Accueil · Guides de révision · EX280

Guide complet EX280 — Red Hat

Red Hat Certified Specialist in OpenShift Administration · Programme, plan de révision, ressources, examen blanc gratuit.

TL;DR — Le guide en 1 minute

EX280 est la certification Red Hat Certified Specialist in OpenShift Administration, destinee aux administrateurs systeme et DevOps gerant des clusters OpenShift 4.x en production. Examen 100% pratique de 3 heures sur environnement reel, sans QCM. Prerequis recommande : RHCSA (EX200) et experience Kubernetes. Debouches : Cloud Engineer, Platform Engineer, SRE OpenShift, avec salaires de 55-85k EUR en France. Cert specialty tres demandee dans les grands comptes (banques, telecoms, secteur public) ayant adopte la plateforme OpenShift.

Pourquoi passer la certification EX280 ?

En 2026, OpenShift domine le marche des plateformes Kubernetes d'entreprise avec plus de 35% de parts de marche en Europe selon IDC. Red Hat (filiale IBM) equipe 90% des banques du CAC40, la majorite des administrations francaises (DGFiP, ministeres) et les operateurs telecoms. La certification EX280 valide des competences operationnelles concretes : deployer, securiser et maintenir un cluster OpenShift en production. Contrairement aux certs theoriques, son format 100% pratique garantit aux employeurs que le candidat sait vraiment administrer la plateforme. Le ROI est rapide : selon les baromemtres APEC et PageGroup 2026, un profil EX280 negocie en moyenne 8 a 15k EUR de plus qu'un administrateur Kubernetes standard. La demande explose avec la souverainete numerique europeenne (Gaia-X, cloud de confiance Bleu, S3NS) qui privilegie OpenShift sur Azure et GCP. Valoriser EX280 sur le CV ouvre des missions de TJM 600 a 900 EUR en freelance. C'est egalement la porte d'entree vers le titre prestigieux RHCA (Red Hat Certified Architect) qui requiert 5 certs specialty dont EX280.

Caractéristiques de l'examen

Format	Examen pratique sur cluster reel (hands-on, pas de QCM)
Duree	180 minutes (3 heures)
Score requis	210/300 soit 70%
Prix officiel	460 EUR HT en France (500 USD)
Langues	Anglais (interface), francais possible sur demande
Validite	3 ans, renouvelable via une cert de niveau equivalent ou superieur
Prerequis	RHCSA (EX200) fortement recommande, connaissance Linux et Kubernetes

Programme détaillé par domaine

Domain 1 : Gestion et installation du cluster OpenShift 20%

Objectifs: Ce domaine couvre l'installation, la configuration post-installation et la maintenance du cycle de vie d'un cluster OpenShift 4.x. Le candidat doit savoir verifier l'etat de sante du cluster, gerer les operators de plateforme, configurer les MachineConfig et appliquer les mises a jour via OTA (Over-The-Air). La capacite a diagnostiquer un cluster degrade via les ClusterOperators et a interpreter les events kubernetes est essentielle.
Concepts clés: Architecture OpenShift 4 (control plane, compute nodes, etcd, CRI-O), Operator Lifecycle Manager (OLM), ClusterVersion et ClusterOperator, MachineConfigPool et MachineConfig, mise a jour via oc adm upgrade. Comprendre le role de l'API server, du scheduler, du controller-manager. Maitriser la commande oc adm pour les operations administrateur, la gestion des certificats internes, les sauvegardes etcd via etcd-snapshot.
Services / outils: Outils : oc CLI, kubectl, podman, etcdctl. Operators principaux : Authentication, Ingress, Network, Storage, Console, Monitoring. Composants : CoreOS RHCOS, CRI-O runtime, Multus CNI.
Temps estimé: 12-15h

Domain 2 : Configuration de l'authentification et des autorisations 20%

Objectifs: Configurer les Identity Providers (HTPasswd, LDAP, OAuth, GitHub), gerer les utilisateurs et groupes, et appliquer le modele RBAC d'OpenShift. Le candidat doit savoir creer des Roles, ClusterRoles, RoleBindings et ClusterRoleBindings pour restreindre l'acces aux projets et ressources. La gestion des ServiceAccounts pour les workloads applicatifs est egalement evaluee.
Concepts clés: Identity Providers (htpasswd, LDAP, OpenID Connect), RBAC granulaire, Roles vs ClusterRoles, RoleBindings vs ClusterRoleBindings, ServiceAccounts, SecurityContextConstraints (SCC) specifiques a OpenShift (restricted, anyuid, privileged), gestion des tokens API, integration Kerberos/Active Directory pour les grands comptes.
Services / outils: Commandes : oc adm policy, oc create user/group/identity, oc adm groups. Ressources YAML : OAuth, Secret pour HTPasswd, SCC. Outil htpasswd pour generer les hashs.
Temps estimé: 10-12h

Domain 3 : Securite du cluster et des workloads 20%

Objectifs: Securiser les workloads via les SecurityContextConstraints, gerer les secrets et configmaps, configurer les NetworkPolicies pour isoler les namespaces, et appliquer les bonnes pratiques de durcissement. Le candidat doit comprendre le modele de securite multi-tenant d'OpenShift et savoir l'appliquer en production.
Concepts clés: SecurityContextConstraints (SCC), Pod Security Standards, Secrets (opaque, tls, dockerconfigjson), ConfigMaps, NetworkPolicies (ingress/egress), isolation reseau via OVN-Kubernetes, gestion des certificats TLS, integration avec un coffre externe type Vault, signature d'images container, scan de vulnerabilites avec Quay.
Services / outils: OVN-Kubernetes, NetworkPolicy CRD, Secret/ConfigMap, oc adm policy add-scc-to-user, Image Pull Secrets, certificats x509.
Temps estimé: 10-12h

Domain 4 : Configuration du reseau et du stockage 20%

Objectifs: Configurer les Routes (specifiques OpenShift) et Ingress pour exposer les applications, gerer les Services (ClusterIP, NodePort, LoadBalancer), provisionner du stockage persistant via PersistentVolumes et PersistentVolumeClaims, et configurer les StorageClass dynamiques. Comprendre les modes d'acces (RWO, RWX, ROX) et choisir le bon backend.
Concepts clés: Routes vs Ingress, terminaison TLS (edge, passthrough, reencrypt), Services, Endpoints, OVN-Kubernetes, MetalLB, PersistentVolume statique vs dynamique, StorageClass, Container Storage Interface (CSI), OpenShift Data Foundation (ODF/Ceph), modes RWO/RWX/ROX, snapshots de volumes.
Services / outils: HAProxy router, Routes, Ingress Controller, NFS, iSCSI, CSI drivers, OpenShift Data Foundation, AWS EBS/EFS, Azure Disk/File pour cloud public.
Temps estimé: 12-14h

Domain 5 : Deploiement et gestion des applications 20%

Objectifs: Deployer des applications via Deployments, DeploymentConfigs, StatefulSets et DaemonSets. Gerer le scaling horizontal (HPA), les quotas de ressources (ResourceQuota, LimitRange), les Jobs et CronJobs. Le candidat doit savoir utiliser les Templates et Operators pour industrialiser les deploiements.
Concepts clés: Deployment vs DeploymentConfig (legacy OpenShift), StatefulSet, DaemonSet, HorizontalPodAutoscaler, ResourceQuota, LimitRange, Templates OpenShift, ImageStream, BuildConfig (S2I Source-to-Image), Helm charts v3, Operators et CRDs, Jobs/CronJobs pour les batchs.
Services / outils: Commandes oc new-app, oc new-project, oc apply, oc scale, oc autoscale. Outils : Helm 3, Source-to-Image (S2I), Tekton Pipelines, ArgoCD pour GitOps.
Temps estimé: 10-12h

Plan de révision hebdomadaire

Planning sur 8 semaines (200 heures) pour un profil ayant deja des bases Linux et conteneurs. Semaine 1 : installation d'un cluster lab via CodeReady Containers (CRC) ou OpenShift Local sur poste personnel. Lecture du guide d'installation officiel et du chapitre architecture OpenShift 4. Semaine 2 : approfondir l'authentification. Configurer HTPasswd, LDAP en lab, creer 10 utilisateurs et 5 groupes. Exercices RBAC : creer des Roles custom et tester les permissions. Semaine 3 : SecurityContextConstraints et secrets. Realiser le lab officiel DO280 chapitre securite. Pratiquer la creation de SCC custom pour des workloads non-root. Semaine 4 : NetworkPolicies. Construire une architecture multi-namespace avec isolation reseau stricte (frontend, backend, database). Tester les flux ingress et egress. Semaine 5 : stockage persistant. Configurer NFS dynamique, tester PVC RWO et RWX, simuler des snapshots. Semaine 6 : applications et scaling. Deployer 5 applications differentes via S2I, Helm et Operators. Configurer HPA et ResourceQuotas. Semaine 7 : examens blancs. Realiser 3 examens blancs chronometres de 3h sur la plateforme Pearson VUE ou via les sample exams de Sander van Vugt. Identifier ses points faibles. Semaine 8 : revision finale. Repasser sur les commandes oc adm critiques, refaire les labs les moins maitrises, dormir 8h la veille. Le jour J, gerer son temps : 15 minutes max par tache, marquer les taches difficiles et revenir dessus.

Besoin d'un planning sur mesure ? 30 jours · 60 jours · 90 jours

Ressources recommandées

Documentation officielle Red Hat OpenShift 4.16

Documentation exhaustive et a jour, reference absolue pour l'examen. Lire les sections Authentication, Networking, Storage et Security.

Cours DO280 Red Hat Training

Cours officiel preparant directement a EX280. Inclut un acces aux labs cloud Red Hat. Tarif 3200 EUR mais souvent finance via OPCO.

Labs CodeReady Containers (OpenShift Local)

Mini-cluster OpenShift gratuit a installer sur Windows, Mac ou Linux. Indispensable pour s'entrainer sans frais.

Communaute Reddit r/openshift et forum Red Hat Learning

Retours d'experience EX280, conseils de candidats recemment certifies, partage de labs et de questions types.

5 erreurs classiques à éviter

Erreur 1 : Sous-estimer la gestion du temps. 3h pour 15-20 taches pratiques, c'est court. Eviter en chronometrant chaque lab a l'entrainement et en sautant les taches bloquantes pour y revenir.
Erreur 2 : Ne pas maitriser la CLI oc. L'examen est en CLI, pas via la web console. Eviter en pratiquant exclusivement en ligne de commande pendant la preparation, sans souris.
Erreur 3 : Oublier de verifier le contexte de projet (oc project). Beaucoup d'erreurs viennent d'objets crees dans le mauvais namespace. Eviter en faisant systematiquement oc project nom-projet avant chaque tache.
Erreur 4 : Confondre Deployment et DeploymentConfig. DeploymentConfig est specifique OpenShift et legacy mais encore teste. Eviter en lisant la doc sur les triggers et hooks specifiques.
Erreur 5 : Negliger les SecurityContextConstraints. Beaucoup d'images publiques ne demarrent pas sous SCC restricted. Eviter en pratiquant l'attribution de SCC anyuid a des ServiceAccounts.

5 questions types corrigées

Q1. Vous devez creer un utilisateur 'alice' avec le mot de passe 'redhat' via le provider HTPasswd et lui donner les droits cluster-admin. Quelle sequence de commandes est correcte ?

Réponse : B

L'authentification HTPasswd dans OpenShift 4 necessite trois etapes : generer le fichier htpasswd avec l'utilitaire htpasswd, creer un Secret dans le namespace openshift-config contenant ce fichier, puis attribuer le ClusterRole cluster-admin via oc adm policy add-cluster-role-to-user. Les options A, C et D melangent des concepts ou utilisent des commandes inexistantes. La commande htpasswd -cBb cree le fichier avec un hash bcrypt. Le Secret doit imperativement se nommer comme reference dans la ressource OAuth.

Q2. Quelle ressource utilisez-vous pour exposer une application HTTPS avec terminaison TLS edge dans OpenShift ?

Réponse : C

La Route est la ressource specifique OpenShift pour exposer des services HTTP/HTTPS. La terminaison edge signifie que le routeur HAProxy termine le TLS et communique en HTTP avec le pod. Les autres modes sont passthrough (TLS jusqu'au pod) et reencrypt (TLS termine puis re-chiffre). Ingress fonctionne aussi mais Route offre plus de fonctionnalites natives OpenShift. LoadBalancer et NodePort exposent au niveau L4 sans gestion TLS native.

Q3. Vous voulez autoriser un pod a s'executer en tant que root. Quelle action realiser ?

Réponse : B

Par defaut, OpenShift applique la SCC 'restricted' qui interdit l'execution en root et impose un UID aleatoire. Pour autoriser un pod a tourner en root, il faut attribuer la SCC 'anyuid' au ServiceAccount utilise par le pod. La commande oc adm policy add-scc-to-user anyuid -z monsa associe la SCC anyuid au ServiceAccount monsa. L'option A seule ne fonctionne pas car la SCC restricted bloque cette configuration. C'est un point classique en production pour faire tourner des images publiques non concues pour OpenShift.

Voir plus de questions gratuites →

Carrière & salaire après EX280

En France 2026, un administrateur OpenShift certifie EX280 gagne entre 55k et 70k EUR brut annuel en debut de carriere (3-5 ans d'experience), et 75k a 95k EUR pour un profil senior (8+ ans). En region parisienne et chez les grands comptes (BNP, Societe Generale, Orange, Thales, SNCF), les salaires montent jusqu'a 105k EUR pour les leads Platform Engineering. En freelance, les TJM oscillent entre 650 et 900 EUR. Les debouches typiques : Cloud Platform Engineer, Site Reliability Engineer, DevOps Lead, Architecte Conteneurs. Certifications complementaires recommandees pour booster sa carriere : EX180 (Containers basics), EX316 (Virtualization sur OpenShift), EX358 (Networking Services), et a terme RHCA (Red Hat Certified Architect) qui valorise jusqu'a 120k EUR.

Détail des salaires EX280 en 2026 →

FAQ — EX280

Combien de temps faut-il pour preparer EX280 ?

Comptez 150 a 250 heures sur 2 a 3 mois si vous avez deja une experience Kubernetes ou RHCSA. Pour un debutant en conteneurs, prevoyez 6 mois en passant d'abord EX180 ou la certification CKA.

Cette certification est-elle reconnue en France ?

Oui, EX280 est tres reconnue dans les grands comptes francais, notamment le secteur bancaire (BNP, SG, Credit Agricole), les telecoms (Orange, Bouygues) et l'administration (DGFiP, ministeres) qui utilisent massivement OpenShift via le partenariat Red Hat France.

Quel est le taux de reussite a EX280 ?

Red Hat ne publie pas de chiffres officiels mais les retours communautaires indiquent un taux de reussite estime entre 55% et 65% au premier passage, comparable aux autres certs specialty Red Hat.

Quel est le salaire apres EX280 ?

55-70k EUR brut annuel pour un profil junior/intermediaire en France, 75-95k EUR pour un senior, et jusqu'a 105k EUR pour un Lead Platform Engineer en Ile-de-France. En freelance, TJM 650-900 EUR.

Faut-il une experience prealable ?

Oui, fortement recommande : RHCSA (EX200) ou equivalent Linux, plus 6 mois minimum de pratique Kubernetes. Sans ces bases, l'examen est tres difficile car 100% pratique sans documentation accessible.

EX280 ou cert concurrente : laquelle choisir ?

EX280 si votre marche cible est OpenShift (grands comptes, banques, secteur public europeen). CKA (Linux Foundation) si vous visez du Kubernetes vanilla (startups, GAFAM, cloud public). Les deux sont complementaires pour un profil senior.

Combien coute l'examen EX280 ?

460 EUR HT en France via Red Hat (500 USD au tarif international). Le cours DO280 preparatoire coute environ 3200 EUR mais peut etre finance par votre OPCO ou employeur. La certification seule est plus economique.

Combien de fois peut-on repasser EX280 ?

Red Hat permet un nombre illimite de tentatives, mais chaque passage coute le prix plein (460 EUR HT). Un delai de 24h minimum est impose entre deux tentatives. Les Red Hat Learning Subscriptions incluent souvent 2 passages.

Prêt à passer à la pratique ?

Lancez votre examen blanc gratuit ou faites le test d'orientation pour valider votre choix.

Démarrer l'examen blanc EX280 → Test d'orientation