Professional Cloud Network Engineer

Guía para el examen de certificación

Un Professional Cloud Network Engineer implementa y administra arquitecturas de red en Google Cloud Platform. Esta persona tiene al menos 1 año de experiencia práctica con Google Cloud Platform y puede trabajar en equipos de redes o de la nube con arquitectos que diseñan la infraestructura. Además, aprovecha su experiencia con la implementación de VPC, conectividad híbrida, servicios de red y seguridad de arquitecturas de red establecidas para garantizar la implementación exitosa de la nube mediante la interfaz de línea de comandos o Google Cloud Platform Console.

1. Diseña, planifica y prototipa una red de GCP

    1.1 Diseña la arquitectura de red general. Se incluyen las siguientes consideraciones:

    • Estrategia de conmutación por error y recuperación ante desastres
    • Opciones para alta disponibilidad
    • Estrategia de DNS (p. ej., local, Cloud DNS y GSLB)
    • Cumplimiento de los requisitos del negocio
    • Selección de las opciones de balanceo de cargas adecuadas
    • Optimización de latencia (p. ej., tamaño de MTU, cachés y CDN)
    • Comprensión de la manera en que se aplican las cuotas por proyecto y por VPC
    • Conectividad híbrida (p. ej., acceso privado a Google para la conectividad híbrida)
    • Herramientas de redes para contenedores
    • IAM y seguridad
    • Servicios SaaS, IaaS y PaaS
    • Microsegmentación con fines de seguridad (p. ej., uso de metadatos y etiquetas)

    1.2 Diseña una nube privada virtual (VPC). Se incluyen las siguientes consideraciones:

    • Rango CIDR para las subredes
    • Direccionamiento IP (p. ej., estático, efímero y privado)
    • Independiente o compartida
    • Múltiple o individual
    • Multizona y multirregión
    • Intercambio de tráfico
    • Firewall (p. ej., basado en cuentas de servicio y basado en etiquetas)
    • Rutas
    • Diferencias entre Google Cloud Networking y otras plataformas en la nube

    1.3 Diseña una red híbrida. Se incluyen las siguientes consideraciones:

    • Uso de la interconexión (p. ej., dedicada y de socio)
    • Opciones de intercambio de tráfico (p. ej., directo y de proveedores)
    • VPN con IPsec
    • Cloud Router
    • Estrategia de conmutación por error y recuperación ante desastres (p. ej., compilación de alta disponibilidad con BGP mediante Cloud Router)
    • Acceso a interconexión de VPC compartida en comparación con independiente
    • Acceso a toda la organización
    • Ancho de banda

    1.4 Diseña un plan de direccionamiento IP de contenedores para Google Kubernetes Engine.

2. Implementa una nube privada virtual (VPC) de GCP

    2.1 Configura VPC. Se incluyen las siguientes consideraciones:

    • Configuración de los recursos de VPC de GCP (rango CIDR, subredes, reglas de firewall, etc.)
    • Configuración del intercambio de tráfico de VPC
    • Creación de una VPC compartida y explicación de cómo compartir las subredes con otros proyectos
    • Configuración del acceso a la API (privado, público, puerta de enlace NAT y proxy)
    • Configuración de los registros de flujo de VPC

    2.2 Configura el enrutamiento. Se incluyen las siguientes tareas:

    • Configuración del enrutamiento interno estático o dinámico
    • Configuración de las políticas de enrutamiento mediante etiquetas y prioridad
    • Configuración de la NAT (p. ej., Cloud NAT y NAT basada en la instancia)

    2.3 Configura y mantén los clústeres de Google Kubernetes Engine. Se incluyen las siguientes consideraciones:

    • Clústeres nativos de la VPC que usan alias de IP
    • Clústeres con VPC compartida
    • Clústeres privados
    • Política de red del clúster
    • Adición de redes autorizadas para el acceso a la instancia principal del clúster

    2.4 Configura y administra las reglas de firewall. Se incluyen las siguientes consideraciones:

    • Etiquetas de red y cuentas de servicio objetivo
    • Prioridad
    • Protocolos de red
    • Reglas de entrada y salida
    • Registros de firewall

3. Configura servicios de red

    3.1 Configura el balanceo de cargas. Se incluyen las siguientes consideraciones:

    • Creación de servicios de backend
    • Reglas de firewall y de seguridad
    • Balanceador de cargas HTTP(S), incluidos el cambio de mapas de URL, los grupos de backend, las verificaciones de estado, las CDN y los certificados SSL
    • Balanceadores de cargas de proxy TCP y SSL
    • Balanceador de cargas de red
    • Balanceador de cargas interno
    • Afinidad de sesión
    • Escalamiento de la capacidad

    3.2 Configura Cloud CDN. Se incluyen las siguientes consideraciones:

    • Inhabilitación y habilitación de Cloud CDN
    • Uso de claves de caché
    • Invalidación de caché
    • URL firmadas

    3.3 Configura y mantén Cloud DNS. Se incluyen las siguientes consideraciones:

    • Administración de zonas y registros
    • Migración a Cloud DNS
    • Seguridad de DNS (DNSSEC)
    • Entrega global con Anycast
    • Cloud DNS
    • DNS interno
    • Integración de DNS local en GCP

    3.4 Habilita otros servicios de red. Se incluyen las siguientes consideraciones:

    • Verificaciones de estado de los grupos de instancias
    • Lanzamientos canary (A/B)
    • Distribución de instancias de backend mediante grupos de instancias regionales administrados
    • Habilitación del acceso a la API privada

4. Implementa la interconectividad híbrida

    4.1 Configura la interconexión. Se incluyen las siguientes consideraciones:

    • Interconexión de socio (p. ej., conectividad de la capa 2 en comparación con la de la capa 3)
    • Virtualización mediante adjuntos de VLAN
    • Cargas masivas de almacenamiento

    4.2 Configura una VPN con IPsec de sitio a sitio (p. ej., enrutamiento dinámico o estático basado en la ruta o en la política).

    4.3 Configura Cloud Router para la confiabilidad.

5. Implementa la seguridad de red

    5.1 Configura la administración de identidades y accesos (IAM). Se incluyen las siguientes tareas:

    • Visualización de las asignaciones de IAM de cuentas
    • Asignación de funciones de IAM a cuentas o Grupos de Google
    • Definición de funciones personalizadas de IAM
    • Uso de funciones predefinidas de IAM (p. ej., administrador, lector y usuario de red)

    5.2 Configura las políticas de Cloud Armor. Se incluyen las siguientes consideraciones:

    • Control de acceso basado en IP

    5.3 Configura la inserción de dispositivos de terceros en VPC mediante varias NIC (NGFW).

    5.4 Administra claves de acceso SSH.

6. Administra y supervisa operaciones de red

    6.1 Registra y supervisa con Stackdriver o GCP Console.

    6.2 Administra y mantén la seguridad. Se incluyen las siguientes consideraciones:

    • Firewalls (p. ej., basados en la nube y privados)
    • Diagnóstico y resolución de problemas de IAM (VPC compartida y administrador de seguridad o red)

    6.3 Mantén la conectividad y soluciona los problemas relacionados. Se incluyen las siguientes consideraciones:

    • Identificación de la topología de flujo de tráfico (p. ej., balanceadores de cargas, descarga SSL y grupos de extremos de red)
    • Desvío y redireccionamiento de flujos de tráfico
    • Entrega de conexión cruzada para la interconexión
    • Supervisión del tráfico de entrada y salida mediante los registros de flujo
    • Supervisión de los registros de firewall
    • Administración y solución de problemas de VPN
    • Solución de problemas de intercambio de tráfico BGP de Cloud Router

    6.4 Supervisa, mantén y soluciona los problemas de latencia y flujo de tráfico. Se incluyen las siguientes consideraciones:

    • Pruebas de capacidad de procesamiento y latencia de red
    • Problemas de enrutamiento
    • Seguimiento del flujo de tráfico

7. Optimiza recursos de red

    7.1 Optimiza el flujo de tráfico. Se incluyen las siguientes consideraciones:

    • Ubicación del balanceador de cargas y la CDN
    • Enrutamiento dinámico global o regional
    • Expansión de los rangos de CIDR de subred en uso
    • Adaptación a los aumentos de carga de trabajo (p. ej., ajuste de escala automático o manual)

    7.2 Optimiza el costo y la eficiencia. Se incluyen las siguientes consideraciones:

    • Optimización de costos (niveles de servicio de red, Cloud CDN y escalador automático [cantidad máxima de instancias])
    • Automatización
    • Comparación entre la interconexión y la VPN
    • Uso de ancho de banda (p. ej., parámetros de ajuste del sistema del kernel)