Professional Cloud Network Engineer
Guía para el examen de certificación
Un Professional Cloud Network Engineer implementa y administra arquitecturas de red en Google Cloud Platform. Esta persona tiene al menos 1 año de experiencia práctica con Google Cloud Platform y puede trabajar en equipos de redes o de la nube con arquitectos que diseñan la infraestructura. Además, aprovecha su experiencia con la implementación de VPC, conectividad híbrida, servicios de red y seguridad de arquitecturas de red establecidas para garantizar la implementación exitosa de la nube mediante la interfaz de línea de comandos o Google Cloud Platform Console.
1. Diseña, planifica y prototipa una red de GCP
- Estrategia de conmutación por error y recuperación ante desastres
- Opciones para alta disponibilidad
- Estrategia de DNS (p. ej., local, Cloud DNS y GSLB)
- Cumplimiento de los requisitos del negocio
- Selección de las opciones de balanceo de cargas adecuadas
- Optimización de latencia (p. ej., tamaño de MTU, cachés y CDN)
- Comprensión de la manera en que se aplican las cuotas por proyecto y por VPC
- Conectividad híbrida (p. ej., acceso privado a Google para la conectividad híbrida)
- Herramientas de redes para contenedores
- IAM y seguridad
- Servicios SaaS, IaaS y PaaS
- Microsegmentación con fines de seguridad (p. ej., uso de metadatos y etiquetas)
- Rango CIDR para las subredes
- Direccionamiento IP (p. ej., estático, efímero y privado)
- Independiente o compartida
- Múltiple o individual
- Multizona y multirregión
- Intercambio de tráfico
- Firewall (p. ej., basado en cuentas de servicio y basado en etiquetas)
- Rutas
- Diferencias entre las Herramientas de redes de Google Cloud y otras plataformas en la nube
- Uso de la interconexión (p. ej., dedicada y de socio)
- Opciones de intercambio de tráfico (p. ej., directo y de proveedores)
- VPN con IPsec
- Cloud Router
- Estrategia de conmutación por error y recuperación ante desastres (p. ej., compilación de alta disponibilidad con BGP mediante Cloud Router)
- Acceso a interconexión de VPC compartida en comparación con independiente
- Acceso a toda la organización
- Ancho de banda
1.1 Diseña la arquitectura de red general. Se incluyen las siguientes consideraciones:
1.2 Diseña una nube privada virtual (VPC). Se incluyen las siguientes consideraciones:
1.3 Diseña una red híbrida. Se incluyen las siguientes consideraciones:
1.4 Diseña un plan de direccionamiento IP de contenedores para Google Kubernetes Engine.
2. Implementa una nube privada virtual (VPC) de GCP
- Configuración de los recursos de VPC de GCP (rango CIDR, subredes, reglas de firewall, etc.)
- Configuración del intercambio de tráfico de VPC
- Creación de una VPC compartida y explicación de cómo compartir las subredes con otros proyectos
- Configuración del acceso a la API (privado, público, puerta de enlace NAT y proxy)
- Configuración de los registros de flujo de VPC
- Configuración del enrutamiento interno estático o dinámico
- Configuración de las políticas de enrutamiento mediante etiquetas y prioridad
- Configuración de la NAT (p. ej., Cloud NAT y NAT basada en la instancia)
- Clústeres nativos de la VPC que usan alias de IP
- Clústeres con VPC compartida
- Clústeres privados
- Política de red del clúster
- Adición de redes autorizadas para el acceso a la instancia principal del clúster
- Etiquetas de red y cuentas de servicio objetivo
- Prioridad
- Protocolos de red
- Reglas de entrada y salida
- Registros de firewall
2.1 Configura VPC. Se incluyen las siguientes consideraciones:
2.2 Configura el enrutamiento. Se incluyen las siguientes tareas:
2.3 Configura y mantén los clústeres de Google Kubernetes Engine. Se incluyen las siguientes consideraciones:
2.4 Configura y administra las reglas de firewall. Se incluyen las siguientes consideraciones:
3. Configura servicios de red
- Creación de servicios de backend
- Reglas de firewall y de seguridad
- Balanceador de cargas HTTP(S), incluidos el cambio de mapas de URL, los grupos de backend, las verificaciones de estado, las CDN y los certificados SSL
- Balanceadores de cargas de proxy TCP y SSL
- Balanceador de cargas de red
- Balanceador de cargas interno
- Afinidad de sesión
- Escalamiento de la capacidad
- Inhabilitación y habilitación de Cloud CDN
- Uso de claves de caché
- Invalidación de caché
- URL firmadas
- Administración de zonas y registros
- Migración a Cloud DNS
- Seguridad DNS (DNSSEC)
- Entrega global con Anycast
- Cloud DNS
- DNS interno
- Integración de DNS local en GCP
- Verificaciones de estado de los grupos de instancias
- Lanzamientos canary (A/B)
- Distribución de instancias de backend mediante grupos de instancias regionales administrados
- Habilitación del acceso a la API privada
3.1 Configura el balanceo de cargas. Se incluyen las siguientes consideraciones:
3.2 Configura Cloud CDN. Se incluyen las siguientes consideraciones:
3.3 Configura y mantén Cloud DNS. Se incluyen las siguientes consideraciones:
3.4 Habilita otros servicios de red. Se incluyen las siguientes consideraciones:
4. Implementa la interconectividad híbrida
- Interconexión de socio (p. ej., conectividad de la capa 2 en comparación con la de la capa 3)
- Virtualización mediante adjuntos de VLAN
- Cargas masivas de almacenamiento
4.1 Configura la interconexión. Se incluyen las siguientes consideraciones:
4.2 Configura una VPN con IPsec de sitio a sitio (p. ej., enrutamiento dinámico o estático basado en la ruta o en la política).
4.3 Configura Cloud Router para la confiabilidad.
5. Implementa la seguridad de red
- Visualización de las asignaciones de IAM de cuentas
- Asignación de funciones de IAM a cuentas o Grupos de Google
- Definición de funciones personalizadas de IAM
- Uso de funciones predefinidas de IAM (p. ej., administrador, visualizador y usuario de red)
- Control de acceso basado en IP
5.1 Configura la administración de identidades y accesos (IAM). Se incluyen las siguientes tareas:
5.2 Configura las políticas de Cloud Armor. Se incluyen las siguientes consideraciones:
5.3 Configura la inserción de dispositivos de terceros en VPC mediante varias NIC (NGFW).
5.4 Administra claves de acceso SSH.
6. Administra y supervisa operaciones de red
- Firewalls (p. ej., basados en la nube y privados)
- Diagnóstico y resolución de problemas de IAM (VPC compartida y administrador de seguridad o red)
- Identificación de la topología de flujo de tráfico (p. ej., balanceadores de cargas, descarga SSL y grupos de extremos de red)
- Desvío y redireccionamiento de flujos de tráfico
- Entrega de conexión cruzada para la interconexión
- Supervisión del tráfico de entrada y salida mediante los registros de flujo
- Supervisión de los registros de firewall
- Administración y solución de problemas de VPN
- Solución de problemas de intercambio de tráfico BGP de Cloud Router
- Pruebas de capacidad de procesamiento y latencia de red
- Problemas de enrutamiento
- Seguimiento del flujo de tráfico
6.1 Registra y supervisa con Stackdriver o GCP Console.
6.2 Administra y mantén la seguridad. Se incluyen las siguientes consideraciones:
6.3 Mantén la conectividad y soluciona los problemas relacionados. Se incluyen las siguientes consideraciones:
6.4 Supervisa, mantén y soluciona los problemas de latencia y flujo de tráfico. Se incluyen las siguientes consideraciones:
7. Optimiza recursos de red
- Ubicación del balanceador de cargas y la CDN
- Enrutamiento dinámico global o regional
- Expansión de los rangos de CIDR de subred en uso
- Adaptación a los aumentos de carga de trabajo (p. ej., ajuste de escala automático o manual)
- Optimización de costos (niveles de servicio de red, Cloud CDN y escalador automático [cantidad máxima de instancias])
- Automatización
- Comparación entre la interconexión y la VPN
- Uso de ancho de banda (p. ej., parámetros de ajuste del sistema del kernel)
7.1 Optimiza el flujo de tráfico. Se incluyen las siguientes consideraciones:
7.2 Optimiza el costo y la eficiencia. Se incluyen las siguientes consideraciones: