Professional Cloud Network Engineer
Guia do exame de certificação
Um Professional Cloud Network Engineer é responsável pelo projeto, implementação e gerenciamento da infraestrutura de rede do Google Cloud. Isso inclui projetar arquiteturas de rede para alta disponibilidade, escalonabilidade, resiliência e segurança. Esse profissional tem experiência com configuração e gerenciamento de nuvens privadas virtuais (VPCs), roteamento, serviços de segurança de rede, balanceamento de carga e Cloud DNS. Além disso, há proficiência na configuração de conectividade híbrida pelo Cloud Interconnect e Cloud VPN. A experiência deles se estende ao diagnóstico, monitoramento e solução de problemas de operações de rede usando o Google Cloud Observability e o Network Intelligence Center.
Seção 1: criação e planejamento de uma rede do Google Cloud (cerca de 26% do exame)
1.1 Projetar a arquitetura geral da rede. Inclui as seguintes considerações:
● Projetar para alta disponibilidade, failover, recuperação de desastres e escalonamento.
● Projetar a topologia de DNS (por exemplo, no local, Cloud DNS).
● Projetar com base nos requisitos de segurança e prevenção de exfiltração de dados.
● Escolher um balanceador de carga para um aplicativo.
● Projetar para conectividade híbrida (por exemplo, Acesso privado do Google para conectividade híbrida).
● Planejar a rede do Google Kubernetes Engine (GKE) (por exemplo, intervalos secundários, potencial de escalonamento com base no espaço de endereços IP, acesso ao plano de controle do GKE).
● Planejar os papéis do Identity and Access Management (IAM), incluindo o gerenciamento de papéis do IAM em um ambiente de VPC compartilhada.
● Incorporação de microssegmentação para fins de segurança (por exemplo, usando metadados, tags, contas de serviço, tags seguras).
● Planejar a conectividade com serviços gerenciados (por exemplo, acesso a serviços particulares, Private Service Connect e acesso VPC sem servidor).
● Diferenciar entre níveis de rede (por exemplo, Premium e Standard).
● Projetar para o VPC Service Controls.
1.2 Projetar redes de nuvem privada virtual (VPC). Inclui as seguintes considerações:
● Escolher o tipo e a quantidade de VPC (por exemplo, VPC independente ou compartilhada, número de ambientes de VPC).
● Determinar como as redes se conectam com base nos requisitos (por exemplo, peering de rede VPC, peering de rede VPC com o Network Connectivity Center, Private Service Connect).
● Planejar a estratégia de gerenciamento de endereços IP (por exemplo, sub-redes, IPv6, trazer seu próprio IP (prefixo público anunciado (PAP) e prefixo público delegado (PDP)), Private NAT, não RFC 1918, serviços gerenciados).
● Planejar um ambiente de rede global ou regional.
● Planejar a estratégia de firewall (por exemplo, regras de firewall da VPC, firewall de última geração do Cloud, regras de firewall hierárquicas).
● Planejar rotas personalizadas (estáticas ou com base em políticas) para a inserção de dispositivos de terceiros (por exemplo, dispositivo virtual de rede).
1.3 Projetar uma rede híbrida e multicloud resiliente e de alto desempenho. Inclui as seguintes considerações:
● Planejar a conectividade de data center, incluindo restrições de largura de banda (por exemplo, Interconexão dedicada, Interconexão por parceiro, Cloud VPN).
● Projetar a conectividade multicloud (por exemplo, Cloud VPN e Cross-Cloud Interconnect).
● Planejar a conectividade de ramificação (por exemplo, VPN IPSec e dispositivos SD-WAN).
● Escolher quando usar peering direto ou um Verified Peering Provider.
● Elaborar estratégias de conectividade de alta disponibilidade e recuperação de desastres.
● Selecionar o modo de roteamento dinâmico regional ou global.
● Como acessar várias VPCs de ambientes locais (por exemplo, VPC compartilhada, peering de várias VPCs e topologias do Network Connectivity Center).
● Acessar os Serviços do Google e as APIs de maneira particular no local (por exemplo, Private Service Connect para APIs do Google).
● Acessar serviços gerenciados pelo Google por meio de conexões de peering de rede VPC (por exemplo, acesso a serviços particulares, rede de serviços).
● Projetar o espaço de endereços IP em ambientes no local e ambientes de nuvem (por exemplo, intervalos internos, planejamento para evitar sobreposições).
● Projetar a estratégia de peering e encaminhamento de DNS (por exemplo, o caminho de encaminhamento de DNS).
1.4 Projetar um plano de endereçamento IP para o Google Kubernetes Engine (GKE). Inclui as seguintes considerações:
● Escolher entre nós de cluster públicos ou particulares e pools de nós.
● Escolher entre endpoints do plano de controle públicos ou privados.
● Escolher entre o modo Autopilot ou Standard do GKE.
● Planejamento de sub-redes e IPs de alias.
● Selecionar endereços RFC 1918, não RFC 1918 e/ou IP públicos de uso privado (PUPI).
● Planejamento para IPv6.
Seção 2: implementação de redes de nuvem privada virtual (VPC) (cerca de 22% do exame)
2.1 Configurar VPCs. Inclui as seguintes considerações:
● Criação de recursos da VPC do Google Cloud (por exemplo, redes, sub-redes, políticas ou regras de firewall e sub-rede de acesso a serviços particulares).
● Configuração do peering de rede VPC.
Criação de uma rede VPC compartilhada e compartilhamento de sub-redes com outros projetos
Configuração do acesso da API aos serviços do Google (por exemplo, Acesso privado do Google, interfaces públicas)
Expansão dos intervalos de sub-redes VPC após a criação
2.2 Configurar o roteamento de VPC. Inclui as seguintes considerações:
● Configurar o roteamento estático e dinâmico.
● Configurar o roteamento dinâmico global ou regional.
● Implementar o roteamento usando tags de rede e prioridade.
● Implementar um balanceador de carga interno como próximo salto.
● Configuração da importação/exportação de rota personalizada via VPC Network Peering.
● Configurar o roteamento com base na política.
2.3 Configurar o Network Connectivity Center. Inclui as seguintes considerações:
● Gerenciar a topologia de VPC (por exemplo, topologia em estrela, hub e spokes e topologia de malha).
● Implementar o Private NAT.
2.4 Configurar e manter clusters do Google Kubernetes Engine. Inclui as seguintes considerações:
● Criar clusters nativos de VPC usando IPs do alias.
● Configurar clusters com a VPC compartilhada
● Configurar clusters privados e endpoints do plano de controle particulares.
● Inclusão de redes autorizadas para endpoints do plano de controle do cluster
● Configurar o Cloud Service Mesh.
● Ativar o GKE Dataplane V2.
● Configurar políticas de NAT de origem (SNAT) e mascaramento de IP.
● Criar políticas de rede do GKE.
● Configurar intervalos de pods e de serviços e implantar outros intervalos de pods para clusters do GKE.
2.5 Configurar e gerenciar regras do Cloud Next Generation Firewall (NGFW). Inclui as seguintes considerações:
● Criar as regras de firewall e as políticas regionais/globais.
● Mapeamento de tags de rede de destino, contas de serviço e tags seguras.
● Migrar de regras de firewall para políticas de firewall.
● Configurar critérios de regras de firewall (por exemplo, prioridade de regras, protocolos de rede, regras de entrada e saída).
● Configurar a geração de registros de regras de firewall.
● Configurar políticas hierárquicas de firewall.
● Configurar o serviço de prevenção de invasões (IPS).
● Implementar objetos de firewall de nome de domínio totalmente qualificado (FQDN).
Seção 3: configurar de serviços de rede gerenciados (aproximadamente 21% do exame)
3.1 Configurar balanceamento de carga. Inclui as seguintes considerações:
● Configurar serviços de back-end (por exemplo, grupos de endpoints de rede (NEGs) e grupos gerenciados de instâncias).
● Configurar back-ends e serviços de back-end com método de balanceamento (por exemplo, RPS, CPU, personalização), afinidade da sessão e capacidade de exibição.
● Configurar mapas de URL.
● Configurar regras de encaminhamento.
● Definir regras de firewall para permitir tráfego e verificações de integridade para serviços de backend.
● Criar verificações de integridade para serviços de backend e grupos de instâncias de destino.
● Configurar o encaminhamento de protocolo.
● Acomodar aumentos de carga de trabalho usando escalonamento automático ou manual.
● Configurar balanceadores de carga para o GKE (por exemplo, controlador de gateway do GKE, controlador de entrada do GKE, NEG).
● Configurar o gerenciamento de tráfego nos balanceadores de carga de aplicativo (por exemplo, divisão de tráfego, espelhamento de tráfego, regravação de URLs).
3.2 Configurar políticas do Google Cloud Armor. Inclui as seguintes considerações:
● Configurar políticas de segurança.
● Implementar regras de firewall de aplicativo da web (WAF) (por exemplo, Injeção de SQL, scripting em vários sites, inclusão de arquivo remoto)
● Anexo de políticas de segurança a back-ends do balanceador de carga
● Configurar a proteção avançada contra DDoS de rede.
● Configurar políticas de segurança de borda e de rede.
● Configurar a proteção adaptativa.
● Configurar a limitação de taxa.
● Configurar o gerenciamento de bots.
● Aplicação da Google Threat Intelligence.
3.3 Como configurar o Cloud CDN Inclui as seguintes considerações:
● Configurar o Cloud CDN para origens compatíveis (por exemplo, grupos gerenciados de instâncias, buckets do Cloud Storage, Cloud Run).
● Configurar o Cloud CDN para back-ends externos (NEGs da Internet) e armazenamento de objetos de terceiros.
● Invalidar o conteúdo armazenado em cache.
● Configurar URLs assinados.
3.4 Configurar e manter o Cloud DNS. Inclui as seguintes considerações:
● Gerenciar zonas e registros do Cloud DNS.
● Migração para o Cloud DNS.
● Ativar extensões de segurança de DNS (DNSSEC).
● Configurar políticas de encaminhamento e de servidor DNS.
● Integração do DNS local ao Google Cloud
● Usar DNS split-horizon.
● Configurar o peering de DNS.
● Configurar o Cloud DNS e o operador de DNS externo para o GKE.
3.5 Configurar e proteger o tráfego de saída da Internet. Inclui as seguintes considerações:
● Atribuir endereços IP NAT (por exemplo, automático, manual).
● Configurar alocações de porta (por exemplo, estáticas, dinâmicas).
● Personalizar tempos limite.
● Configurar restrições de política de organização para Cloud NAT.
● Configurar a Private NAT.
● Configurar o Secure Web Proxy.
3.6 Configurar a inspeção de pacotes de rede. Inclui as seguintes considerações:
Roteamento e inspeção do tráfego entre VPCs usando VMs multi-NIC (por exemplo, dispositivos de firewall de última geração)
Configuração de um balanceador de carga interno como um próximo salto para roteamento de VMs multi-NIC altamente disponível
● Ativar a inspeção de pacotes da camada 7 no NGFW do Cloud.
Seção 4: implementação de interconexão de rede híbrida (cerca de 18% do exame)
4.1 Configurar o Cloud Interconnect. As considerações incluem:
● Criar conexões da Interconexão dedicada e configurar anexos da VLAN.
● Criar conexões de Interconexão por parceiro e configurar anexos da VLAN.
● Criar conexões do Cross-Cloud Interconnect e configurar anexos da VLAN.
● Configurar e ativar o MACsec.
● Configurar VPNs de alta disponibilidade pelo Cloud Interconnect.
4.2 Configurar uma VPN IPsec site a site. Inclui as seguintes considerações:
● Como configurar VPNs de alta disponibilidade.
● Configurar VPNs clássicas (por exemplo, com base em rotas e políticas).
4.3 Configurar o Cloud Router. Inclui as seguintes considerações:
● Implementar atributos do protocolo de gateway de borda (BGP) (por exemplo, ASN, prioridade de rota/MED, endereços link-local, autenticação).
● Configurar a detecção de encaminhamento bidirecional (BFD).
● Criar rotas divulgadas personalizadas e rotas aprendidas personalizadas.
4.4 Configurar o Network Connectivity Center. Inclui as seguintes considerações:
● Criar spokes híbridos (por exemplo, VPN, Cloud Interconnect).
● Estabelecer a transferência de dados site a site.
● Criar dispositivos roteador (RAs).
Seção 5: gerenciamento, monitoramento e solução de problemas de operações de rede (aproximadamente 13% do exame)
5.1 Gerar registros e monitorar com o Google Cloud Observability. Inclui as seguintes considerações:
● Ativar e analisar registros para componentes de rede (por exemplo, Cloud VPN, Cloud Router, VPC Service Controls, Cloud NGFW, Firewall Insights, registros de fluxo da VPC, Cloud DNS e Cloud NAT).
● Monitorar métricas de componentes de rede (por exemplo, Cloud VPN, Cloud Interconnect e anexos da VLAN, Cloud Router, balanceadores de carga, Google Cloud Armor, Cloud NAT).
5.3 Fazer a manutenção e solucionar problemas de conectividade. Inclui as seguintes considerações:
● Drenar e redirecionar os fluxos de tráfego com balanceadores de carga de aplicativo.
● Ajustar e solucionar problemas de regras ou políticas de NGFW do Cloud.
Gerenciamento e solução de problemas de VPNs
Solução de problemas de peering do BGP do Cloud Router
● Solução de problemas com registros de fluxo de VPC, registros de firewall e espelhamento de pacotes.
5.3 Uso do Network Intelligence Center para monitorar e solucionar problemas comuns de rede. As considerações incluem:
● Usar a Topologia de rede para visualizar a capacidade de processamento e os fluxos de tráfego.
● Usar Testes de conectividade para diagnosticar configurações incorretas de rotas e firewall.
● Usar o Painel de desempenho para identificar latência e perda de pacotes (por exemplo, em todo o Google, no escopo do projeto).
● Usar o Firewall Insights para monitorar a contagem de ocorrências das regras e identificar regras sombreadas.
● Usar o Network Analyzer para identificar falhas de rede, configurações abaixo do ideal e avisos de utilização.