Professional Cloud Network Engineer

認定試験ガイド

Professional Cloud Network Engineer は、Google Cloud Platform でネットワーク アーキテクチャを実装、管理します。Google Cloud Platform の実務経験が 1 年以上あり、インフラストラクチャを設計するアーキテクトと一緒にネットワーキング チームやクラウドチームで働くこともあります。既存のネットワーク アーキテクチャに VPC、ハイブリッド接続、ネットワーク サービス、セキュリティを実装した経験を生かし、コマンドライン インターフェースや Google Cloud Platform Console を使用してクラウドを確実に実装するスキルを持ったエンジニアです。

1. GCP ネットワークの設計、計画、プロトタイピング

    1.1 全体的なネットワーク アーキテクチャを設計する。以下のような検討事項があります。

    • フェイルオーバーと障害復旧戦略
    • 高可用性対応オプション
    • DNS 戦略(例: オンプレミス、Cloud DNS、GSLB)
    • ビジネス要件への適合
    • 適切な負荷分散オプションの選択
    • レイテンシの最適化(例: MTU サイズ、キャッシュ、CDN)
    • プロジェクト、VPC ごとに割り当てがどのように適用されるかの確認
    • ハイブリッド接続(例: 限定公開の Google アクセスを使用したハイブリッド接続)
    • コンテナ ネットワーキング
    • IAM とセキュリティ
    • SaaS、PaaS、IaaS サービス
    • セキュリティ目的でのマイクロセグメンテーション(例: メタデータ、タグの使用)

    1.2 Virtual Private Cloud(VPC)を設計する。以下のような検討事項があります。

    • サブネットの CIDR 範囲
    • IP アドレス指定(例: 静的、エフェメラル、プライベート)
    • スタンドアロンと共有
    • 複数と単一
    • マルチゾーンとマルチリージョン
    • ピアリング
    • ファイアウォール(例: サービス アカウント ベース、タグベース)
    • ルート
    • Google Cloud ネットワーキングとその他のクラウド プラットフォームの違い

    1.3 ハイブリッド ネットワークを設計する。以下のような検討事項があります。

    • 相互接続の使用(例: 専用、パートナー)
    • ピアリング オプション(例: ダイレクト、キャリア)
    • IPsec VPN
    • Cloud Router
    • フェイルオーバーと障害復旧戦略(例: Cloud Router を使用した BGP による高可用性の構築)
    • 共有またはスタンドアロンの VPC 相互接続アクセス
    • 組織横断的なアクセス
    • 帯域幅

    1.4 Google Kubernetes Engine のコンテナ IP アドレス指定プランを設計する

2. GCP の Virtual Private Cloud(VPC)の実装

    2.1 VPC を構成する。以下のような点を考察します。

    • GCP VPC リソースの構成(CIDR 範囲、サブネット、ファイアウォール ルールなど)
    • VPC ピアリングの構成
    • 共有 VPC の作成と、サブネットを他のプロジェクトと共有する方法の説明
    • API アクセスの構成(限定公開、公開、NAT GW、プロキシ)
    • VPC フローログの構成

    2.2 ルーティングを構成する。以下のようなタスクがあります。

    • 内部静的 / 動的ルーティングを構成する
    • タグと優先度を使用してルーティング ポリシーを構成する
    • NAT を構成する(例: Cloud NAT、インスタンス ベースの NAT)

    2.3 Google Kubernetes Engine クラスタの構成と保守を行う。以下のような検討事項があります。

    • エイリアス IP を使用した VPC ネイティブ クラスタ
    • 共有 VPC を使用したクラスタ
    • 限定公開クラスタ
    • クラスタ ネットワーク ポリシー
    • クラスタ マスター アクセス用の承認済みネットワークの追加

    2.4 ファイアウォール ルールを構成、管理する。以下のような検討事項があります。

    • ターゲット ネットワーク タグとサービス アカウント
    • 優先度
    • ネットワーク プロトコル
    • 上り(内向き)ルールと下り(外向き)ルール
    • ファイアウォール ログ

3. ネットワーク サービスの構成

    3.1 負荷分散を構成する。以下のような検討事項があります。

    • バックエンド サービスの作成
    • ファイアウォールとセキュリティ ルール
    • HTTP(S) ロードバランサ: URL マップ、バックエンド グループ、ヘルスチェック、CDN、SSL 証明書の変更など
    • TCP および SSL プロキシ ロードバランサ
    • ネットワーク ロードバランサ
    • 内部ロードバランサ
    • セッション アフィニティ
    • 容量スケーリング

    3.2 Cloud CDN を構成する。以下のような検討事項があります。

    • Cloud CDN の有効化と無効化
    • キャッシュキーの使用
    • キャッシュの無効化
    • 署名付き URL

    3.3 Cloud DNS の構成と保守を行う。以下のような検討事項があります。

    • ゾーンとレコードの管理
    • Cloud DNS への移行
    • DNS Security(DNSSEC)
    • エニーキャストを使用したグローバルなサービス提供
    • Cloud DNS
    • 内部 DNS
    • オンプレミス DNS サーバーと GCP の統合

    3.4 その他のネットワーク サービスを有効にする。以下のような検討事項があります。

    • インスタンス グループのヘルスチェック
    • カナリア(A/B)リリース
    • リージョン マネージド インスタンス グループを使用したバックエンド インスタンスの分散
    • 限定公開 API アクセスの有効化

4.ハイブリッド相互接続の実装

    4.1 相互接続を構成する。以下のような検討事項があります。

    • パートナー(例: レイヤ 2 とレイヤ 3 の接続)
    • VLAN アタッチメントを使用した仮想化
    • バルク ストレージへのアップロード

    4.2 サイト間 IPsec VPN を構成する(例: ルートベース、ポリシーベース、動的ルーティング、静的ルーティング)。

    4.3 信頼性を考慮して Cloud Router を構成する。

5. ネットワーク セキュリティの実装

    5.1 Identity and Access Management(IAM)を構成する。以下のようなタスクがあります。

    • アカウントの IAM 割り当てを表示する
    • IAM ロールをアカウントまたは Google グループに割り当てる
    • IAM のカスタムロールを定義する
    • IAM の事前定義ロールを使用する(例: ネットワーク管理者、ネットワーク閲覧者、ネットワーク ユーザー)

    5.2 Cloud Armor ポリシーを構成する。以下のような検討事項があります。

    • IP ベースのアクセス制御

    5.3 複数の NIC を使用してサードパーティ製デバイスの VPC への組み入れを構成する(NGFW)

    5.4 SSH アクセス用の認証鍵を管理する

6 ネットワーク オペレーションの管理とモニタリング

    6.1 Stackdriver や GCP Console を使用してロギング、モニタリングを行う

    6.2 セキュリティを管理、維持する。以下のような検討事項があります。

    • ファイアウォール(例: クラウドベース、プライベート)
    • IAM に関する問題の診断と解決(共有 VPC、セキュリティ / ネットワーク管理者)

    6.3 接続性の維持管理とトラブルシューティングを行う。以下のような検討事項があります。

    • トラフィック フロー トポロジの特定(例: ロードバランサ、SSL オフロード、ネットワーク エンドポイント グループ)
    • トラフィック フローのドレインとリダイレクト
    • 相互接続の接続間ハンドオフ
    • フローログを使用した上り(内向き)トラフィックと下り(外向き)トラフィックのモニタリング
    • ファイアウォール ログのモニタリング
    • VPN の管理とトラブルシューティング
    • Cloud Router の BGP ピアリング問題のトラブルシューティング

    6.4 レイテンシとトラフィック フローの監視、管理、トラブルシューティングを行う。以下のような検討事項があります。

    • ネットワーク スループットとレイテンシのテスト
    • ルーティング問題
    • トラフィック フローのトレース

7. ネットワーク リソースの最適化

    7.1 トラフィック フローを最適化する。以下のような検討事項があります。

    • ロードバランサと CDN ロケーション
    • グローバルとリージョンの動的ルーティング
    • サービスのサブネット CIDR 範囲の拡大
    • ワークロードの増加への対応(例: 自動スケーリングと手動スケーリング)

    7.2 コストと効率性を考慮した最適化を行う。以下のような検討事項があります。

    • コストの最適化(Network Service Tiers、Cloud CDN、オートスケーラー(最大インスタンス数))
    • 自動化
    • VPN と Interconnect
    • 帯域幅の使用(例: カーネル システム チューニング パラメータ)