools 4.7Архітектура та встановлення KyvernoПряма
Kyverno Operations & CLIHA розгортання таWebhook конфігураціяПряма

Домен 3: Kyverno CLI (12%)

Розділ «Домен 3: Kyverno CLI (12%)»

Компетенції

Розділ «Компетенції»
  • Використання kyverno apply для локального тестування
  • Використання kyverno test для автоматизованих наборів тестів
  • Налагодження через kyverno jp (JMESPath запити)
  • Інтеграція CLI у конвеєри CI/CD

Шлях навчання в KubeDojo

Розділ «Шлях навчання в KubeDojo»
МодульТемаРелевантність
Kyverno Operations & CLIПовний розбір команд CLI та тестівПряма
CKS 5.3Концепції статичного аналізу перед деплоємКонтекст

Домен 4: Застосування політик (10%)

Розділ «Домен 4: Застосування політик (10%)»

Компетенції

Розділ «Компетенції»
  • Вибір ресурсів через блоки match та exclude
  • Таргетування за типом ресурсу, простором імен, мітками та анотаціями
  • Використання Preconditions для умовного виконання політик
  • Порядок виконання та вирішення конфліктів

Шлях навчання в KubeDojo

Розділ «Шлях навчання в KubeDojo»
МодульТемаРелевантність
Security Tools 4.7match/exclude, вибір ресурсівПряма
OPA & Gatekeeper 4.2Селектори обмежень (порівняння)Контекст

Домен 5: Написання політик (32%)

Розділ «Домен 5: Написання політик (32%)»

Це найбільший домен. Вимагає глибокої практичної роботи.

Компетенції

Розділ «Компетенції»
  • Написання validate правил (відмова невідповідним ресурсам)
  • Написання mutate правил (авто-виправлення при деплої)
  • Написання generate правил (авто-створення допоміжних ресурсів)
  • Написання verifyImages правил (підписи та атестації образів)
  • Використання CEL виразів (альтернатива JMESPath у K8s 1.30+)
  • Написання cleanup політик (видалення ресурсів за часом TTL)

Шлях навчання в KubeDojo

Розділ «Шлях навчання в KubeDojo»
МодульТемаРелевантність
Security Tools 4.7Validate, mutate, generate з прикладамиПряма
Просунуті політики KyvernoverifyImages, CEL вирази, cleanup, складні патерниПряма
Supply Chain Security 4.4Cosign, підписи образів (контекст verifyImages)Пряма

Домен 6: Управління політиками (10%)

Розділ «Домен 6: Управління політиками (10%)»

Компетенції

Розділ «Компетенції»
  • Читання та інтерпретація PolicyReports та ClusterPolicyReports
  • Налаштування виключень (PolicyExceptions) для легітимних обходів
  • Моніторинг Kyverno через метрики Prometheus
  • Життєвий цикл політик (міграція audit -> enforce)

Шлях навчання в KubeDojo

Розділ «Шлях навчання в KubeDojo»
МодульТемаРелевантність
Security Tools 4.7Звіти (reports), режим аудитуПряма
Kyverno Operations & CLIPolicyException CRD, метрики PrometheusПряма

Стратегія підготовки

Розділ «Стратегія підготовки»
ШЛЯХ ПІДГОТОВКИ ДО KCA (рекомендований порядок)
══════════════════════════════════════════════════════════════


Тиждень 1: Основи та Архітектура (18% + 18%)
├── Модуль Security Tools 4.7 (Kyverno Intro)
├── Модуль DevSecOps 4.5 (Policy-as-Code Theory)
└── Практика: Встановіть Kyverno через Helm у kind кластер


Тиждень 2: Написання базових політик (32% - Частина 1)
├── Практика: Напишіть 10+ валідаційних політик (labels, resources)
├── Практика: Створіть мутаційні політики для додавання default securityContext
└── Вивчіть: Різницю між Enforce та Audit режимами


Тиждень 3: Просунуті функції (32% - Частина 2)
├── Модуль "Просунуті політики Kyverno" (verifyImages, CEL)
├── Практика: Підпишіть образ через Cosign та перевірте його в Kyverno
└── Практика: Створіть ClusterCleanupPolicy для видалення старих подів


Тиждень 4: CLI та Управління (12% + 10%)
├── Модуль "Операції Kyverno та CLI"
├── Практика: Запустіть `kyverno test` для своїх політик
└── Огляд: Перегляд PolicyReports та налаштування виключень

Поради для іспиту

Розділ «Поради для іспиту»
  • Validate vs Mutate vs Generate — Ви ПОВИННІ знати, коли використовувати кожен тип. Validate — для заборони, Mutate — для зміни, Generate — для створення нового (наприклад, NetworkPolicy для нового Namespace).
  • JMESPath — Вивчіть базовий синтаксис змінних {{ request.object.metadata.name }}. Це часто перевіряється.
  • Enforce vs Audit — Питання часто запитують, що станеться з ресурсом у кожному з режимів.
  • CLI Команди — Знайте різницю між apply (одна політика) та test (набір тестів).
  • Policy Library — Ознайомтеся з офіційною бібліотекою політик на kyverno.io. Багато питань базуються на стандартних прикладах.

Пов’язані сертифікації

Розділ «Пов’язані сертифікації»
ШЛЯХ СЕРТИФІКАЦІЇ
══════════════════════════════════════════════════════════════


Associate Рівень:
├── KCNA (Cloud Native Associate) — Основи
├── KCSA (Security Associate) — Безпека
└── KCA (Kyverno Associate) ← ВИ ТУТ


Professional Рівень:
├── CKS (K8s Security Specialist) — Глибока безпека (Kyverno — чудовий інструмент для CKS)
└── CNPE (Platform Engineer) — Політики є ключем до самообслуговування

KCA фокусується на конкретному інструменті, що робить його дуже практичним для Platform Engineers та DevSecOps фахівців.