Certified Kubernetes Administrator (CKA): Zertifizierungsvorbereitung

Seminarziel

Jede teilnehmende Person verlässt das Seminar mit einem strukturierten Verständnis der fünf CKA-Prüfungsdomänen in offizieller Gewichtung (Cluster Architecture 25 %, Servicing and Networking 20 %, Workloads and Scheduling 15 %, Storage 10 %, Troubleshooting 30 %), der Beherrschung der 2025er Curriculum-Neuerungen (Gateway API, CRDs und Operatoren, Helm und Kustomize, Extension Interfaces CNI/CSI/CRI, Workload Autoscaling), der Routine in kubeadm-Cluster-Lifecycle (Installation, Upgrades, etcd-Backup, Node-Management, High Availability), dem Werkzeug für Networking (Network Policies mit Default Deny, Service-Typen, CoreDNS, Gateway API), der Praxis in Storage (PV/PVC-Lifecycle, Storage Classes mit dynamischer Provisionierung, CSI-Treiber), der Disziplin in Workloads und Scheduling (Rolling Updates, ConfigMaps und Secrets, HPA/VPA/Cluster Autoscaler, Resource Quotas, Pod Affinity, Taints und Tolerations), der systematischen Troubleshooting-Methodik über Cluster-Komponenten, Nodes, Workloads und Networking, einer absolvierten Probeklausur mit Domänen-Schwächenanalyse und einem persönlichen Lernplan - gut vorbereitet auf das CKA-Examen der CNCF.

Inhalt

Tag 1: Domain 1 - Cluster Architecture, Installation and Configuration (25 %)
1. Kubernetes-Architektur und Cluster-Aufbau

• Cluster-Architektur:  Control Plane (kube-apiserver, etcd, scheduler, controller-manager),  Nodes (kubelet, kube-proxy, Container-Runtime).
• kubectl-Grundlagen:  Kontext-Management, Namespace-Auswahl, Output-Formate (yaml, json,  jsonpath, custom-columns), Auto-Completion und Aliase.
• Cluster-Installation mit kubeadm : Vorbereitung der Underlying Infrastructure, Bootstrap, Join von Worker-Nodes, kubeconfig.
• High Availability: gestackte vs. externe etcd-Topologie, Multi-Master-Setups, Load Balancer für Control Plane.
• Lifecycle-Management: Cluster-Upgrades mit kubeadm (Skip-Versionen, Drain, Cordon), Node-Wartung.
• Praxis-Übung:   kubeadm-Cluster mit einem Master und zwei Worker-Nodes aufsetzen,  etcd-Backup mit etcdctl erstellen, ein Node aus dem Cluster sicher  entfernen und neu beitreten lassen.

2. RBAC, Helm, Kustomize und Extension Interfaces

• Role-Based  Access Control: Roles, ClusterRoles, RoleBindings, ClusterRoleBindings; Service Accounts und ihre Token; Least-Privilege-Patterns.
• Helm als Paket-Manager: Charts, Values, Releases, Repositories; Helm für Cluster-Komponenten-Installation.
• Kustomize als templatefreier Composer: Bases, Overlays, Patches, generators.
• Extension Interfaces   verstehen: Container Network Interface (CNI mit Calico, Cilium,  Flannel), Container Storage Interface (CSI), Container Runtime Interface (CRI mit containerd, CRI-O).
• Custom Resource Definitions (CRDs) und Operatoren : Konzept, Installation, Lifecycle-Management mit Operator-Pattern.
• Praxis-Übung:   RBAC für ein Multi-Team-Cluster mit zwei Service Accounts und  Least-Privilege-Policy umsetzen; Cert-Manager als Operator via Helm  installieren und Custom Resource (Issuer, Certificate) anlegen;  Kustomize-Overlay für Dev und Prod erstellen.

Tag 2: Domain 2 - Servicing and Networking (20 %) und Domain 4 - Storage (10 %)
3. Pod-Connectivity, Network Policies und Services

• Pod-Connectivity: Pod-Netzwerk-Modelle, ClusterCIDR, Pod-zu-Pod-Routing.
• Network Policies definieren und durchsetzen: Default-Deny, gezielte Allow-Regeln, Egress vs. Ingress, DNS-Egress.
• Service-Typen: ClusterIP, NodePort, LoadBalancer, ExternalName; Endpoints und EndpointSlices.
• CoreDNS : Cluster-DNS, Service-Discovery, Konfiguration, häufige Fehlerszenarien.
• Klassische Ingress-Ressourcen: Ingress Controller (NGINX, Traefik), Ingress-Regeln, TLS.
• Gateway API zur Ingress-Verwaltung: Gateway, GatewayClass, HTTPRoute - moderne Nachfolge-Spezifikation.
• Praxis-Übung:   Default-Deny Network Policy für ein Namespace umsetzen, gezielte Allows für DNS und einen Backend-Service hinzufügen; HTTPRoute mit Gateway API für eine Beispiel-Anwendung mit Path-basiertem Routing einrichten und CoreDNS-Lookup verifizieren.

4. Storage: Persistent Volumes, Storage Classes und dynamische Provisionierung

• Volume-Typen in Kubernetes: emptyDir, hostPath, configMap, secret, projected, persistentVolumeClaim.
• Persistent Volumes (PV) und Persistent Volume Claims (PVC): Manuelle Provisionierung, Static Binding.
• Storage Classes und dynamische Volume-Provisionierung: Provisioner, Parameters, ReclaimPolicy.
• Volume-Konfiguration:  Access Modes (ReadWriteOnce, ReadOnlyMany, ReadWriteMany,  ReadWriteOncePod), Reclaim Policies (Retain, Delete).
• Container Storage Interface (CSI): Treiber-Auswahl in Cloud (EBS, Azure Disk, GCE PD) und On-Prem (Rook, Longhorn, OpenEBS).
• Praxis-Übung:   Storage Class mit dynamischer Provisionierung anlegen, eine  StatefulSet-Anwendung mit PVC-Templates deployen und PVC-Lifecycle  (Create, Bind, Resize, Delete) durchspielen.

Tag 3: Domain 3 - Workloads and Scheduling (15 %) und Domain 5 Teil 1 - Troubleshooting
5. Workloads, Rolling Updates und Konfiguration

• Workload-Ressourcen: Deployments, ReplicaSets, StatefulSets, DaemonSets, Jobs, CronJobs.
• Rolling Updates und Rollbacks: Strategien (RollingUpdate, Recreate), maxUnavailable, maxSurge, Revision History.
• ConfigMaps und Secrets : Erstellung, Mount-Patterns (Volume vs. Environment Variables), Updates und Rolling Restarts.
• Robuste, selbstheilende Deployments: Liveness, Readiness und Startup Probes.
• Self-Healing-Primitives: ReplicaSet, Deployment-Recreate, Pod-Disruption-Budget.
• Praxis-Übung:   Deployment mit Rolling-Update-Strategie und Liveness/Readiness-Probes  erstellen; ConfigMap und Secret als Volume und als Environment Variables mounten; Rolling Update durchführen und bei Fehler zurückrollen.

6. Workload Autoscaling und Pod Admission

• Horizontal Pod Autoscaler (HPA) : Metriken-Server-Voraussetzungen, CPU- und Memory-basierte Skalierung, Custom Metrics.
• Vertical Pod Autoscaler (VPA) : Recommender, Updater, Admission-Controller, Auto- vs. Initial-Mode.
• Cluster Autoscaler : Node-Provisioning auf Cloud-Plattformen, Skalierungs-Limits.
• Pod-Admission und Scheduling: Resource Requests und Limits, ResourceQuota, LimitRange, PriorityClass.
• Scheduling-Mechanismen:  nodeSelector, Node Affinity, Pod Affinity und Anti-Affinity, Taints und Tolerations, Topology Spread Constraints.
• Praxis-Übung:   HPA für ein Deployment mit CPU-basierter Skalierung konfigurieren und  unter Last validieren; Pod mit Node Affinity und Tolerations auf  bestimmten Worker-Nodes scheduling sicherstellen; ResourceQuota für ein  Namespace mit Limits für CPU, Memory und PVC-Anzahl umsetzen.

Tag 4: Domain 5 Teil 2 - Troubleshooting (Rest 30 %), Vertiefung und Probeklausur
7. Troubleshooting: Cluster, Nodes, Workloads und Networking

• Cluster-Komponenten-Troubleshooting:  kube-apiserver, etcd, kubelet, scheduler, controller-manager - typische Fehlerbilder und Logs.
• Node-Troubleshooting: NotReady-Status, kubelet-Probleme, Container-Runtime-Fehler, Disk-Pressure, Memory-Pressure.
• Workload-Troubleshooting: ImagePullBackOff, CrashLoopBackOff, Pending, ContainerCreating; Pod-Events, kubectl describe und logs.
• Service- und Networking-Troubleshooting: Endpoint-Probleme, Service-Selector-Mismatch, DNS-Probleme, Network-Policy-Lockouts.
• Resource-Monitoring: kubectl top, Metrics Server, Container-Logs (stdout/stderr).
• Container-Output-Streams: Logs zu STDOUT/STDERR, Multi-Container-Pod-Logs, ephemerale Debug-Container.
• crictl als Investigation-Tool auf Node-Ebene.
• Praxis-Übung:   Drei vorbereitete Fehlerszenarien systematisch durchspielen:  NotReady-Node mit kubelet-Problem, Pod im CrashLoopBackOff wegen  falschem ENTRYPOINT, Service ohne erreichbare Endpoints wegen  Selector-Mismatch.

8. Prüfungsstrategie und Praxis-Workshop
Prüfungsstrategie (45 Min):

• CKA-Examen-Format:  2 Stunden, rund 17 performance-based Tasks, Pass-Score 66 %, Kubernetes v1.34/v1.35, ausschliesslich Englisch, PSI-Bridge-Browser-Umgebung mit mehreren Cluster-Kontexten.
• Erlaubte Dokumentation: kubernetes.io, kubernetes.io/docs, helm.sh - kein Wechsel zu anderen Domains.
• Drei-Pass-Strategie:  Quick Wins zuerst, komplexe Tasks danach, Validierung am Ende; nie  Tasks unbeantwortet lassen wegen partieller Punktevergabe.
• Anti-Patterns:  Ctrl+W im PSI-Browser (schliesst Tab), Reboot der Base-Node, fehlende  Kontext-Wechsel zwischen Clustern, fehlendes kubectl-Alias-Setup.
• Zeitmanagement:  7 Minuten pro Task im Schnitt, kubectl-Alias und Auto-Completion sofort nach Start einrichten, --dry-run=client -o yaml für schnelle  Manifest-Generierung.

Praxis-Workshop (180 Min):

• Phase 1 - Hands-on-Sprint (60 Min):   Drei reale Aufgaben (kubeadm-Upgrade auf einem Node, HPA mit  Validierung unter Last, Network Policy mit Default Deny und gezielten  Allows) mit gegenseitigem Code-Review.
• Phase 2 - Probeklausur unter Prüfungsbedingungen (90 Min):   12 performance-based Tasks über alle fünf Domänen in offizieller  Gewichtung, 90 Minuten als verkürzte Trainingseinheit, ohne Hilfsmittel  ausser erlaubter Dokumentation.
• Phase 3 - Auswertung und Peer-Review (30 Min):   Score pro Domäne, Schwächenanalyse, Lernplan. Peer-Review der  schwierigsten Tasks: kubeadm-Upgrade-Reihenfolge, RBAC-Definition,  HPA-Konfiguration, Gateway API vs. Ingress, Network-Policy-DNS-Egress,  etcd-Backup und Restore.