Professional Cloud Network Engineer

Section 1 : Concevoir, planifier et prototyper un réseau Google Cloud (environ 26 % de l'examen)

1.1 Concevoir l'architecture globale du réseau. Voici quelques points à prendre en compte :

    ●  Stratégies de haute disponibilité, de basculement et de reprise après sinistre

    ●  Stratégie DNS (par exemple, sur site, Cloud DNS)

    ●  Exigences de sécurité et d'exfiltration des données

    ●  Équilibrage de charge

    ●  Application des quotas par projet et par VPC

    ●  Connectivité hybride (par exemple, accès privé à Google pour la connectivité hybride)

    ●  Mise en réseau de conteneurs

    ●  Rôles IAM

    ●  Services SaaS, PaaS et IaaS

    ●  Microsegmentation à des fins de sécurité (p. ex., utilisation de métadonnées, de tags et de comptes de service)

1.2 Concevoir des instances de cloud privé virtuel (VPC). Voici quelques points à prendre en compte :

    ●  Gestion des adresses IP et utilisation de vos propres adresses IP (BYOIP)

    ●  VPC autonome ou VPC partagé

    ●  Multiple ou unique

    ●  Régional ou multirégional

    ●  Appairage de réseaux VPC

    ●  Pare-feu (par exemple, basés sur un compte de service, basés sur des balises)

    ●  Routes personnalisées

    ●  Utilisation de services gérés (par exemple, Cloud SQL, Memorystore)

    ●  Insertion d'appareils tiers (NGFW) dans un VPC à l'aide de plusieurs carte d'interface réseau et d'un équilibreur de charge interne en tant que saut suivant ou routes ECMP

1.3 Concevoir un réseau hybride et multicloud. Voici quelques points à prendre en compte :

    ●  Interconnexion dédiée ou interconnexion partenaire

    ●  Connectivité multicloud

    ●  Appairage direct

    ●  VPN IPsec

    ●  Stratégie de basculement et de reprise après sinistre

    ●  Mode de routage VPC régional ou mondial

    ●  Accès à plusieurs VPC à partir d'emplacements sur site (par exemple, VPC partagé, topologies d'appairage multi-VPC)

    ●  Bande passante et contraintes des solutions de connectivité hybride

    ●  Accès aux services/API Google en privé depuis des emplacements sur site

    ●  Gestion des adresses IP sur les emplacements sur site et dans le cloud

    ●  Appairage et transfert DNS

1.4 Concevoir un plan d'adressage IP pour Google Kubernetes Engine. Voici quelques points à prendre en compte :

    ●  Nœuds de cluster publics et privés

    ●  Points de terminaison publics ou privés du plan de contrôle

    ●  Sous-réseaux et adresses IP d'alias

    ●  Options d'adresse IP publique (PUPI) RFC 1918, non-RFC 1918 et privée

Section 2 : Implémenter des instances de cloud privé virtuel (VPC) (environ 21 % de l'examen)

2.1 Configurer un VPC. Points abordés :

    ●  Ressources VPC Google Cloud (p. ex., réseaux, sous-réseaux, règles de pare-feu)

    ●  Appairage de réseaux VPC

    ●  Création d'un réseau VPC partagé et partage de sous-réseaux avec d'autres projets

    ●  Configuration de l'accès des API aux services Google (par exemple, accès privé à Google, interfaces publiques)

    ●  Extension des plages de sous-réseaux VPC après la création

2.2 Configurer le routage. Voici quelques points à prendre en compte :

    ●  Routage statique ou dynamique

    ●  Routage dynamique mondial ou régional

    ●  Règles de routage à l'aide de tags et de priorités

    ●  Équilibreur de charge interne en tant que saut suivant

    ●  Importation/exportation de routes personnalisées via l'appairage de réseaux VPC

2.3 Configurer et gérer des clusters Google Kubernetes Engine. Voici quelques points à prendre en compte :

    ●  Clusters de VPC natif utilisant des adresses IP d'alias

    ●  Clusters avec VPC partagé

    ●  Création de règles réseau Kubernetes

    ●  Clusters privés et points de terminaison privés du plan de contrôle

    ●  Ajout de réseaux autorisés pour les points de terminaison du plan de contrôle de cluster

2.4 Configurer et gérer les règles de pare-feu. Voici quelques points à prendre en compte :

    ●  Tags réseau et comptes de service cibles

    ●  Priorité des règles

    ●  Protocoles de réseau

    ●  Règles d'entrée et de sortie

    ●  Journalisation des règles de pare-feu

    ●  Firewall Insights

    ●  Pare-feu hiérarchiques

2.5 Implémenter VPC Service Controls. Points abordés :

    ●  Création et configuration de niveaux d'accès et de périmètres de service

    ●  Services accessibles par VPC

    ●  Liaisons de périmètre

    ●  Journaux d'audit

    ●  Mode de simulation

Section 3 : Configurer des services réseau (environ 23 % de l'examen)

3.1 Configurer l'équilibrage de charge. Voici quelques points à prendre en compte :

    ●  Services de backend et groupes de points de terminaison du réseau (NEG)

    ●  Règles de pare-feu pour autoriser le trafic et les vérifications de l'état des services de backend

    ●  Vérifications de l'état des services de backend et des groupes d'instances cibles

    ●  Configuration des backends et des services de backend avec une méthode d'équilibrage (par exemple, RPS, CPU, personnalisée), affinité de session et scaling/scaler de capacité

    ●  Équilibreurs de charge proxy TCP et SSL

    ●  Équilibreurs de charge (par exemple, équilibrage de charge réseau TCP/UDP externe, équilibrage de charge TCP/UDP interne, équilibrage de charge HTTP(S) externe, équilibrage de charge HTTP(S) interne)

    ●  Transfert de protocole

    ●  Intégration de l'augmentation de la charge de travail à l'aide de l'autoscaling ou du scaling manuel

3.2 Configurer des règles Google Cloud Armor. Voici quelques points à prendre en compte :

    ●  Règles de sécurité

    ●  Règles de pare-feu d'application Web (WAF) (par exemple, injection SQL, script intersites, inclusion de fichiers distants)

    ●  Rattachement de règles de sécurité aux backends d'équilibrage de charge

3.3 Configurer Cloud CDN Voici quelques points à prendre en compte :

    ●  Activation et désactivation

    ●  Cloud CDN

    ●  Clés de cache d'invalidation des objets mis en cache

    ●  URL signées

    ●  Origines personnalisées

3.4 Configurer et gérer Cloud DNS. Points abordés :

    ●  Gestion des zones et des enregistrements

    ●  Migration vers Cloud DNS

    ●  Extensions de sécurité DNS (DNSSEC)

    ●  Règles de transfert et de serveur DNS

    ●  Intégration du DNS sur site à Google Cloud

    ●  DNS fractionné

    ●  Appairage DNS

    ●  Journalisation DNS privée

3.5 Configurer Cloud NAT. Points abordés :

    ●  Adressage

    ●  Attribution de ports

    ●  Personnalisation des délais avant expiration

    ●  Journaux et surveillance

    ●  Contraintes liées aux règles d'administration

3.6 Configurer l'inspection des paquets réseau. Points abordés :

    ●  Mise en miroir de paquets dans des topologies à un seul ou plusieurs VPC

    ●  Capture du trafic pertinent à l'aide de filtres et de la mise en miroir de paquets source

    ●  Routage et inspection du trafic inter-VPC à l'aide de VM à plusieurs cartes d'interface réseau (par exemple, dispositifs de pare-feu de nouvelle génération)

    ●  Configuration d'un équilibreur de charge interne en tant que saut suivant pour le routage de VM haute disponibilité à plusieurs cartes d'interface réseau

Section 4 : Implémenter l'interconnectivité hybride (environ 14 % de l'examen)

4.1 Configurer Cloud Interconnect. Points abordés :

    ●  Connexions d'interconnexion dédiée et rattachements de VLAN

    ●  Connexions d'interconnexion partenaire et rattachements de VLAN

4.2 Configurer un VPN IPsec de site à site. Voici quelques points à prendre en compte :

    ●  VPN haute disponibilité (routage dynamique)

    ●  VPN classique (par exemple, routage basé sur des routes, routage basé sur des règles)

4.3 Configurer Cloud Router. Voici quelques points à prendre en compte :

    ●  Attributs Border Gateway Protocol (BGP) (par exemple, ASN, priorité de route/MED, adresses de liaison locale)

    ●  Annonces de routage personnalisées via BGP

    ●  Déploiement de routeurs cloud fiables et redondants

Section 5 : Gérer, surveiller et optimiser les opérations réseau (environ 16 % de l'examen)

5.1 Journaliser et surveiller avec la suite Google Cloud Operations. Voici quelques points à prendre en compte :

    ●  Examen des journaux pour les composants réseau (par exemple, VPN, Cloud Router, VPC Service Controls)

    ●  Surveillance des composants réseau (par exemple, VPN, connexions Cloud Interconnect et rattachements d'interconnexion, Cloud Router, équilibreurs de charge, Google Cloud Armor, Cloud NAT)

5.2 Gérer et assurer la sécurité. Points abordés :

    ●  Pare-feu (par exemple, privé, basé sur le cloud)

    ●  Diagnostic et résolution des problèmes IAM (par exemple, VPC partagé, administrateur sécurité/réseau)

5.3 Gérer et dépanner les problèmes de connectivité. Voici quelques points à prendre en compte :

    ●  Drainage et redirection des flux de trafic avec l'équilibrage de charge HTTP(S)

    ●  Surveillance du trafic entrant et sortant à l'aide de journaux de flux VPC

    ●  Surveillance des journaux de pare-feu et de Firewall Insights

    ●  Gestion et dépannage des VPN

    ●  Dépannage des problèmes d'appairage BGP dans Cloud Router

5.4 Surveiller, gérer et dépanner la latence et les flux de trafic. Voici quelques points à prendre en compte :

    ●  Tests de débit et de latence du réseau

    ●  Diagnostic des problèmes de routage

    ●  Utilisation de Network Intelligence Center pour visualiser la topologie, tester la connectivité et surveiller les performances