Dans mon article sur la CKA sorti en juillet 2024, j’avais Ă©crit noir sur blanc « Maintenant, je pense passer la CKS dâici la fin de lâannĂ©e ! đȘ (oui, il y aura un article, oui) ».
Je sais… On est en Septembre 2025 mdr, mais bon, mieux vaut tard que jamais non ?
C’est pas parce-que mon voucher expirait le 16 septembre que je me suis dĂ©cidĂ© Ă la passer non non (đ«Ł). Mais parce-que jâavais envie dâaller plus loin sur la partie sĂ©curitĂ©, qui est un sujet que j’apprĂ©cie beaucoup! (et un peu pour le voucher, ok)
Pour les personnes qui ne voient pas de quoi je parle, la Certified Kubernetes Security (CKS) est une certification proposée par la CNCF et la Linux Foundation. On peut voir ça comme une surcouche orientée sécu au-dessus de la CKA. Typiquement on avoir des sujets comme :
- Comment limiter les permissions dâun Pod ?
- Comment scanner et sécuriser les images utilisées ?
- Comment renforcer lâisolation et la surveillance du cluster ?
CâĂ©tait l’occasion d’en apprendre plus sur les bonnes pratiques de sĂ©curitĂ©, de pratiquer, mais aussi de me donner une excuse pour creuser sĂ©rieusement le sujet avec une deadline đ.
Assez parlĂ©, comment je m’y suis prĂ©parĂ© Ă cette CKS ?
La prépa ?
Jâai dĂ©cidĂ© de miser sur un seul support qui est le cours KodeKloud Certified Kubernetes Security Specialist â CKS.
Il faut le dire, il va falloir passer Ă la caisse. Lâabonnement est mensuel, autour de 40 ⏠par mois (sans engagement). Mais franchement, le contenu vaut vraiment le coup.
Les modules et les vidĂ©os sont trĂšs bien structurĂ©s et clairs, mĂȘme si tout est en anglais.
Le vrai gros plus et la raison pour laquelle je voulais absolument ce cours, ce sont les labs. Ă la fin de chaque module, on peut directement mettre en pratique ce quâon vient dâapprendre. Ăa permet de valider ses connaissances progressivement. En plus, ce cours mâavait Ă©tĂ© fortement recommandĂ© (coucou Gug si tu passes par lĂ đ).
Pour lâorganisation, je me suis fixĂ© un rythme assez rĂ©gulier. Environ 4 semaines de prĂ©paration Ă raison de 1 Ă 2 heures par jour. LâidĂ©e, câĂ©tait dâavancer module par module, sans sauter dâĂ©tapes et de mâassurer que chaque partie Ă©tait bien assimilĂ©e avant de continuer.
Une fois tous les modules terminĂ©s, place aux mock exams proposĂ©s par KodeKloud. Ce sont des examens blancs, chronomĂ©trĂ©s, avec une dizaine de questions proches de celles quâon pourrait retrouver le jour J.
Autant ĂȘtre honnĂȘte… Je pensais que ça allait rouler, vu que jâavais validĂ© les modules sans trop de difficultĂ©. RĂ©sultat du premier exam : à peine 20 % de rĂ©ussite. ça mâa remis les idĂ©es en place đ .
Du coup, retour aux rĂ©visions sur les points qui m’avaient posaient problĂšme (network policies, admission controller, les Falco rules). Je refaits plusieurs fois les exams blancs (sans tricher, sans aller voir les solutions entre deux passages) jusquâĂ atteindre un score que je juge satisfaisant (au-dessus des 80 % Ă chaque fois).
Ă ce moment-lĂ , je me suis dit qu’il est temps de booker une date.
Comme pour la CKA, jâai activĂ© mes sessions killer.sh 48h avant le passage de lâexamen, histoire de me mettre en condition rĂ©elle et de solidifier les acquis (je dĂ©taille ma mĂ©thode dans mon article sur la CKA pour ceux qui veulent).
Encore une fois, ça ne s’est pas trĂšs bien passĂ©… Premier essai, les questions m’ont semblĂ© impossibles ! Je termine avec un score de 29/84 au bout du timer de 2h avec beaucoup de questions non traitĂ©es…
LĂ , je me dis que c’est vraiment chaud, et je dĂ©cide de re programmer une date de passage Ă la semaine d’aprĂšs.
Pendant 4 jours, j’ai littĂ©ralement poncĂ© les sessions killer.sh. J’en faisais 2 par jours, 2h le matin, 2h l’aprem. J’arrive Ă monter jusqu’Ă 73/84.
J’ai aussi trouvĂ© le week-end avant mon passage un set de questions sur killercoda spĂ©ciale CKS, c’est gratuit et les questions sont vraiment pertinentes. Je recommande Ă 200%. En plus, il tombait Ă pic parce-que j’avais Ă©puisĂ© mes sessions killer.sh. Donc je passe littĂ©ralement mon samedi aprem et dimanche aprem Ă faire tous les exos. Avant le passage Lundi matin !
Jour de l’exam
ça y est, le D-Day ! Je lance le PSI Browser, je fais le check-in avec l’instructeur et boom, lâexamen se lance en mĂȘme temps que le compte Ă rebours de la CKS qui est de 120 minutes. J’ai 16 questions. On est sur le mĂȘme principe que la CKA avec un environnement Linux fourni, plusieurs clusters Kube et un accĂšs Ă la documentation officielle Kubernetes et quelques autres docs autorisĂ©es, je vous laisse aller check sur le lien (pas de besoin de les retenir, les liens vous serons fourni avec la question).
Les premiĂšres minutes ont Ă©tĂ© un gros moment de panique, je lis les 3 premiĂšres questions et je ne comprends rien du tout à ce quâil faut faire. Heureusement, je tombe ensuite sur 2 ou 3 questions que je rĂ©ussis Ă traiter rapidement. Ăa me redonne confiance et ça me remet dans le bon rythme.
Au final, jâarrive Ă la 16Ăšme question au bout dâ1h10, avec encore 5 questions flagĂ©es. Je reviens dessus tranquillement, et lĂ , je remarque un truc ultra utile que je nâavais pas vu tout de suite :
Pour chaque question, il y a un lien direct vers la documentation officielle correspondant au sujet de la question.
Et ça, câest clairement un tips en or đĄ
Une fois que jâai captĂ© ça, tout devient beaucoup plus facile, ça donne un grooooos indice sur ce qu’il faut faire. Typiquement, je vois un lien vers la page Deployment et SecurityContext, il y a de grandes chances qu’il faille mettre en place un SecurityContext sur un Deployment.
Jâai rĂ©ussi Ă terminer les 16 questions tout juste dans les temps. Je pense quâil restait Ă peine 5 secondes quand jâai validĂ© la derniĂšre. Autant dire que le timing est trĂšs serrĂ© !
Franchement, aucune grosse surprise. Si on est bien prĂ©parĂ© (et quâon a bien bossĂ© les labs + les mock exams), tout est faisable. Le challenge, câest surtout de gĂ©rer son temps et de ne pas paniquer quand on bloque sur une question.
Une fois lâexamen terminĂ©, il ne restait plus quâĂ Â attendre les rĂ©sultats (un peu plus de 24h)⊠Et honnĂȘtement, je nâĂ©tais mĂȘme pas stressĂ© đ.
Je pense que câest parce que jâavais vraiment le sentiment dâavoir donnĂ© le meilleur de moi-mĂȘme, aussi bien pendant les semaines de rĂ©vision que pendant les 2h dâĂ©preuve. Jâai appliquĂ© tout ce que je savais, comme je lâavais prĂ©vu.
Du coup, je me suis dit « si jamais je lâai loupĂ©e, tant pis ». Ce n’est pas grave, parce quâau final, jâai dĂ©couvert et pratiquĂ© plein de sujets que je ne maĂźtrisais pas (ou trĂšs peu) comme Falco, les Admission Controllers, les ImagePolicyWebhook ou encore les Network Policies.
Alors, alors, tu l’as eu ?
Ouiiiiiiiiiiiiii ! đ„ł
Et avec un trĂšs beau score dont je suis trĂšs fier :
Mes tips
Voici les quelques conseils que je peux vous donner pour mettre toutes les chances de votre cÎté le jour J
DĂ©jĂ , tous mes conseils de la CKA restent valables.
Prenez connaissance des ressources autorisĂ©es le jour de lâexamen et familiarisez-vous avec leur structure. Pas de panique : les liens vers la doc utile sont donnĂ©s avec chaque question, mais câest beaucoup plus efficace quand on sait dĂ©jĂ oĂč chercher.
RĂ©visez bien Falco. Apprenez Ă mettre en place des rĂšgles et Ă vous familiariser avec la documentation. Ăa peut faire perdre Ă©normĂ©ment de temps si on dĂ©couvre tout sur le moment. Prenez lâhabitude dâutiliser CTRL+F dans cette page pour chercher rapidement les champs supportĂ©s.Ăa permet de constituer rapidement vos outputs.
Utilisez kubescan avec un | jq .,ça permet de rendre les rĂ©sultats lisibles et de voir rapidement ce quâil faut corriger.
Une petite commande super utile quand on doit modifier une ressource existante :
kubectl get <ressource> <nom> -o yaml > monfichier.yaml
# ... Ă©dition de monfichier.yaml ...
kubectl replace --force -f monfichier.yamlAttention quand vous touchez Ă lâAPI Server. Il y a plusieurs questions oĂč il faut âjouerâ avec /etc/kubernetes/kube-apiserver.yaml. Faites toujours un backup avant de modifier quoi que ce soit, sinon votre cluster peut devenir inutilisable :
cp /etc/kubernetes/kube-apiserver.yaml /etc/kubernetes/kube-apiserver.yaml.bakJ’en ai dĂ©jĂ parlĂ© dans l’article mais, https://killercoda.com/killer-shell-cks est une excellente ressource gratuite pour pratiquer dans un environnement trĂšs proche de celui de lâexamen.
GĂ©rez votre temps. Si une question ne vous inspire pas dans les 30 premiĂšres secondes, flaggez-la et passez Ă la suivante. Le timing est trĂšs serrĂ©, donc attaquez dâabord les questions que vous savez faire.
Petit dĂ©tail si vous ĂȘtes sur Ubuntu 24.04 : Wayland est activĂ© par dĂ©faut, mais il nâest pas compatible avec le PSI Browser utilisĂ© pour lâexamen. Il faut donc le dĂ©sactiver avant le jour J :
# sudo vim /etc/gdm3/custom.conf
[daemon]
# Uncomment the line below to force the login screen to use Xorg
WaylandEnable=falsePuis fermez et rouvrez votre session pour que ce soit pris en compte.
Conclusion
VoilĂ Ă Ă Ă Ă Ă , c’Ă©tait ma petite aventure vers la CKS. J’espĂšre vous avoir donnĂ© des infos utiles haha.
Bonne chance Ă tout ceux qui vont passer la CKS ! Vous allez l’avoir j’en suis sĂ»r ! đȘ
Je ne peux terminer cet article sans remercier WeScale pour le soutient et l’accompagnement ! đ«¶