Professional Cloud Network Engineer

Guide de l'examen de certification

Un Professional Cloud Network Engineer met en œuvre et gère des architectures réseau sur Google Cloud Platform. Cette personne possède au moins un an d'expérience pratique sur Google Cloud Platform et peut travailler au sein des équipes réseau ou cloud avec des architectes qui conçoivent l'infrastructure. Mettant à profit son expérience en matière de VPC, de connectivité hybride, de services réseau et de sécurité pour les architectures réseau établies, ce professionnel garantit la réussite des mises en œuvre dans le cloud à l'aide de l'interface de ligne de commande ou de la console Google Cloud Platform.

1. Concevoir, planifier et prototyper un réseau GCP

    1.1 Concevoir l'architecture globale du réseau. Points à prendre en compte :

    • Stratégie de basculement et de reprise après sinistre
    • Options de haute disponibilité
    • Stratégie DNS (ex. : sur site, Cloud DNS, GSLB)
    • Réponse aux besoins de l'entreprise
    • Sélection des options d'équilibrage de charge appropriées
    • Optimisation de la latence (ex. : taille de MTU, caches, CDN)
    • Compréhension de la méthode d'application des quotas par projet et par VPC
    • Connectivité hybride (ex. : accès privé à Google pour la connectivité hybride)
    • Mise en réseau de conteneurs
    • IAM et sécurité
    • Services SaaS, PaaS et IaaS
    • Microsegmentation à des fins de sécurité (ex. : utilisation de métadonnées et de tags)

    1.2 Concevoir un cloud privé virtuel (VPC). Points à prendre en compte :

    • Plage CIDR pour les sous-réseaux
    • Adressage IP (ex. : statique, éphémère, privé)
    • Autonome ou partagé
    • Multiple ou unique
    • Multizones et multirégions
    • Appairage
    • Pare-feu (ex. : basé sur les comptes de service ou sur les tags)
    • Routes
    • Différences entre la mise en réseau Google Cloud et les autres plates-formes cloud

    1.3 Concevoir un réseau hybride. Points à prendre en compte :

    • Utilisation de l'interconnexion (ex. : dédiée/partenaire)
    • Options d'appairage (ex. : direct/opérateur)
    • VPN IPsec
    • Cloud Router
    • Stratégie de basculement et de reprise après sinistre (ex. : développement de la haute disponibilité avec BGP à l'aide d'un routeur cloud)
    • Accès d'interconnexion VPC partagé ou autonome
    • Accès interorganisationnel
    • Bande passante

    1.4 Concevoir un plan d'adressage IP de conteneur pour Google Kubernetes Engine

2. Mettre en œuvre un cloud privé virtuel (VPC) GCP

    2.1 Configurer des VPC. Points à prendre en compte :

    • Configuration de ressources VPC GCP (plage CIDR, sous-réseaux, règles de pare-feu, etc.)
    • Configuration de l'appairage VPC
    • Création d'un VPC partagé et présentation du partage de sous-réseaux avec d'autres projets
    • Configuration de l'accès aux API (privé, public, NAT GW, proxy)
    • Configuration de journaux de flux VPC

    2.2 Configurer le routage. Les tâches suivantes sont incluses :

    • Configuration du routage statique/dynamique interne
    • Configuration des règles de routage à l'aide de tags et de priorités
    • Configuration de NAT (ex. : Cloud NAT, NAT basé sur les instances)

    2.3 Configurer et gérer des clusters Google Kubernetes Engine. Points à prendre en compte :

    • Clusters de VPC natif à l'aide d'adresses IP d'alias
    • Clusters avec VPC partagé
    • Clusters privés
    • Règle de réseau de cluster
    • Ajout de réseaux autorisés pour l'accès du maître du cluster

    2.4 Configurer et gérer les règles de pare-feu. Points à prendre en compte :

    • Tags réseau et comptes de service cibles
    • Priorité
    • Protocoles de réseau
    • Règles d'entrée et de sortie
    • Journaux de pare-feu

3. Configurer des services réseau

    3.1 Configurer l'équilibrage de charge. Points à prendre en compte :

    • Création de services de backend
    • Règles de pare-feu et de sécurité
    • Équilibreur de charge HTTP(S) : inclut la modification des mappages d'URL, des groupes de backend, des vérifications de l'état, des CDN et des certificats SSL
    • Équilibreurs de charge proxy TCP et SSL
    • Équilibreur de charge réseau
    • Équilibreur de charge interne
    • Affinité de session
    • Scaling de la capacité

    3.2 Configurer Cloud CDN. Points à prendre en compte :

    • Activation et désactivation de Cloud CDN
    • Utilisation des clés de cache
    • Invalidation de cache
    • URL signées

    3.3 Configurer et gérer Cloud DNS. Points à prendre en compte :

    • Gestion des zones et des enregistrements
    • Migration vers Cloud DNS
    • Sécurité DNS (DNSSEC)
    • Diffusion globale avec Anycast
    • Cloud DNS
    • DNS interne
    • Intégration de DNS sur site avec GCP

    3.4 Activer d'autres services réseau. Points à prendre en compte :

    • Vérifications de l'état de vos groupes d'instances
    • Versions Canary (tests A/B)
    • Distribution d'instances backend à l'aide des groupes d'instances gérés régionaux
    • Activation de l'accès aux API privées

4. Mettre en œuvre l'interconnectivité hybride

    4.1 Configurer l'interconnexion. Points à prendre en compte :

    • Partenaire (ex. : connectivité de couche 2 vs couche 3)
    • Virtualisation à l'aide de rattachements de VLAN
    • Importations de stockage de masse

    4.2 Configurer un VPN IPsec de site à site (ex. : routage statique ou dynamique, basé sur des routes ou sur des règles)

    4.3 Configurer Cloud Router pour la fiabilité

5. Mettre en œuvre la sécurité du réseau

    5.1 Configurer la gestion de l'authentification et des accès (IAM). Les tâches suivantes sont incluses :

    • Affichage des attributions IAM de compte
    • Attribution de rôles IAM à des comptes ou à des Google Groupes
    • Définition de rôles IAM personnalisés
    • Utilisation de rôles IAM prédéfinis (ex. : administrateur réseau, lecteur de réseau, utilisateur de réseau)

    5.2 Configurer des règles Cloud Armor. Points à prendre en compte :

    • Contrôle des accès basé sur les adresses IP

    5.3 Configurer l'insertion d'appareils tiers dans un VPC à l'aide de plusieurs cartes d'interface réseau (NGFW)

    5.4 Gérer les clés pour l'accès SSH

6. Gérer et surveiller les opérations réseau

    6.1 Effectuer la journalisation et la surveillance avec Stackdriver ou la console GCP

    6.2 Gérer et maintenir la sécurité. Points à prendre en compte :

    • Pare-feu (ex. : privé, basé sur le cloud)
    • Diagnostic et résolution des problèmes IAM (VPC partagé, administrateur de la sécurité/réseau)

    6.3 Gérer et dépanner les problèmes de connectivité. Points à prendre en compte :

    • Identification de la topologie du flux de trafic (ex. : équilibreurs de charge, déchargement SSL, groupes de points de terminaison réseau)
    • Drainage et redirection des flux de trafic
    • Transfert croisé pour l'interconnexion
    • Surveillance du trafic entrant et sortant à l'aide de journaux de flux
    • Surveillance des journaux de pare-feu
    • Gestion et dépannage des VPN
    • Dépannage des problèmes d'appairage de BGP dans Cloud Router

    6.4 Surveiller, gérer et dépanner la latence et les flux de trafic. Points à prendre en compte :

    • Tests de débit et de latence du réseau
    • Problèmes de routage
    • Traçage du flux de trafic

7. Optimiser les ressources réseau

    7.1 Optimiser le flux de trafic. Points à prendre en compte :

    • Emplacement de l'équilibreur de charge et du CDN
    • Routage dynamique global ou régional
    • Extension des plages CIDR de sous-réseaux en service
    • Adaptation à l'augmentation de la charge de travail (ex. : autoscaling ou scaling manuel)

    7.2 Optimiser les coûts et l'efficacité. Points à prendre en compte :

    • Optimisation des coûts (niveaux de service réseau, Cloud CDN, autoscaler (nombre maximal d'instances))
    • Automatisation
    • VPN ou interconnexion
    • Utilisation de la bande passante (ex. : paramètres de réglage système du noyau)