Professional Cloud Network Engineer

セクション 1: Google Cloud ネットワークの設計、計画、プロトタイピング

1.1 全体的なネットワーク アーキテクチャを設計する。以下のような点を考察します。

• フェイルオーバーと障害復旧戦略
• 高可用性対応オプション
• DNS 戦略（例: オンプレミス、Cloud DNS、GSLB）
• ビジネス要件への適合
• 適切なロード バランシング オプションの選択
• レイテンシの最適化（例: MTU サイズ、キャッシュ、CDN）
• プロジェクト、VPC ごとに割り当てがどのように適用されるかの確認
• ハイブリッド接続（例: 限定公開の Google アクセスを使用したハイブリッド接続）
• コンテナ ネットワーキング
• IAM とセキュリティ
• SaaS、PaaS、IaaS サービス
• セキュリティ目的でのマイクロセグメンテーション（例: メタデータ、タグの使用）

1.2 Virtual Private Cloud（VPC）を設計する。以下のような点を考察します。

• サブネットの CIDR 範囲
• IP アドレス指定（例: 静的、エフェメラル、プライベート）
• スタンドアロンと共有
• 複数と単一
• マルチゾーンとマルチリージョン
• ピアリング
• ファイアウォール（例: サービス アカウント ベース、タグベース）
• ルート
• Google Cloud ネットワーキングとその他のクラウド プラットフォームの違い

1.3 ハイブリッド ネットワークを設計する。以下のような点を考察します。

• 相互接続の使用（例: 専用、パートナー）
• ピアリング オプション（例: 直接、キャリア）
• IPsec VPN
• Cloud Router
• フェイルオーバーと障害復旧戦略（例: Cloud Router を使用した BGP による高可用性の構築）
• 共有、スタンドアロンの VPC 相互接続アクセス
• 複数組織でのアクセス
• 帯域幅

1.4 Google Kubernetes Engine のコンテナ IP アドレス指定プランを設計する

セクション 2. Google Cloud Virtual Private Cloud（VPC）の実装

2.1 VPC を構成する。以下のような点を考察します。

• Google Cloud VPC リソースの構成（例: CIDR 範囲、サブネット、ファイアウォール ルール）
• VPC ピアリングの構成
• 共有 VPC の作成と、サブネットを他のプロジェクトと共有する方法の説明
• API アクセスの構成（限定公開、公開、NAT GW、プロキシ）
• VPC フローログの構成

2.2 ルーティングを構成する。以下のようなタスクを行います。

• 内部静的 / 動的ルーティングの構成
• タグと優先度を使用したルーティング ポリシーの構成
• NAT の構成（例: Cloud NAT、インスタンス ベースの NAT）

2.3 Google Kubernetes Engine クラスタの構成と保守を行う。以下のような点を考察します。

• エイリアス IP を使用した VPC ネイティブ クラスタ
• 共有 VPC を使用したクラスタ
• 限定公開クラスタ
• クラスタ ネットワーク ポリシー
• クラスタ コントロール プレーン エンドポイント用の承認済みネットワークの追加

2.4 ファイアウォール ルールを構成、管理する。以下のような点を考察します。

• ターゲット ネットワーク タグとサービス アカウント
• 優先度
• ネットワーク プロトコル
• 上り / 下りルール
• ファイアウォール ログ

セクション 3. ネットワーク サービスの構成

3.1 ロード バランシングを構成する。以下のような点を考察します。

• バックエンド サービスの作成
• ファイアウォールとセキュリティ ルール
• HTTP(S) ロードバランサ: URL マップ、バックエンド グループ、ヘルスチェック、CDN、SSL 証明書の変更など
• TCP および SSL プロキシ ロードバランサ
• ネットワーク ロードバランサ
• 内部ロードバランサ
• セッション アフィニティ
• 容量スケーリング

3.2 Cloud CDN を構成する。以下のような点を考察します。

• Cloud CDN の有効化と無効化
• キャッシュキーの使用
• キャッシュの無効化
• 署名付き URL

3.3 Cloud DNS の構成と保守を行う。以下のような点を考察します。

• ゾーンとレコードの管理
• Cloud DNS への移行
• DNS Security（DNSSEC）
• エニーキャストを使用したグローバルなサービス提供
• Cloud DNS
• 内部 DNS
• オンプレミス DNS と Google Cloud の統合

3.4 その他のネットワーク サービスを有効にする。以下のような点を考察します。

• インスタンス グループのヘルスチェック
• カナリア（A/B）リリース
• リージョン マネージド インスタンス グループを使用したバックエンド インスタンスの分散
• 限定公開 API アクセスの有効化

セクション 4. ハイブリッド相互接続の実装

4.1 相互接続を構成する。以下のような点を考察します。

• パートナー（例: レイヤ 2 とレイヤ 3 の接続）
• VLAN アタッチメントを使用した仮想化
• バルク ストレージへのアップロード

4.2 サイト間 IPsec VPN を構成する（例: ルートベース、ポリシーベース、動的ルーティング、静的ルーティング）。

4.3 信頼性を考慮して Cloud Router を構成する。

セクション 5. ネットワーク セキュリティの実装

5.1 Identity and Access Management（IAM）を構成する。以下のようなタスクを行います。

• アカウントの IAM 割り当ての表示
• アカウントまたは Google グループへの IAM ロールの割り当て
• カスタム IAM ロールの定義
• 事前定義された IAM ロールの使用（例: ネットワーク管理者、ネットワーク閲覧者、ネットワーク ユーザー）

5.2 Cloud Armor ポリシーを構成する。以下のような点を考察します。

• IP ベースのアクセス制御

5.3 複数の NIC を使用してサードパーティ デバイスの VPC への組み入れを構成する（NGFW）

5.4 SSH アクセスキーを管理する

セクション 6. ネットワーク オペレーションの管理とモニタリング

6.1 Stackdriver または Google Cloud Console を使用してロギング、モニタリングを行う

6.2 セキュリティを管理、維持する。以下のような点を考察します。

• ファイアウォール（例: クラウドベース、プライベート）
• IAM に関する問題の診断と解決（共有 VPC、セキュリティ / ネットワーク管理者）

6.3 接続性の維持管理とトラブルシューティングを行う。以下のような点を考察します。

• トラフィック フロー トポロジの特定（例: ロードバランサ、SSL オフロード、ネットワーク エンドポイント グループ）
• トラフィック フローのドレインとリダイレクト
• 相互接続の接続間ハンドオフ
• フローログを使用した、上りトラフィックと下りトラフィックのモニタリング
• ファイアウォール ログのモニタリング
• VPN の管理とトラブルシューティング
• Cloud Router の BGP ピアリング問題のトラブルシューティング
• 6.4 レイテンシとトラフィック フローのモニタリング、管理、トラブルシューティングを行う。以下のような点を考察します。
• ネットワーク スループットとレイテンシのテスト
• ルーティング問題
• トラフィック フローのトレース
• ネットワーク リソースの最適化

セクション 7. ネットワーク リソースの最適化

7.1 トラフィック フローを最適化する。以下のような点を考察します。

• ロードバランサと CDN ロケーション
• グローバルとリージョン範囲での動的ルーティング
• サービスのサブネット CIDR 範囲の拡大
• ワークロードの増加への対応（例: 自動スケーリングと手動スケーリング）

7.2 コストと効率性を考慮した最適化を行う。以下のような点を考察します。

• コストの最適化（Network Service Tiers、Cloud CDN、オートスケーラー（最大インスタンス数））
• 自動化
• VPN と相互接続
• 帯域幅の使用（例: カーネル システム チューニング パラメータ）