Professional Cloud Network Engineer
Prüfungsleitfaden
Ein Professional Cloud Network Engineer ist für die Entwicklung, Implementierung und Verwaltung der Google Cloud-Netzwerkinfrastruktur verantwortlich. Dazu gehört auch Netzwerkarchitekturen für Hochverfügbarkeit, Skalierbarkeit, Ausfallsicherheit und Sicherheit. Diese Person ist in der Konfiguration und Verwaltung von Virtual Private Clouds (VPCs), Routing, Netzwerksicherheitsdienste, Load Balancing und Cloud DNS erfahren. Außerdem ist sie beherrscht sie das Einrichten von Hybridkonnektivität über Cloud Interconnect und Cloud VPN. Ihr Fachwissen umfasst Diagnose, Monitoring und Fehlerbehebung von Netzwerkvorgängen mit Google Cloud Observability und dem Network Intelligence Center.
Abschnitt 1: Google Cloud-Netzwerk entwerfen und planen (ca. 26 % der Prüfung)
1.1 Gesamtarchitektur des Netzwerks entwerfen. Folgende Punkte gehören dazu:
● Entwicklung für Hochverfügbarkeit, Failover, Notfallwiederherstellung und Skalierung.
● DNS-Topologie entwerfen (z. B. lokal, Cloud DNS)
● Entwicklung unter Berücksichtigung von Sicherheitsanforderungen und Schutz vor Daten-Exfiltration.
● Load Balancer für eine Anwendung auswählen
● Design für Hybridkonnektivität (z. B. Privater Google-Zugriff für Hybridkonnektivität).
● Planung des Google Kubernetes Engine-Netzwerks (GKE) (z. B. sekundäre Bereiche, Skalierungspotenzial auf Basis des IP-Adressbereichs, Zugriff auf die GKE-Steuerungsebene)
● IAM-Rollen (Identity and Access Management) planen, einschließlich der Verwaltung von IAM-Rollen in einer freigegebenen VPC-Umgebung
● Aus Sicherheitsgründen Mikrosegmentierung nutzen (z. B. Metadaten, Tags, Dienstkonten, sichere Tags).
● Planung der Verbindung zu verwalteten Diensten (z. B. Zugriff auf private Dienste, Private Service Connect, serverloser VPC-Zugriff)
● Unterscheidung zwischen Netzwerkstufen (z. B. Premium und Standard).
● Entwicklung für VPC Service Controls
1.2 VPC-Netzwerke (Virtual Private Cloud) entwerfen. Folgende Punkte gehören dazu:
● VPC-Typ und -Anzahl auswählen (z. B. eigenständige oder freigegebene VPC oder Anzahl der VPC-Umgebungen)
● Bestimmen, wie die Netzwerke eine Verbindung herstellen, basierend auf den Anforderungen (z. B. VPC-Netzwerk-Peering, VPC-Netzwerk-Peering mit Network Connectivity Center, Private Service Connect).
● Verwaltungsstrategie für IP-Adressen planen (z. B. Subnetze, IPv6, eigene IP-Adresse (öffentlich beworbenes Präfix (PAP) und öffentlich delegiertes Präfix (PDP)), private NAT, nicht RFC 1918, verwaltete Dienste)
● Globale oder regionale Netzwerkumgebung planen
● Firewallstrategie planen (z. B. VPC-Firewallregeln, Cloud Next Generation Firewall, hierarchische Firewallregeln).
● Benutzerdefinierte Routen (statisch oder richtlinienbasiert) für das Einfügen von Drittanbietergeräten (z. B. virtuelle Netzwerk-Appliances) planen.
1.3 Stabile und leistungsfähige Hybrid- und Multi-Cloud-Netzwerk. Folgende Punkte gehören dazu:
● Design für die Konnektivität von Rechenzentren einschließlich Bandbreiteneinschränkungen (z. B. Dedicated Interconnect, Partner Interconnect, Cloud VPN.
● Design für Multi-Cloud-Konnektivität (z. B. Cloud VPN, Cross-Cloud Interconnect).
● Design für die Anbindung von Filialen (z. B. IPSec-VPN, SD-WAN-Appliances).
● Entscheiden, wann Direct Peering oder ein Verified Peering-Anbieter verwendet werden soll
● Entwicklung von Konnektivitätsstrategien für Hochverfügbarkeit und Notfallwiederherstellung
● Regionalen oder globalen dynamischen Routingmodus auswählen.
● Zugriff auf mehrere VPCs von lokalen Standorten aus (z. B. Freigegebene VPC, Multi-VPC-Peering- und Network Connectivity Center-Topologien).
● Privater Zugriff auf Google-Dienste und APIs von lokalen Standorten aus (z. B. Private Service Connect für Google APIs).
● Zugriff auf von Google verwaltete Dienste über VPC-Netzwerk-Peering-Verbindungen (z. B. Zugriff auf private Dienste oder Dienstnetzwerke).
● Entwerfen des IP-Adressbereichs für lokale Standorte und Cloud-Umgebungen (z. B. interne Bereiche, Planung zur Vermeidung von Überschneidungen)
● DNS-Peering- und -Weiterleitungsstrategie entwerfen (z. B. DNS-Weiterleitungspfad).
1.4 IP-Adressierungsplan für Google Kubernetes Engine (GKE) entwerfen. Folgende Punkte gehören dazu:
● Sie haben die Wahl zwischen öffentlichen oder privaten Clusterknoten und Knotenpools.
● Sie haben die Wahl zwischen öffentlichen und privaten Endpunkten der Steuerungsebene.
● Zwischen GKE Autopilot-Modus und Standardmodus wählen.
● Subnetze und Alias-IP-Adressen planen
● Wählen Sie RFC 1918-, Nicht-RFC 1918- und/oder privat genutzte öffentliche IP-Adressen (PUPI) aus.
● Planung für IPv6
Abschnitt 2: VPC-Netzwerke (Virtual Private Cloud) implementieren (ca. 22 % der Prüfung)
2.1 VPCs konfigurieren. Folgendes sollte dabei berücksichtigt werden:
● Google Cloud-VPC-Ressourcen erstellen (z. B. Netzwerke, Subnetze, Firewallregeln oder Richtlinien, Subnetz für den Zugriff auf private Dienste)
● VPC-Netzwerk-Peering konfigurieren
● Freigegebenes VPC-Netzwerk erstellen und Subnetze für andere Projekte freigeben
● API-Zugriff auf Google-Dienste konfigurieren (z. B. Privater Google-Zugriff, öffentliche Schnittstellen)
● VPC-Subnetzbereiche nach dem Erstellen erweitern
2.2 VPC-Routing konfigurieren. Folgende Punkte gehören dazu:
● Statisches und dynamisches Routing einrichten
● Globales oder regionales dynamisches Routing konfigurieren
● Routing mithilfe von Netzwerk-Tags und Priorität implementieren
● Internen Load Balancer als nächsten Hop implementieren
● Import/Export benutzerdefinierter Routen über VPC-Netzwerk-Peering
● Richtlinienbasiertes Routing konfigurieren
2.3 Network Connectivity Center konfigurieren. Folgende Punkte gehören dazu:
● VPC-Topologie verwalten (z. B. Sterntopologie, Hub-and-Spokes, Mesh-Netzwerktopologie)
● Private NAT implementieren
2.4 Google Kubernetes Engine-Cluster konfigurieren und pflegen. Folgende Punkte gehören dazu:
● VPC-native Cluster mithilfe von Alias-IP-Adressen erstellen
● Cluster mit freigegebener VPC einrichten
● Private Cluster und Endpunkte der privaten Steuerungsebene konfigurieren
● Autorisierte Netzwerke für Endpunkte der Cluster-Steuerungsebene hinzufügen
● Cloud Service Mesh konfigurieren.
● GKE Dataplane V2 aktivieren.
● Quell-NAT (SNAT) und IP-Masquerade-Richtlinien konfigurieren
● GKE-Netzwerkrichtlinien erstellen
● Pod-Bereiche und Dienstbereiche konfigurieren und zusätzliche Pod-Bereiche für GKE-Cluster bereitstellen
2.5 Konfigurieren und Verwalten von Regeln für die Firewall der nächsten Generation (NGFW). Folgende Punkte gehören dazu:
● Firewallregeln und regionale/globale Richtlinien erstellen.
● Zuordnung von Zielnetzwerktags, -dienstkonten und sicheren Tags
● Migration von Firewallregeln zu Firewallrichtlinien.
● Kriterien für Firewallregeln konfigurieren (z. B. Regelpriorität, Netzwerkprotokolle, Regeln für ein- und ausgehenden Traffic).
● Logging von Firewallregeln konfigurieren.
● Hierarchische Firewallrichtlinien konfigurieren.
● Den Dienst zur Einbruchsprävention (Intrusion Prevention Service, IPS) konfigurieren.
● Firewallobjekte mit voll qualifizierten Domainnamen (FQDN) implementieren.
Abschnitt 3: Verwaltete Netzwerkdienste konfigurieren (ca. 21 % der Prüfung)
3.1 Load-Balancing konfigurieren. Folgende Punkte gehören dazu:
● Backend-Dienste konfigurieren (z. B. Netzwerk-Endpunktgruppen, verwaltete Instanzgruppen)
● Backends und Backend-Dienste mit der Balancing-Methode konfigurieren (z. B. RPS, CPU, benutzerdefiniert) Sitzungsaffinität und Bereitstellungskapazität.
● URL-Zuordnungen konfigurieren
● Weiterleitungsregeln konfigurieren.
● Firewallregeln definieren, um Traffic und Systemdiagnosen für Backend-Dienste zuzulassen
● Systemdiagnosen für Backend-Dienste und Zielinstanzgruppen erstellen
● Protokollweiterleitung konfigurieren
● Arbeitslastanstiegen durch Autoscaling oder manuelle Skalierung bewältigen.
● Load Balancer für GKE konfigurieren (z. B. GKE Gateway-Controller, GKE Ingress-Controller, NEG).
● Trafficverwaltung für Application Load Balancer einrichten (z. B. Trafficaufteilung, Trafficspiegelung, URL-Umschreibungen)
3.2 Google Cloud Armor-Richtlinien konfigurieren. Folgende Punkte gehören dazu:
● Sicherheitsrichtlinien konfigurieren
● WAF-Regeln (Web Application Firewall) implementieren (z. B. SQL-Injection, Cross-Site-Scripting, Einbindung von Remote-Dateien)
● Sicherheitsrichtlinien an Load Balancer-Backends anhängen
● Erweiterten DDoS-Schutz für Netzwerke konfigurieren.
● Sicherheitsrichtlinien für Edge- und Netzwerk-Edge konfigurieren
● Adaptiven Schutz konfigurieren.
● Ratenbegrenzung konfigurieren
● Bot-Verwaltung konfigurieren
● Google Threat Intelligence anwenden.
3.3 Cloud CDN konfigurieren. Folgende Punkte gehören dazu:
● Cloud CDN für unterstützte Ursprünge einrichten (z. B. verwaltete Instanzgruppen, Cloud Storage-Buckets, Cloud Run)
● Cloud CDN für externe Backends (Internet-NEGs) und Objektspeicher von Drittanbietern einrichten
● Cache-Inhalte entwerten
● Signierte URLs konfigurieren
3.4 Cloud DNS konfigurieren und verwalten. Folgendes sollte dabei berücksichtigt werden:
● Cloud DNS-Zonen und -Einträge verwalten
● Migration zu Cloud DNS
● DNS-Sicherheitserweiterungen (DNSSEC) aktivieren
● DNS-Weiterleitung und DNS-Serverrichtlinien konfigurieren.
● Lokales DNS in Google Cloud einbinden
● Split-Horizon-DNS verwenden
● DNS-Peering einrichten
● Cloud DNS und einen externen DNS-Operator für GKE konfigurieren
3.5 Ausgehenden Internettraffic konfigurieren und sichern. Folgende Punkte gehören dazu:
● NAT-IP-Adressen zuweisen (z. B. automatisch oder manuell)
● Portzuweisungen konfigurieren (z. B. statisch, dynamisch)
● Zeitüberschreitungen anpassen
● Einschränkungen der Organisationsrichtlinien für Cloud NAT
● Private NAT konfigurieren
● Secure Web Proxy konfigurieren.
3.6 Netzwerkpaketprüfung konfigurieren. Folgende Punkte gehören dazu:
● Routing und Inspektion von VPC-übergreifendem Traffic mit Multi-NIC-VMs (z. B. Firewall-Appliances der nächsten Generation)
● Interne Load Balancer als nächsten Hop für hochverfügbares Multi-NIC-VM-Routing konfigurieren
● Layer-7-Paketprüfung in Cloud NGFW aktivieren.
Abschnitt 4: Hybridkonnektivität für Netzwerke implementieren (ca. 18 % der Prüfung)
4.1 Cloud Interconnect konfigurieren. Folgende Punkte gehören dazu:
● Dedizierte Interconnect-Verbindungen erstellen und VLAN-Anhänge konfigurieren
● Partner Interconnect-Verbindungen erstellen und VLAN-Anhänge konfigurieren
● Cloud Interconnect-Verbindungen erstellen und VLAN-Anhänge konfigurieren
● Einrichtung und Aktivierung von MACsec.
● HA VPN über Cloud Interconnect konfigurieren
4.2 Site-to-Site-IPSec-VPN konfigurieren. Folgende Punkte gehören dazu:
● HA VPN konfigurieren
● Klassisches VPN konfigurieren (z. B. routenbasiert, richtlinienbasiert)
4.3 Cloud Router konfigurieren. Folgende Punkte gehören dazu:
● Implementierung von Border Gateway Protocol-Attributen (BGP) (z. B. ASN, Routenpriorität/MED, Link-Local-Adressen, Authentifizierung).
● Bidirektionale Weiterleitungserkennung (BFD) konfigurieren.
● Benutzerdefinierte beworbene und benutzerdefinierte erkannte Routen erstellen.
4.4 Network Connectivity Center konfigurieren. Folgende Punkte gehören dazu:
● Hybrid-Spokes erstellen (z. B. VPN, Cloud Interconnect).
● Site-to-Site-Datenübertragung einrichten.
● Router-Appliances (RAs) erstellen
Abschnitt 5: Netzwerkbetrieb verwalten, überwachen und Fehler beheben (ca. 13 % der Prüfung)
5.1 Logging und Monitoring mit Google Cloud Observability. Folgende Punkte gehören dazu:
● Logs für Netzwerkkomponenten (z. B. Cloud VPN, Cloud Router, VPC Service Controls, Cloud NGFW, Firewall Insights, VPC-Flusslogs, Cloud DNS, Cloud NAT).
● Monitoring von Messwerten von Netzwerkkomponenten (z. B. Cloud VPN, Cloud Interconnect und VLAN-Anhänge, Cloud Router, Load Balancer, Google Cloud Armor, Cloud NAT).
5.2 Konnektivität wahren und Verbindungsprobleme beheben. Folgende Punkte gehören dazu:
● Trafficflüsse mit Application Load Balancern per Drain beenden und weiterleiten.
● Abstimmung und Fehlerbehebung für Cloud NGFW-Regeln oder -Richtlinien.
● VPNs verwalten und Fehler beheben
● Fehler beim Cloud Router-BGP-Peering beheben
● Fehlerbehebung mit VPC-Flusslogs, Firewalllogs und Paketspiegelung.
5.3 Network Intelligence Center zum Überwachen und um häufige Netzwerkprobleme zu beheben. Folgende Punkte gehören dazu:
● Verwenden von Netzwerktopologie zur Visualisierung von Durchsatz und Traffic-Flüssen
● Mit Konnektivitätstests Routen- und Firewall-Fehlkonfigurationen diagnostizieren.
● Dashboards zur Leistungsüberwachung verwenden, um Paketverluste und Latenzen zu ermitteln (z. B. Google-weit, projektbezogen).
● Firewall Insights verwenden, um die Anzahl der Regeltreffer zu überwachen und verdeckte Regeln zu identifizieren.
● Mit Network Analyzer Netzwerkfehler, suboptimale Konfigurationen und Auslastungswarnungen identifizieren