Guide complet CKA — CNCF

Certified Kubernetes Administrator · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

La CKA (Certified Kubernetes Administrator) s'adresse aux administrateurs systeme, ingenieurs DevOps et SRE souhaitant valider leurs competences sur Kubernetes. Examen 100% pratique en ligne de 2h, comprenant 15-20 taches a executer sur un cluster reel via terminal. Score requis : 66%. Prerequis recommandes : Linux, conteneurs Docker, reseaux. Tarif : 395 USD. Debouches : DevOps Engineer, SRE, Platform Engineer, Cloud Architect. Certification editee par la CNCF, reconnue mondialement comme la reference Kubernetes.

Pourquoi passer la certification CKA ?

Passer la CKA en 2026 represente un investissement strategique majeur. Kubernetes est devenu le standard de facto de l'orchestration de conteneurs : plus de 96% des organisations utilisent ou evaluent K8s selon la CNCF Annual Survey 2025. La demande explose : on compte plus de 12 000 offres d'emploi mentionnant Kubernetes sur LinkedIn France et plus de 80 000 en Europe. Le ROI est rapide : un ingenieur certifie CKA voit son salaire augmenter en moyenne de 15 a 25%, soit 8 000 a 15 000 EUR annuels supplementaires. La CKA est unique car 100% pratique : impossible de la passer en bachotant, ce qui lui confere une credibilite forte aupres des recruteurs. Elle ouvre la voie aux roles Platform Engineering et SRE, parmi les mieux remuneres du secteur tech. Sur un CV, la mention CKA agit comme un filtre positif aupres des ATS et des recruteurs techniques. Avec la generalisation du multi-cloud et des architectures microservices, maitriser Kubernetes n'est plus optionnel : c'est une competence socle pour toute carriere infrastructure moderne, valorisee aussi bien en startup qu'en grand groupe ou en ESN.

Caractéristiques de l'examen

Format	100% pratique, 15-20 taches sur cluster reel
Duree	120 minutes
Score requis	66%
Prix officiel	395 USD (environ 370 EUR)
Langues	Anglais, Japonais, Chinois (pas de francais)
Validite	2 ans
Prerequis	Aucun officiel, mais Linux/Docker/reseaux recommandes

Programme détaillé par domaine

Domain 1 : Cluster Architecture, Installation & Configuration 25%

Objectifs: Ce domaine couvre la mise en place et la configuration d'un cluster Kubernetes en production. Le candidat doit savoir installer un cluster avec kubeadm, configurer le RBAC (Role-Based Access Control), gerer les certificats TLS, et mettre en place la haute disponibilite du control plane. Il faut maitriser la gestion des noeuds (drain, cordon, uncordon), la mise a jour d'un cluster via kubeadm upgrade, et la sauvegarde/restauration d'etcd. La comprehension des composants du control plane (kube-apiserver, etcd, kube-scheduler, controller-manager) et des noeuds (kubelet, kube-proxy, container runtime) est essentielle pour diagnostiquer les pannes.
Concepts clés: RBAC avec Roles, ClusterRoles, RoleBindings et ClusterRoleBindings. ServiceAccounts pour les pods. Certificats x509 generes par kubeadm dans /etc/kubernetes/pki. Gestion d'etcd : etcdctl snapshot save/restore. kubeadm init, kubeadm join, kubeadm upgrade plan/apply. Configuration du kubelet via systemd. CRI (Container Runtime Interface) avec containerd ou CRI-O. Helm v3 pour la gestion des packages. Kustomize integre a kubectl. CNI (Container Network Interface) avec Calico, Cilium ou Flannel. Static pods dans /etc/kubernetes/manifests.
Services / outils: kubeadm, kubectl, etcdctl, kubelet, containerd, crictl, systemctl, openssl pour inspection des certificats, Helm 3, Calico/Cilium pour CNI.
Temps estimé: 15-20h

Domain 2 : Workloads & Scheduling 15%

Objectifs: Maitrise du deploiement et de l'orchestration des applications. Le candidat doit savoir creer et gerer des Deployments, comprendre les rolling updates et rollbacks, configurer ConfigMaps et Secrets pour externaliser la configuration, et appliquer des contraintes de planification (nodeSelector, affinity, taints et tolerations). Il faut connaitre les ressources requests/limits, le HPA (Horizontal Pod Autoscaler), et savoir utiliser les manifests YAML declaratifs. La comprehension du scheduler et de ses decisions est cruciale, ainsi que la gestion des DaemonSets, StatefulSets, Jobs et CronJobs.
Concepts clés: Deployment strategies : RollingUpdate, Recreate. ReplicaSets sous-jacents. ConfigMaps montes en volume ou en variables d'environnement. Secrets de type Opaque, kubernetes.io/tls, dockerconfigjson. Affinity : nodeAffinity, podAffinity, podAntiAffinity. Taints (NoSchedule, PreferNoSchedule, NoExecute) et tolerations. HPA base sur CPU/memoire ou metriques custom via metrics-server. Init containers et sidecar containers. Probes : liveness, readiness, startup.
Services / outils: kubectl rollout, kubectl scale, kubectl autoscale, metrics-server, kustomize, Helm charts.
Temps estimé: 10-12h

Domain 3 : Services & Networking 20%

Objectifs: Comprendre le modele reseau Kubernetes et exposer les applications. Le candidat doit configurer les Services (ClusterIP, NodePort, LoadBalancer, ExternalName), les Ingress avec un IngressController (NGINX, Traefik), et appliquer des NetworkPolicies pour la securite reseau. La resolution DNS via CoreDNS, la communication inter-pods, et le debug reseau sont essentiels. Comprendre les Endpoints, EndpointSlices et le fonctionnement de kube-proxy (iptables/IPVS) est primordial pour diagnostiquer les problemes de connectivite.
Concepts clés: Services : ClusterIP par defaut, NodePort (30000-32767), LoadBalancer pour cloud. Ingress avec rules host/path et TLS. NetworkPolicy ingress/egress avec podSelector et namespaceSelector. CoreDNS et resolution svc.namespace.svc.cluster.local. CNI plugins. kube-proxy en mode iptables ou IPVS. Endpoints et EndpointSlices. Gateway API (nouveau standard remplacant Ingress).
Services / outils: CoreDNS, NGINX Ingress Controller, Calico/Cilium pour NetworkPolicies, kubectl port-forward, kubectl exec pour debug.
Temps estimé: 12-15h

Domain 4 : Storage 10%

Objectifs: Gestion du stockage persistant dans Kubernetes. Le candidat doit comprendre la difference entre volumes ephemeres et persistants, configurer des PersistentVolumes (PV) et PersistentVolumeClaims (PVC), utiliser les StorageClasses pour le provisionnement dynamique, et gerer les modes d'acces (ReadWriteOnce, ReadOnlyMany, ReadWriteMany, ReadWriteOncePod). La comprehension du cycle de vie des volumes et des politiques de reclamation (Retain, Delete) est requise.
Concepts clés: PV statiques vs dynamic provisioning. StorageClass avec provisioner. AccessModes RWO, ROX, RWX, RWOP. ReclaimPolicy : Retain, Delete. VolumeBindingMode : Immediate ou WaitForFirstConsumer. CSI (Container Storage Interface) drivers. emptyDir, hostPath, configMap, secret comme volumes. StatefulSet avec volumeClaimTemplates.
Services / outils: CSI drivers (AWS EBS, Azure Disk, GCE PD, NFS, Longhorn), kubectl get pv/pvc/sc.
Temps estimé: 6-8h

Domain 5 : Troubleshooting 30%

Objectifs: Domaine le plus lourd. Le candidat doit diagnostiquer et resoudre les pannes a tous les niveaux : application, cluster, noeud, reseau. Cela inclut l'analyse des logs (kubectl logs, journalctl), l'inspection des evenements (kubectl describe, kubectl get events), le debug des pods en CrashLoopBackOff, ImagePullBackOff, Pending. Il faut savoir verifier l'etat des composants du control plane, redemarrer kubelet, analyser les certificats expires, et restaurer un cluster apres incident.
Concepts clés: kubectl describe pour evenements. kubectl logs --previous. journalctl -u kubelet. crictl ps/logs/inspect. Etats des pods : Pending, Running, Failed, CrashLoopBackOff, ImagePullBackOff, OOMKilled. Verification etcd via etcdctl endpoint health. Debug DNS avec nslookup dans un pod busybox. Inspection des certificats expires avec openssl x509.
Services / outils: kubectl describe/logs/events, crictl, journalctl, etcdctl, openssl, busybox/netshoot pour debug reseau.
Temps estimé: 15-20h

Plan de révision hebdomadaire

Semaine 1-2 : Fondamentaux. Lire la documentation officielle kubernetes.io/docs, installer un cluster local avec kind ou minikube, puis un cluster multi-noeuds avec kubeadm sur 3 VMs. Manipuler kubectl quotidiennement, creer pods, deployments, services. Objectif : etre fluide en YAML. Semaine 3 : Workloads & Scheduling. Pratiquer rolling updates, rollbacks, configurer affinity/taints. Faire les exercices killercoda.com gratuits. Semaine 4 : Networking. Deployer NGINX Ingress, ecrire des NetworkPolicies, debugger CoreDNS. Tester la connectivite inter-namespaces. Semaine 5 : Storage & Security. Creer PV/PVC, StorageClass, StatefulSet avec stockage persistant. Configurer RBAC complet avec ServiceAccounts dedies. Semaine 6 : Troubleshooting intensif. C'est 30% de l'examen : casser volontairement un cluster et le reparer. Pratiquer la restauration d'etcd, le renouvellement des certificats kubeadm. Semaine 7 : Examens blancs. Acheter les 2 simulateurs Killer.sh inclus avec l'examen (acces 36h chacun). Faire chaque session en conditions reelles, chronometre. Analyser les erreurs. Semaine 8 : Revision finale. Maitriser les imperative commands (kubectl run, kubectl create) pour gagner du temps. Configurer les alias kubectl et l'autocompletion. Reviser les vimrc shortcuts. Memoriser la structure de kubernetes.io/docs pour les recherches rapides autorisees pendant l'examen. Planifier l'examen un matin, en condition de concentration optimale.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle Kubernetes

Reference autorisee pendant l'examen. Maitriser la navigation, surtout les sections Tasks et Concepts.

KodeKloud CKA Course

Cours le plus complet du marche avec labs integres et exercices pratiques par Mumshad Mannambeth.

Killer.sh Simulator

Simulateur officiel inclus avec l'achat de l'examen. Plus difficile que le vrai examen, ideal pour s'entrainer.

Kubernetes Slack & CNCF Forum

Communaute active avec channels dedies #kubernetes-novice et #cka-exam-prep.

5 erreurs classiques à éviter

Erreur 1 : Negliger la pratique au profit de la theorie. La CKA est 100% pratique : faire au minimum 100h de manipulation kubectl est indispensable. Lire ne suffit pas.
Erreur 2 : Ne pas maitriser les imperative commands. Ecrire tous les YAML from scratch fait perdre 30% du temps. Utiliser kubectl run --dry-run=client -o yaml pour generer les manifests rapidement.
Erreur 3 : Mal gerer le temps. 15-20 taches en 2h = 6-8 minutes par tache. Sauter les questions difficiles, y revenir a la fin. Une question vaut entre 2 et 13 points : prioriser les grosses.
Erreur 4 : Ignorer le contexte kubectl. L'examen utilise plusieurs clusters. Toujours executer kubectl config use-context avant chaque question, faute de quoi vous modifiez le mauvais cluster.
Erreur 5 : Oublier de tester sa solution. Apres chaque tache, verifier avec kubectl get/describe que l'objet est dans l'etat attendu. Ne jamais valider sans verifier.

5 questions types corrigées

Q1. Vous devez creer un pod nomme 'nginx-pod' utilisant l'image nginx:1.25, dans le namespace 'production', avec une limite memoire de 256Mi. Quelle commande imperative est correcte ?

Réponse : B

La commande kubectl run cree directement un pod (et non un deployment depuis K8s 1.18+). L'option --limits permet de specifier les ressources. L'option A est invalide car 'kubectl create pod' n'existe pas. L'option C creerait un deployment, pas un pod simple. L'option D melange apply et la syntaxe imperative. Pour l'examen, memoriser kubectl run pour les pods et kubectl create deployment pour les deployments est essentiel pour gagner du temps.

Q2. Un pod reste en etat 'Pending'. kubectl describe indique 'FailedScheduling: 0/3 nodes are available: 3 node(s) had untolerated taint'. Quelle est la solution ?

Réponse : B

Les taints empechent la planification des pods qui n'ont pas la toleration correspondante. La solution canonique est d'ajouter une toleration dans spec.tolerations du pod, avec les memes key, value et effect que le taint. L'option C fonctionnerait techniquement mais retirerait la protection sur tous les noeuds, ce qui est rarement souhaite. L'option A traite de l'affinity, mecanisme different. L'option D ne resout pas le probleme. Comprendre la difference entre taints/tolerations et nodeAffinity est crucial.

Q3. Vous devez sauvegarder etcd avant une mise a jour majeure. Quelle commande est correcte ?

Réponse : C

etcd necessite l'API v3 explicite et l'authentification mutuelle TLS via les certificats du control plane. Les options --cacert, --cert et --key sont obligatoires sur un cluster kubeadm. L'endpoint par defaut est 127.0.0.1:2379. Les options A et D referencent des commandes inexistantes. L'option B echouera car les certificats ne sont pas specifies. Cette commande tombe quasi systematiquement a l'examen : la memoriser parfaitement, ainsi que snapshot restore avec --data-dir.

Voir plus de questions gratuites →

Carrière & salaire après CKA

La CKA ouvre des roles tres recherches en 2026. En France, un DevOps Engineer certifie CKA gagne entre 50 000 et 70 000 EUR juniors, 65 000 a 90 000 EUR confirmes, et 90 000 a 130 000 EUR seniors/leads. Les profils Platform Engineer et SRE atteignent 120 000 a 160 000 EUR en region parisienne. En Europe (Allemagne, Pays-Bas, Suisse), les salaires sont 20 a 40% superieurs (jusqu'a 180 000 CHF en Suisse). Les evolutions naturelles : Cloud Architect, Platform Lead, Head of Infrastructure. Certifications complementaires recommandees : CKAD (developpeur), CKS (securite, tres valorisee), Terraform Associate, AWS Solutions Architect ou Azure AZ-104. Le combo CKA + CKS + cloud public est aujourd'hui le profil le plus demande sur le marche.

Détail des salaires CKA en 2026 →

FAQ — CKA

Combien de temps faut-il pour preparer CKA ?

Entre 6 et 10 semaines a raison de 10-15h hebdomadaires pour un profil ayant deja des bases Linux/Docker. Comptez 3-4 mois si vous debutez sur les conteneurs.

Cette certification est-elle reconnue en France ?

Oui, la CKA est la certification Kubernetes la plus reconnue mondialement, editee par la CNCF (Linux Foundation). Tres demandee par les ESN, scale-ups et grands groupes francais.

Quel est le taux de reussite a CKA ?

Environ 60-70% au premier essai selon les statistiques communautaires. Le caractere 100% pratique en fait l'une des certifications IT les plus exigeantes.

Quel est le salaire apres CKA ?

En France en 2026, entre 55 000 et 90 000 EUR pour un profil confirme. Plus de 100 000 EUR pour les seniors et les roles Platform Engineering.

Faut-il une experience prealable ?

Aucun prerequis officiel, mais une experience pratique de Linux (admin systeme), Docker/conteneurs et reseaux TCP/IP est fortement recommandee pour reussir.

CKA ou cert concurrente : laquelle choisir ?

CKA est la reference pour les admins/ops. Choisir CKAD si vous etes developpeur, CKS si vous avez deja CKA et visez la securite. Pas vraiment de concurrente directe sur K8s pur.

Combien coute l'examen CKA ?

395 USD (environ 370 EUR) en 2026, incluant une seconde tentative gratuite et 2 sessions de 36h sur le simulateur Killer.sh. Promotions frequentes a -30%.

Combien de fois peut-on repasser CKA ?

Une seconde tentative est incluse gratuitement dans l'achat initial. Au-dela, il faut racheter l'examen au tarif plein. Aucune limite sur le nombre total de tentatives.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc CKA → Test d'orientation