Professional Cloud Network Engineer
Guía para el examen de certificación
Un profesional con certificación Professional Cloud Network Engineer se encarga de implementar y administrar las arquitecturas de red de Google Cloud Platform. Esta persona puede trabajar en equipos de redes o de nube con arquitectos que diseñan la infraestructura de nube. El Cloud Network Engineer usa la consola de Google Cloud o la interfaz de línea de comandos y aprovecha la experiencia en servicios de red, herramientas de redes de aplicaciones y contenedores, conectividad híbrida y de múltiples nubes, implementación de VPC y seguridad para arquitecturas de red establecidas a fin de garantizar implementaciones exitosas en la nube.
Sección 1: Diseño, planificación y prototipado de una red de Google Cloud (aprox. el 26% del examen)
1.1 Diseño de una arquitectura de red general. Se incluyen las siguientes consideraciones:
● Estrategias de alta disponibilidad, conmutación por error y recuperación ante desastres
● Estrategia de DNS (p. ej., local y Cloud DNS)
● Requisitos de seguridad y robo de datos
● Balanceo de cargas
● Aplicación de cuotas por proyecto y por VPC
● Conectividad híbrida (p. ej., acceso privado a Google para la conectividad híbrida)
● Herramientas de redes para contenedores
● Roles de IAM
● Servicios SaaS, IaaS y PaaS
● Microsegmentación con fines de seguridad (p. ej., uso de metadatos, etiquetas y cuentas de servicio)
1.2 Diseño de instancias de la nube privada virtual (VPC). Se incluyen las siguientes consideraciones:
● Administración de direcciones IP y traslado de tu propia IP (BYOIP)
● VPC independiente y compartida
● Múltiple o individual
● Regional o multirregional
● Intercambio de tráfico entre redes de VPC
● Firewalls (p. ej., basados en cuentas de servicio o en etiquetas)
● Rutas personalizadas
● Uso de servicios administrados (p. ej., Cloud SQL, Memorystore)
● Inserción de dispositivos de terceros (NGFW) en la VPC mediante múltiples NIC y un balanceador de cargas interno como un siguiente salto o rutas de varias rutas de igual costo (ECMP)
1.3 Diseño de una red híbrida y de múltiples nubes. Se incluyen las siguientes consideraciones:
● Interconexión dedicada en comparación con la interconexión de socio
● Conectividad de múltiples nubes
● Intercambio de tráfico directo
● VPN con IPsec
● Estrategia de conmutación por error y recuperación ante desastres
● Modo de enrutamiento de VPC regional y global
● Acceso a múltiples VPC desde ubicaciones locales (p. ej., VPC compartidas y topologías de intercambio de tráfico de varias VPC)
● Ancho de banda y restricciones que proporcionan las soluciones de conectividad híbrida
● Acceso a los servicios o las API de Google de forma privada desde ubicaciones locales
● Administración de direcciones IP en ubicaciones locales y en la nube
● Intercambio de tráfico y reenvío de DNS
1.4 Diseño de un plan de direccionamiento IP para Google Kubernetes Engine. Se incluyen las siguientes consideraciones:
● Nodos de clústeres públicos y privados
● Extremos públicos y privados del plano de control
● IP de alias y subredes
● Opciones de dirección RFC 1918, que no son RFC 1918 e IP pública de uso privado (PUPI)
Sección 2: Implementación de instancias de nube privada virtual (VPC) (aprox. el 21% del examen)
2.1 Configuración de las VPC. Se incluyen las siguientes consideraciones:
● Recursos de VPC de Google Cloud (p. ej., redes, subredes y reglas de firewall)
● Intercambio de tráfico entre redes de VPC
● Creación de una red de VPC compartida y uso compartido de subredes con otros proyectos
● Configuración del acceso a la API a los servicios de Google (p. ej., Acceso privado a Google o interfaces públicas)
● Expansión de los rangos de subredes de VPC después de la creación
2.2 Configuración del enrutamiento. Se incluyen las siguientes consideraciones:
● Enrutamiento estático y dinámico
● Enrutamiento dinámico global o regional
● Enrutamiento de políticas mediante etiquetas y prioridad
● Balanceador de cargas interno como siguiente salto
● Importación y exportación de rutas personalizadas a través del intercambio de tráfico entre redes de VPC
2.3 Configuración y mantenimiento de los clústeres de Google Kubernetes Engine. Se incluyen las siguientes consideraciones:
● Clústeres nativos de la VPC que usan IP de alias
● Clústeres con VPC compartida
● Crear políticas de red de Kubernetes
● Clústeres privados y extremos del plano de control privado
● Agregar redes autorizadas a los extremos del plano de control del clúster
2.4 Configuración y administración de las reglas de firewall. Se incluyen las siguientes consideraciones:
● Etiquetas de red y cuentas de servicio objetivo
● Prioridad de las reglas
● Protocolos de red
● Reglas de entrada y salida
● Registro de reglas de firewall
● Estadísticas de firewall
● Firewalls jerárquicos
2.5 Implementación de Controles del servicio de VPC. Se incluyen las siguientes consideraciones:
● Creación y configuración de niveles de acceso y perímetros de servicio
● Servicios de VPC accesibles
● Puentes perimetrales
● Registros de auditoría
● Modo de ejecución de prueba
Sección 3: Configuración de servicios de red (aprox. el 23% del examen)
3.1 Configura el balanceo de cargas. Se incluyen las siguientes consideraciones:
● Servicios de backend y grupos de extremos de red (NEG)
● Reglas de firewall para permitir las verificaciones de estado y de tráfico en los servicios de backend
● Verificaciones de estado para servicios de backend y grupos de instancias de destino
● Configuración de backends y servicios de backend con método de balanceo (p. ej., RPS, CPU, personalizado), afinidad de sesión y escalamiento/escalador de capacidad
● Balanceadores de cargas de proxy TCP y SSL
● Balanceadores de cargas (p. ej., balanceo de cargas de red TCP/UDP externo, balanceo de cargas TCP/UDP interno, balanceo de cargas HTTP(S) externo y balanceo de cargas HTTP(S) interno)
● Reenvío de protocolos
● Adaptación a los aumentos de la carga de trabajo mediante el ajuste de escala automático y manual
3.2 Configuración de las políticas de Google Cloud Armor. Se incluyen las siguientes consideraciones:
● 4.1 Políticas de seguridad
● Reglas de firewall de aplicaciones web (WAF) (p. ej., inyección de SQL, secuencias de comandos entre sitios, inclusión de archivos remotos)
● Adjuntar políticas de seguridad a los backends del balanceador de cargas
3.3 Configuración de Cloud CDN. Se incluyen las siguientes consideraciones:
● Habilitación e inhabilitación
● Cloud CDN
● Claves de caché Invalidando objetos almacenados en caché
● URLs firmadas
● Orígenes personalizados
3.4 Configuración y mantenimiento de Cloud DNS. Se incluyen las siguientes consideraciones:
● Administración de zonas y registros
● Migración a Cloud DNS
● Extensiones de seguridad de DNS (DNSSEC)
● Políticas de reenvío y del servidor DNS
● Integración de DNS local en Google Cloud
● DNS de horizonte dividido
● Intercambio de tráfico de DNS
● Registro de DNS privado
3.5 Configuración de Cloud NAT. Se incluyen las siguientes consideraciones:
● Asignación de direcciones
● Asignaciones de puertos
● Personalización de tiempos de espera
● Registro y supervisión
● Restricciones por política de la organización
3.6 Configuración de la inspección de paquetes de red. Se incluyen las siguientes consideraciones:
● Duplicación de paquetes en topologías de una y varias VPC
● Captura de tráfico relevante mediante filtros de tráfico y de fuentes de duplicación de paquetes
● Enrutamiento e inspección del tráfico entre VPC mediante VM de múltiples NIC (p. ej., dispositivos de firewall de última generación)
● Configuración de un balanceador de cargas interno como siguiente salto para el enrutamiento de VM de múltiples NIC con alta disponibilidad
Sección 4: Implementación de la interconectividad híbrida (aprox. el 14% del examen)
4.1 Configuración de Cloud Interconnect. Se incluyen las siguientes consideraciones:
● Conexiones de interconexión dedicada y adjuntos de VLAN
● Conexiones de interconexión de socio y adjuntos de VLAN
4.2 Configuración de una VPN con IPsec de sitio a sitio. Se incluyen las siguientes consideraciones:
● VPN de alta disponibilidad (enrutamiento dinámico)
● VPN clásica (p. ej., enrutamiento basado en rutas, enrutamiento basado en políticas)
4.3 Configuración de Cloud Router. Se incluyen las siguientes consideraciones:
● Atributos del protocolo de puerta de enlace fronteriza (BGP) (p. ej., ASN, prioridad de ruta/MED, direcciones de vínculo local)
● Anuncios de ruta personalizados a través de BGP
● Implementación de Cloud Routers confiables y redundantes
Sección 5: Administración, supervisión y optimización de operaciones de red (aprox. el 16% del examen)
5.1 Registro y supervisión con Google Cloud's operations suite. Se incluyen las siguientes consideraciones:
● Revisión de registros para componentes de herramientas de redes (p. ej., VPN, Cloud Router y Controles del servicio de VPC)
● Supervisión de componentes de herramientas de redes (p. ej., VPN, conexiones de Cloud Interconnect y adjuntos de interconexión, Cloud Router, balanceadores de cargas, Google Cloud Armor y Cloud NAT)
5.2 Administración y mantenimiento de la seguridad. Se incluyen las siguientes consideraciones:
● Firewalls (p. ej., basados en la nube y privados)
● Diagnóstico y solución de problemas de IAM (p. ej., VPC compartida y administrador de seguridad o red)
6.3 Mantenimiento de la conectividad y solución de problemas relacionados. Se incluyen las siguientes consideraciones:
● Desvío y redireccionamiento de flujos de tráfico mediante el balanceo de cargas HTTP(S)
● Supervisión del tráfico de entrada y salida mediante registros de flujo de VPC
● Supervisión de registros de firewall y Estadísticas de firewall
● Administración y solución de problemas de VPN
● Solución de problemas de intercambio de tráfico BGP de Cloud Router
5.4 Supervisión, mantenimiento y solución de problemas de latencia y flujo de tráfico. Se incluyen las siguientes consideraciones:
● Pruebas de capacidad de procesamiento y latencia de red
● Diagnóstico de problemas de enrutamiento
● Uso de Network Intelligence Center para visualizar la topología, probar la conectividad y supervisar el rendimiento