Professional Cloud Network Engineer

Seção 1: projetar, planejar e prototipar uma rede do Google Cloud (cerca de 26% do exame)

1.1 Projetar a arquitetura geral da rede. As considerações incluem:

    ●  Estratégias de alta disponibilidade, failover e recuperação de desastres

    ●  Estratégia de DNS (por exemplo, no local, Cloud DNS)

    ●  Requisitos de segurança e exfiltração de dados

    ●  Balanceamento de carga

    ●  Como aplicar cotas por projeto e por VPC

    ●  Conectividade híbrida (por exemplo, acesso particular do Google para conectividade híbrida)

    ●  Redes de contêineres

    ●  Papéis IAM

    ●  Serviços SaaS, PaaS e IaaS

    ●  Microssegmentação para fins de segurança (por exemplo, com metadados, tags, contas de serviço)

1.2 Projetar instâncias de nuvem privada virtual (VPC). As considerações incluem:

    ●  Gerenciamento de endereços IP e trazer seu próprio IP (BYOIP)

    ●  VPC independente x VPC compartilhada

    ●  Múltipla vs. única

    ●  Regional vs. multirregional

    ●  Peering da rede VPC

    ●  Firewalls (por exemplo, baseados em conta de serviço e em tags)

    ●  Rotas personalizadas

    ●  Usar serviços gerenciados (por exemplo, Cloud SQL e Memorystore)

    ●  Inserção de dispositivos de terceiros (NGFW, na sigla em inglês) na VPC com multi-NIC e balanceador de carga interno como rotas de vários caminhos de próximo salto (ECMP, na sigla em inglês).

1.3 Projetar uma rede híbrida e de várias nuvens. As considerações incluem:

    ●  Interconexão dedicada vs. Interconexão por parceiro

    ●  Conectividade com várias nuvens

    ●  Peering direto

    ●  VPN IPsec

    ●  Estratégia de failover e recuperação de desastres

    ●  Modo de roteamento da VPC regional vs. global

    ●  Como acessar várias VPCs de ambientes locais (por exemplo, topologias de peering de VPC compartilhada e de várias VPCs)

    ●  Largura de banda e restrições fornecidas por soluções de conectividade híbrida

    ●  Como acessar os Serviços/APIs do Google de forma privada de ambientes locais

    ●  Gerenciamento de endereços IP em ambientes locais e na nuvem

    ●  Peering e encaminhamento de DNS

1.4 Projetar um plano de endereçamento IP para o Google Kubernetes Engine. As considerações incluem:

    ●  Nós do cluster públicos e particulares

    ●  Endpoints públicos vs. particulares do plano de controle

    ●  Sub-redes e IPs de alias

    ●  Opções de endereço IP público (PUPI, na sigla em inglês) RFC 1918, não RFC 1918 e de uso particular

Seção 2: implementar instâncias de nuvem privada virtual (VPC) (aproximadamente 21% do exame)

2.1 Configurar VPCs. Inclui as seguintes considerações:

    ●  Recursos de VPC do Google Cloud (por exemplo, redes, sub-redes, regras de firewall)

    ●  Peering da rede VPC

    ●  Criação de uma rede VPC compartilhada e compartilhamento de sub-redes com outros projetos

    ●  Configuração do acesso da API aos serviços do Google (por exemplo, Acesso privado do Google, interfaces públicas)

    ●  Expansão dos intervalos de sub-redes VPC após a criação

2.2 Configurar o roteamento. As considerações incluem:

    ●  Roteamento estático vs. dinâmico

    ●  Roteamento dinâmico global vs. regional

    ●  Roteamento de políticas usando tags e prioridade

    ●  Balanceador de carga interno como próximo salto

    ●  Importação/exportação de rotas personalizadas por peering de rede VPC

2.3 Configurar e manter clusters do Google Kubernetes Engine. As considerações incluem:

    ●  Clusters nativos de VPC usando IPs do alias

    ●  Clusters com VPC compartilhada

    ●  Criação de políticas de rede do Kubernetes

    ●  Clusters particulares e endpoints de plano de controle particular

    ●  Inclusão de redes autorizadas para endpoints do plano de controle do cluster

2.4 Configurar e gerenciar regras de firewall. As considerações incluem:

    ●  Tags de rede de destino e contas de serviço

    ●  Prioridade da regra

    ●  Protocolos de rede

    ●  Regras de entrada e saída

    ●  Geração de registros de regras de Firewall

    ●  Firewall Insights

    ●  Firewalls hierárquicos

2.5 Implementar o VPC Service Controls. As considerações incluem:

    ●  Criação e configuração de níveis de acesso e perímetros de serviço

    ●  Serviços acessíveis pelo VPC

    ●  Pontes do perímetro

    ●  Registro de auditoria

    ●  Modo de teste

Seção 3: configurar serviços de rede (cerca de 23% do exame)

3.1 Configurar balanceamento de carga. As considerações incluem:

    ●  Serviços de back-end e grupos de endpoints de rede (NEGs, na sigla em inglês)

    ●  Regras de firewall para permitir tráfego e verificações de integridade aos serviços de back-end

    ●  Verificações de integridade para serviços de back-end e grupos de instâncias de destino

    ●  Configuração de back-ends e serviços de back-end com método de balanceamento (por exemplo, RPS, CPU, personalizada), afinidade de sessão e escalonamento/escalonador de capacidade

    ●  Balanceadores de carga de proxy TCP e SSL

    ●  Balanceadores de carga (por exemplo, Balanceamento de carga de rede TCP/UDP externo, balanceamento de carga TCP/UDP interno, balanceamento de carga HTTP(S) externo, balanceamento de carga HTTP(S) interno)

    ●  Encaminhamento de protocolo

    ●  Acomodação de aumentos de carga de trabalho usando escalonamento automático vs. escalonamento manual

3.2 Configurar políticas do Google Cloud Armor. As considerações incluem:

    ●  Políticas de segurança

    ●  Regras de firewall de aplicativos da Web (WAF) (por exemplo, Injeção de SQL, scripting em vários locais, inclusão de arquivo remoto)

    ●  Anexo de políticas de segurança a back-ends do balanceador de carga

3.3 Como configurar o Cloud CDN As considerações incluem:

    ●  Como ativar e desativar

    ●  Cloud CDN

    ●  Chaves de cache invalidando objetos armazenados em cache

    ●  URLs assinados

    ●  Origens personalizadas

3.4 Configurar e manter o Cloud DNS. Inclui as seguintes considerações:

    ●  Gerenciamento de zonas e registros

    ●  Migração para o Cloud DNS

    ●  Extensões de segurança DNS (DNSSEC)

    ●  Políticas de encaminhamento e servidor DNS

    ●  Integração do DNS local ao Google Cloud

    ●  DNS split horizon

    ●  Peering de DNS

    ●  Geração de registros de DNS particular

3.5 Configurar o Cloud NAT. Inclui as seguintes considerações:

    ●  Endereçamento

    ●  Alocações de portas

    ●  Personalização de tempos limite

    ●  Geração de registros e monitoramento

    ●  Restrições por política da organização

3.6  Configurar a inspeção de pacotes de rede. Inclui as seguintes considerações: 

    ●  Espelhamento de pacotes em topologias únicas e de várias VPCs

    ●  Captura de tráfego relevante usando filtros de origem e tráfego do Espelhamento de pacotes

    ●  Roteamento e inspeção do tráfego entre VPCs usando VMs multi-NIC (por exemplo, dispositivos de firewall de última geração)

    ●  Configuração de um balanceador de carga interno como um próximo salto para roteamento de VMs multi-NIC altamente disponível

Seção 4: implementar a interconexão híbrida (cerca de 14% do exame)

4.1 Configurar o Cloud Interconnect. As considerações incluem:

    ●  Conexões de Interconexão dedicada e anexos da VLAN

    ●  Conexões de Interconexão por parceiro e anexos da VLAN

4.2 Configurar uma VPN IPsec site a site. As considerações incluem:

    ●  VPN de alta disponibilidade (roteamento dinâmico)

    ●  VPN clássica (por exemplo, roteamento baseado em rota e em políticas)

4.3 Configurar o Cloud Router. As considerações incluem:

    ●  Atributos do protocolo de gateway de borda (BGP, na sigla em inglês) (por exemplo, ASN, prioridade de rota/MED, endereços de link-local)

    ●  Divulgações de rota personalizadas via BGP

    ●  Implantação de Cloud Routers confiáveis e redundantes

Seção 5: gerenciar, monitorar e otimizar operações de rede (aproximadamente 16% do exame)

5.1 Gerar registros e monitorar com o pacote de operações do Google Cloud. As considerações incluem:

    ●  Análise de registros de componentes de rede (por exemplo, VPN, Cloud Router, VPC Service Controls)

    ●  Monitoramento de componentes de rede (por exemplo, VPN, conexões do Cloud Interconnect e anexos de interconexão, Cloud Router, balanceadores de carga, Google Cloud Armor e Cloud NAT)

5.2 Gerenciar e manter a segurança. As considerações incluem:

    ●  Firewalls (por exemplo, baseados em nuvem, particulares)

    ●  Diagnóstico e solução de problemas do IAM (por exemplo, VPC compartilhada, administrador de rede/segurança)

5.3 Fazer a manutenção e solucionar problemas de conectividade. As considerações incluem:

    ●  Drenagem e redirecionamento de fluxos de tráfego com balanceamento de carga HTTP(S)

    ●  Monitoramento do tráfego de entrada e saída usando registros de fluxo de VPC

    ●  Monitoramento de registros de firewall e o Firewall Insights

    ●  Gerenciamento e solução de problemas de VPNs

    ●  Solução de problemas de peering do BGP do Cloud Router

5.4 Monitorar, fazer a manutenção e solucionar problemas de latência e fluxo de tráfego. As considerações incluem:

    ●  Teste da capacidade e da latência da rede

    ●  Diagnóstico de problemas no roteamento

    ●  Uso do Network Intelligence Center para visualizar a topologia, testar a conectividade e monitorar o desempenho