Professional Cloud Network Engineer

Section 1 : Concevoir et planifier un réseau Google Cloud (environ 26 % de l'examen)

1.1 Concevoir l'architecture globale du réseau. Points à prendre en compte :

    ●  Concevoir la haute disponibilité, le basculement, la reprise après sinistre et l'évolutivité

    ●  Concevoir la topologie DNS (par exemple, sur site, Cloud DNS)

    ●  Concevoir des solutions répondant aux exigences de sécurité et de prévention de l'exfiltration de données

    ●  Choisir un équilibreur de charge pour une application

    ●  Concevoir pour une connectivité hybride (par exemple, l'accès privé à Google pour la connectivité hybride).

    ●  Planifier la mise en réseau de Google Kubernetes Engine (GKE) (par exemple, plages secondaires, potentiel de scaling en fonction de l'espace d'adresses IP, accès au plan de contrôle GKE)

    ●  Planifier des rôles IAM (Identity and Access Management), y compris la gestion des rôles IAM dans un environnement VPC partagé

    ●  Intégrer la microsegmentation à des fins de sécurité (par exemple, utilisation de métadonnées, tags, comptes de service et tags sécurisés)

    ●  Planifier la connectivité aux services gérés (par exemple, l'accès aux services privés, Private Service Connect, l'accès au VPC sans serveur)

    ●  Différencier les niveaux de réseau (par exemple, Premium et Standard).

    ●  Concevoir pour VPC Service Controls

1.2 Concevoir des réseaux de cloud privé virtuel (VPC). Points à prendre en compte :

    ●  Choisir le type et la quantité de VPC (par exemple, VPC autonome ou partagé, nombre d'environnements VPC)

    ●  Déterminer comment les réseaux se connectent en fonction d'exigences (par exemple, l'appairage de réseaux VPC, l'appairage de réseaux VPC avec Network Connectivity Center et Private Service Connect)

    ●  Planifier la stratégie de gestion des adresses IP (par exemple, sous-réseaux, IPv6, utilisation de votre propre adresse IP (préfixe annoncé public et préfixe public délégué (PDP)), Private NAT, non-RFC 1918, services gérés)

    ●  Planifier un environnement réseau mondial ou régional

    ●  Planifier la stratégie de pare-feu (par exemple, les règles de pare-feu VPC, Cloud Next Generation Firewall, les règles de pare-feu hiérarchiques)

    ●  Planifier des routes personnalisées (statiques ou basées sur des règles) pour l'insertion d'appareils tiers (par exemple, un dispositif virtuel réseau)

1.3 Concevoir un réseau hybride et multicloud résilient et performant Points à prendre en compte :

    ●  Concevoir pour la connectivité des centres de données, y compris les contraintes de bande passante (par exemple, Dedicated Interconnect, Partner Interconnect, Cloud VPN)

    ●  Concevoir pour une connectivité multicloud (par exemple, Cloud VPN ou Cross-Cloud Interconnect)

    ●  Concevoir pour la connectivité des agences (par exemple, VPN IPSec et appareils SD-WAN).

    ●  Choisir quand utiliser l'appairage direct ou un Verified Peering Provider

    ●  Concevoir des stratégies de connectivité à haute disponibilité et pour la reprise après sinistre

    ●  Sélectionner le mode de routage dynamique régional ou global

    ●  Accès à plusieurs VPC à partir d'emplacements sur site (par exemple, VPC partagé, appairage multi-VPC et topologies Network Connectivity Center)

    ●  Accéder aux services et aux API Google de manière privée depuis des emplacements sur site (par exemple, Private Service Connect pour les Google APIs)

    ●  Accéder aux services gérés par Google via des connexions d'appairage de réseaux VPC (par exemple, accès aux services privés, mise en réseau de services)

    ●  Concevoir l'espace d'adressage IP entre les emplacements sur site et les environnements cloud (par exemple, plages internes, planification pour éviter les chevauchements)

    ●  Concevoir la stratégie d'appairage et de transfert DNS (par exemple, chemin de transfert DNS).

1.4 Concevoir un plan d'adressage IP pour Google Kubernetes Engine (GKE) Points à prendre en compte :

    ●  Choisir entre les nœuds de cluster et les pools de nœuds publics ou privés

    ●  Choisir entre les points de terminaison publics ou privés du plan de contrôle

    ●  Choisir entre le mode GKE Autopilot ou Standard

● Planifier les sous-réseaux et les adresses IP d'alias.

    ●  Sélectionner des adresses IP publiques (PUPI) RFC 1918, non-RFC 1918 et/ou à usage privé

● Planifier pour IPv6.

Section 2 : Mise en œuvre de réseaux de cloud privé virtuel (VPC) (environ 22 % de l'examen)

2.1 Configurer un VPC. Points abordés :

    ●  Créer des ressources VPC Google Cloud (par exemple, réseaux, sous-réseaux, règles ou stratégies de pare-feu, sous-réseau d'accès aux services privés)

● Configurer un appairage de réseaux VPC.

    ●  Création d'un réseau VPC partagé et partage de sous-réseaux avec d'autres projets

    ●  Configuration de l'accès des API aux services Google (par exemple, accès privé à Google, interfaces publiques)

    ●  Étendre des plages de sous-réseaux VPC après la création

2.2 Configurer le routage VPC. Points à prendre en compte :

    ●  Configurer le routage statique et dynamique

    ●  Configurer un routage dynamique mondial ou régional

    ●  Implémenter un routage à l'aide de tags réseau et de la priorité

    ●  Implémenter un équilibreur de charge interne en tant que prochain saut

    ●  Importer/Exporter des routes personnalisées via l'appairage de réseaux VPC

● Configurer un routage basé sur des règles.

2.3 Configurer Network Connectivity Center. Points à prendre en compte :

    ●  Gérer la topologie du VPC (par exemple, topologie en étoile, hub et spokes, topologie maillée)

● Implémenter le NAT privé.

2.4 Configurer et gérer des clusters Google Kubernetes Engine Points à prendre en compte :

    ●  Créer des clusters de VPC natif à l'aide d'adresses IP d'alias

    ●  Configurer des clusters avec un VPC partagé

    ●  Configurer des clusters privés et points de terminaison privés du plan de contrôle

    ●  Ajouter des réseaux autorisés pour les points de terminaison du plan de contrôle de cluster

● Configurer Cloud Service Mesh.

● Activer GKE Dataplane V2.

    ●  Configurer des règles de NAT source (SNAT) et de masquage d'adresses IP

● Créer des règles de réseau GKE.

    ●  Configurer des plages de pods et des plages de services, et déployer des plages de pods supplémentaires pour les clusters GKE.

2.5 Configurer et gérer les règles de pare-feu Cloud nouvelle génération (NGFW) Points à prendre en compte :

    ●  Créer les règles de pare-feu et les stratégies régionales/globales

    ●  Mapper les tags réseau cibles, les comptes de service et les tags sécurisés

    ●  Passer des règles de pare-feu aux stratégies de pare-feu

    ●  Configurer des critères des règles de pare-feu (par exemple, priorité des règles, protocoles réseau, règles d'entrée et de sortie)

    ●  Configurer la journalisation des règles de pare-feu

    ●  Configurer des stratégies de pare-feu hiérarchiques

    ●  Configurer le service de prévention des intrusions (IPS)

    ●  Mettre en œuvre des objets de pare-feu avec nom de domaine complet (FQDN)

Section 3 : Configurer des services réseau gérés (environ 21 % de l'examen)

3.1 Configurer l'équilibrage de charge. Points à prendre en compte :

    ●  Configurer des services de backend (par exemple, groupes de points de terminaison du réseau (NEG) et groupes d'instances gérés)

    ●  Configurer des backends et des services de backend avec une méthode d'équilibrage (par exemple, RPS, CPU, personnalisée), affinité de session et capacité de diffusion

● Configurer des mappages d'URL.

● Configurer des règles de transfert.

    ●  Définir des règles de pare-feu pour autoriser le trafic et les vérifications de l'état des services de backend.

    ●  Créer des vérifications de l'état des services de backend et des groupes d'instances cibles

● Configurer du transfert de protocole.

    ●  Adapter l'augmentation de la charge de travail à l'aide de l'autoscaling ou du scaling manuel

    ●  Configurer des équilibreurs de charge pour GKE (par exemple, contrôleur de passerelle GKE, contrôleur d'entrée GKE, NEG)

    ●  Configurer la gestion du trafic sur les équilibreurs de charge d'application (par exemple, répartition du trafic, mise en miroir du trafic, réécritures d'URL)

3.2 Configurer des règles Google Cloud Armor. Points à prendre en compte :

● Configurer des stratégies de sécurité.

    ●  Mettre en oeuvre des règles de pare-feu d'application Web (WAF) (par exemple, injection SQL, script intersites, inclusion de fichiers distants)

    ●  Rattacher des règles de sécurité aux backends d'équilibrage de charge

    ●  Configurer la protection DDoS avancée du réseau

    ●  Configurer des règles de sécurité à la périphérie du réseau et de périphérie

● Configurer Adaptive Protection.

● Configurer la limitation du débit.

● Configurer la gestion des bots.

    ●  Appliquer Google Threat Intelligence

3.3 Configurer Cloud CDN Points à prendre en compte :

    ●  Configurer Cloud CDN pour les origines compatibles (ex. : groupes d'instances gérés, buckets Cloud Storage, Cloud Run)

    ●  Configurer Cloud CDN pour les backends externes (NEG Internet) et le stockage d'objets tiers

● Invalider un contenu mis en cache.

● Configurer des URL signées.

3.4 Configurer et gérer Cloud DNS. Points abordés :

    ●  Gérer les zones et les enregistrements Cloud DNS

● Migrer vers Cloud DNS.

    ●  Activer les extensions de sécurité DNS (DNSSEC)

    ●  Configurer des règles de transfert DNS et de serveur DNS

    ●  Intégrer du DNS sur site à Google Cloud

● Utiliser un DNS fractionné.

● Configurer l'appairage DNS.

    ●  Configurer Cloud DNS et un opérateur DNS externe pour GKE

3.5 Configurer et sécuriser le trafic de sortie Internet. Points à prendre en compte :

    ●  Attribuer des adresses IP NAT (par exemple, automatique, manuelle)

    ●  Configurer des allocations de ports (par exemple, statique, dynamique)

● Personnaliser des délais avant expiration.

    ●  Configurer des contraintes applicables aux règles d'administration pour Cloud NAT

● Configurer le NAT privé.

● Configurer un proxy Web sécurisé.

3.6 Configurer l'inspection des paquets réseau. Points abordés :

    ●  Router et inspecter le trafic inter-VPC à l'aide de VM à plusieurs cartes d'interface réseau (par exemple, dispositifs de pare-feu de nouvelle génération)

    ●  Configurer un équilibreur de charge interne en tant que prochain saut pour le routage de VM à disponibilité élevée à plusieurs cartes d'interface réseau

    ●  Activer l'inspection des paquets de couche 7 dans Cloud NGFW

Section 4 : Implémenter l'interconnectivité réseau hybride (environ 18 % de l'examen)

4.1 Configurer Cloud Interconnect. Points abordés :

    ●  Créer des connexions Dedicated Interconnect et configurer des rattachements de VLAN

    ●  Créer des connexions Partner Interconnect et configurer des rattachements de VLAN

    ●  Créer des connexions Cross-Cloud Interconnect et configurer des rattachements de VLAN

    ●  Configurer et activer MACsec

    ●  Configurer un VPN haute disponibilité via Cloud Interconnect

4.2 Configurer un VPN IPsec de site à site. Points à prendre en compte :

● Configurer un VPN haute disponibilité.

    ●  Configurer un VPN classique (par exemple, VPN basé sur le routage ou sur des règles)

4.3 Configurer Cloud Router. Points à prendre en compte :

    ●  Mettre en œuvre des attributs Border Gateway Protocol (BGP) (par exemple, ASN, priorité de route/MED, adresses de liaison locale, authentification).

    ●  Configurer la détection de transfert bidirectionnel (BFD)

    ●  Créer des routes annoncées personnalisées et des routes apprises personnalisées

4.4 Configurer Network Connectivity Center. Points à prendre en compte :

● Créer des spokes hybrides (par exemple, VPN, Cloud Interconnect).

    ●  Mettre en place un transfert de données de site à site

● Créer des appareils de routeur (RA).

Section 5 : Gérer, surveiller et résoudre les problèmes liés aux opérations réseau (environ 13 % de l'examen)

5.1 Journalisation et surveillance avec Google Cloud Observability Points à prendre en compte :

    ●  Activer et consulter les journaux liés aux composants réseau (par exemple, Cloud VPN, Cloud Router, VPC Service Controls, Cloud NGFW, Firewall Insights, les journaux de flux VPC, Cloud DNS, Cloud NAT).

    ●  Surveiller les métriques des composants de mise en réseau (par exemple, Cloud VPN, Cloud Interconnect et rattachements de VLAN, Cloud Router, les équilibreurs de charge, Google Cloud Armor, Cloud NAT).

5.2 Gérer et dépanner les problèmes de connectivité Points à prendre en compte :

    ●  Drainer et rediriger des flux de trafic avec des équilibreurs de charge d'application

    ●  Régler et dépanner des règles ou des stratégies Cloud NGFW

    ●  Gérer et dépanner des VPN

    ●  Dépanner des problèmes d'appairage BGP dans Cloud Router

    ●  Dépanner à l'aide des journaux de flux VPC, des journaux de pare-feu et de la mise en miroir de paquets

5.3 Surveiller et résoudre les problèmes réseau courants à l'aide de Network Intelligence Center Points abordés :

    ●  Utiliser Network Topology pour visualiser le débit et les flux de trafic

    ●  Utiliser les tests de connectivité pour diagnostiquer les erreurs de configuration des routes et du pare-feu

    ●  Utiliser Performance Dashboard pour identifier la perte et la latence des paquets (par exemple, à l'échelle de Google, à l'échelle du projet)

    ●  Utiliser Firewall Insights pour surveiller le nombre d'appels de règles et identifier les règles bloquées

    ●  Utiliser Network Analyzer pour identifier les défaillances du réseau, les configurations non optimales et les avertissements d'utilisation