Professional Cloud Network Engineer

Prüfungsleitfaden

Ein Professional Cloud Network Engineer implementiert und verwaltet Netzwerkarchitekturen in der Google Cloud Platform. Er verfügt über eine mindestens einjährige praktische Erfahrung mit der Google Cloud Platform und kann in Netzwerk- oder Cloud-Teams mit Architekten zusammenarbeiten, die Infrastrukturen entwerfen. Anhand seiner Kenntnisse in der Implementierung von VPCs, Hybridkonnektivität, Netzwerkdiensten und Sicherheitsmaßnahmen für vorhandene Netzwerkarchitekturen sorgt er für erfolgreiche Cloud-Bereitstellungen über die Befehlszeile oder die Google Cloud Platform Console.

1. GCP-Netzwerk entwerfen, planen und einen Prototyp erstellen

    1.1 Gesamtarchitektur des Netzwerks entwerfen. Folgendes sollte dabei berücksichtigt werden:

    • Strategie für Failover und Notfallwiederherstellung
    • Optionen für Hochverfügbarkeit
    • DNS-Strategie (z. B. lokal, Cloud DNS, GSLB)
    • Geschäftsanforderungen erfüllen
    • Geeignete Load-Balancing-Optionen auswählen
    • Latenzoptimierung (z. B. MTU-Größe, Caches, CDN)
    • Kenntnisse über die Anwendung von Kontingenten pro Projekt und pro VPC
    • Hybridkonnektivität (z. B. privater Google-Zugriff für Hybridkonnektivität)
    • Containernetzwerke
    • IAM und Sicherheit
    • SaaS-, PaaS- und IaaS-Dienste
    • Mikrosegmentierung aus Sicherheitsgründen (z. B. mit Metadaten, Tags)

    1.2 Virtual Private Cloud (VPC) entwerfen. Folgendes sollte dabei berücksichtigt werden:

    • CIDR-Bereich für Subnetze
    • IP-Adressierung (z. B. statisch, sitzungsspezifisch, privat)
    • Eigenständige oder freigegebene VPC
    • Mehrere VPCs und einzelne VPC im Vergleich
    • Mehrere Zonen und Regionen
    • Peering
    • Firewall (z. B. dienstkonto- oder tagbasiert)
    • Routen
    • Unterschiede zwischen den Netzwerken von Google Cloud und anderen Cloudplattformen

    1.3 Hybridnetzwerk entwerfen. Folgendes sollte dabei berücksichtigt werden:

    • Einsatz von Interconnect (z. B. Dedicated Interconnect und Partner Interconnect im Vergleich)
    • Peering-Optionen (z. B. direkt oder über einen Anbieter)
    • IPsec-VPN
    • Cloud Router
    • Strategie für Failover und Notfallwiederherstellung (z. B. Hochverfügbarkeit mit BGP über Cloud Router)
    • Freigegebener und eigenständiger VPC-Interconnect-Zugriff im Vergleich
    • Organisationsübergreifender Zugriff
    • Bandbreite

    1.4 Container-IP-Adressierungsplan für Google Kubernetes Engine entwerfen

2. GCP Virtual Private Cloud (VPC) implementieren

    2.1 VPCs konfigurieren. Folgendes sollte dabei berücksichtigt werden:

    • GCP-VPC-Ressourcen konfigurieren (CIDR-Bereich, Subnetze, Firewallregeln usw.)
    • VPC-Peering konfigurieren
    • Freigegebene VPC erstellen und erklären, wie Subnetze mit anderen Projekten geteilt werden können
    • API-Zugriff konfigurieren (privat, öffentlich, NAT-Gateway, Proxy)
    • VPC-Flusslogs konfigurieren

    2.2 Routing konfigurieren. Hierzu zählen folgende Aufgaben:

    • Internes statisches/dynamisches Routing konfigurieren
    • Routingrichtlinien mit Tags und Prioritäten konfigurieren
    • NAT konfigurieren (z. B. CloudNAT, instanzbasiertes NAT-Gateway)

    2.3 Google Kubernetes Engine-Cluster konfigurieren und verwalten. Folgendes sollte dabei berücksichtigt werden:

    • VPC-native Cluster mit Alias-IP-Adressen
    • Cluster mit gemeinsam genutzter VPC
    • Private Cluster
    • Cluster-Netzwerkrichtlinie
    • Autorisierte Netzwerke für den Cluster-Masterzugriff hinzufügen

    2.4 Firewallregeln konfigurieren und verwalten. Folgendes sollte dabei berücksichtigt werden:

    • Ziel-Netzwerktags und -Dienstkonten
    • Priorität
    • Netzwerkprotokolle
    • Regeln für ein- und ausgehenden Traffic
    • Firewalllogs

3. Netzwerkdienste konfigurieren

    3.1 Load-Balancing konfigurieren. Folgendes sollte dabei berücksichtigt werden:

    • Back-End-Dienste erstellen
    • Firewall- und Sicherheitsregeln
    • HTTP(S)-Load-Balancer, einschließlich Wechseln von URL-Zuordnungen, Back-End-Gruppen, Systemdiagnosen, CDN und SSL-Zertifikaten
    • TCP- und SSL-Proxy-Load-Balancer
    • Netzwerk-Load-Balancer
    • Interner Load-Balancer
    • Sitzungsaffinität
    • Kapazitätsskalierung

    3.2 Cloud CDN konfigurieren. Folgendes sollte dabei berücksichtigt werden:

    • Cloud CDN aktivieren bzw. deaktivieren
    • Cache-Schlüssel verwenden
    • Cache-Entwertungen
    • Signierte URLs

    3.3 Cloud DNS konfigurieren und verwalten. Folgendes sollte dabei berücksichtigt werden:

    • Zonen und Datensätze verwalten
    • Migration zu Cloud DNS
    • DNS-Sicherheit (DNSSEC)
    • Globale Bereitstellung mit Anycast
    • Cloud DNS
    • Internes DNS
    • Lokales DNS in die GCP einbinden

    3.4 Andere Netzwerkdienste aktivieren. Folgendes sollte dabei berücksichtigt werden:

    • Systemdiagnosen für Ihre Instanzgruppen
    • Canary-Releases (A/B-Releases)
    • Back-End-Instanzen mithilfe regionaler verwalteter Instanzgruppen verteilen
    • Privaten API-Zugriff aktivieren

4. Hybridkonnektivität implementieren

    4.1 Interconnect konfigurieren. Folgendes sollte dabei berücksichtigt werden:

    • Partner Interconnect (z. B. Ebene-2- und Ebene-3-Verbindungen im Vergleich)
    • Virtualisierung mit VLAN-Anhängen
    • Bulk-Speicher-Uploads

    4.2 Standortübergreifendes IPsec-VPN konfigurieren (z. B. routenbasiertes, richtlinienbasiertes, dynamisches oder statisches Routing)

    4.3 Cloud Router im Hinblick auf Zuverlässigkeit konfigurieren

5. Netzwerksicherheit implementieren

    5.1 Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) konfigurieren. Hierzu zählen folgende Aufgaben:

    • IAM-Zuweisungen von Konten einsehen
    • Konten oder Google Groups IAM-Rollen zuweisen
    • Benutzerdefinierte IAM-Rollen festlegen
    • Vordefinierte IAM-Rollen verwenden (z. B. Netzwerkadministrator, Netzwerkbetrachter, Netzwerknutzer)

    5.2 Cloud Armor-Richtlinien konfigurieren. Folgendes sollte dabei berücksichtigt werden:

    • IP-basierte Zugriffssteuerung

    5.3 Einbindung externer Geräte in die VPC mit Multi-NIC konfigurieren (NGFW)

    5.4 Schlüssel für SSH-Zugriff verwalten

6. Netzwerkbetrieb verwalten und überwachen

    6.1 Logging und Monitoring mit Stackdriver oder der GCP Console

    6.2 Sicherheit verwalten und pflegen. Folgendes sollte dabei berücksichtigt werden:

    • Firewalls (z. B. cloudbasiert, privat)
    • IAM-Probleme diagnostizieren und lösen (freigegebene VPC, Sicherheits-/Netzwerkadministration)

    6.3 Konnektivität wahren und Verbindungsprobleme beheben. Folgendes sollte dabei berücksichtigt werden:

    • Traffic-Flusstopologie ermitteln (z. B. Load-Balancer, SSL-Übertragung, Netzwerk-Endpunktgruppen)
    • Trafficflüsse ausgleichen und weiterleiten
    • Cross-Connect-Handoff für Interconnect
    • Ein- und ausgehenden Traffic mit Flusslogs überwachen
    • Firewalllogs überwachen
    • VPNs verwalten und Fehler beheben
    • Fehler beim Cloud Router-BGP-Peering beheben

    6.4 Latenz und Trafficfluss überwachen und aufrechterhalten sowie Fehler beheben. Folgendes sollte dabei berücksichtigt werden:

    • Netzwerkdurchsatz- und Latenztests
    • Routingprobleme
    • Trafficfluss verfolgen

7. Netzwerkressourcen optimieren

    7.1 Trafficfluss optimieren. Folgendes sollte dabei berücksichtigt werden:

    • Standort von Load-Balancer und CDN
    • Globales und regionales dynamisches Routing im Vergleich
    • Genutzte Subnetz-CIDR-Bereiche erweitern
    • Kapazitäten an höhere Arbeitslasten anpassen (z. B. durch automatische oder manuelle Skalierung)

    7.2 Netzwerk im Hinblick auf Kosten und Effizienz optimieren. Folgendes sollte dabei berücksichtigt werden:

    • Kostenoptimierung (Netzwerkdienststufen, Cloud CDN, Autoscaling [max. Instanzen])
    • Automatisierung
    • VPN oder Interconnect
    • Bandbreitenauslastung (z. B. Systemabstimmungsparameter für Kernel)