Professional Cloud Network Engineer
認定試験ガイド
Professional Cloud Network Engineer は、Google Cloud Platform でネットワーク アーキテクチャを実装、管理します。Google Cloud Platform の実務経験が 1 年以上あり、インフラストラクチャを設計するアーキテクトと一緒にネットワーキング チームやクラウドチームで働くこともあります。既存のネットワーク アーキテクチャに VPC、ハイブリッド接続、ネットワーク サービス、セキュリティを実装した経験を生かし、コマンドライン インターフェースや Google Cloud Platform Console を使用してクラウドを確実に実装するスキルを持ったエンジニアです。
1. GCP ネットワークの設計、計画、プロトタイピング
- フェイルオーバーと障害復旧戦略
- 高可用性対応オプション
- DNS 戦略(例: オンプレミス、Cloud DNS、GSLB)
- ビジネス要件への適合
- 適切な負荷分散オプションの選択
- レイテンシの最適化(例: MTU サイズ、キャッシュ、CDN)
- プロジェクト、VPC ごとに割り当てがどのように適用されるかの確認
- ハイブリッド接続(例: 限定公開の Google アクセスを使用したハイブリッド接続)
- コンテナ ネットワーキング
- IAM とセキュリティ
- SaaS、PaaS、IaaS サービス
- セキュリティ目的でのマイクロセグメンテーション(例: メタデータ、タグの使用)
- サブネットの CIDR 範囲
- IP アドレス指定(例: 静的、エフェメラル、プライベート)
- スタンドアロンと共有
- 複数と単一
- マルチゾーンとマルチリージョン
- ピアリング
- ファイアウォール(例: サービス アカウント ベース、タグベース)
- ルート
- Google Cloud ネットワーキングとその他のクラウド プラットフォームの違い
- 相互接続の使用(例: 専用、パートナー)
- ピアリング オプション(例: ダイレクト、キャリア)
- IPsec VPN
- Cloud Router
- フェイルオーバーと障害復旧戦略(例: Cloud Router を使用した BGP による高可用性の構築)
- 共有またはスタンドアロンの VPC 相互接続アクセス
- 組織横断的なアクセス
- 帯域幅
1.1 全体的なネットワーク アーキテクチャを設計する。以下のような検討事項があります。
1.2 Virtual Private Cloud(VPC)を設計する。以下のような検討事項があります。
1.3 ハイブリッド ネットワークを設計する。以下のような検討事項があります。
1.4 Google Kubernetes Engine のコンテナ IP アドレス指定プランを設計する
2. GCP の Virtual Private Cloud(VPC)の実装
- GCP VPC リソースの構成(CIDR 範囲、サブネット、ファイアウォール ルールなど)
- VPC ピアリングの構成
- 共有 VPC の作成と、サブネットを他のプロジェクトと共有する方法の説明
- API アクセスの構成(限定公開、公開、NAT GW、プロキシ)
- VPC フローログの構成
- 内部静的 / 動的ルーティングを構成する
- タグと優先度を使用してルーティング ポリシーを構成する
- NAT を構成する(例: Cloud NAT、インスタンス ベースの NAT)
- エイリアス IP を使用した VPC ネイティブ クラスタ
- 共有 VPC を使用したクラスタ
- 限定公開クラスタ
- クラスタ ネットワーク ポリシー
- クラスタ マスター アクセス用の承認済みネットワークの追加
- ターゲット ネットワーク タグとサービス アカウント
- 優先度
- ネットワーク プロトコル
- 上り(内向き)ルールと下り(外向き)ルール
- ファイアウォール ログ
2.1 VPC を構成する。以下のような点を考察します。
2.2 ルーティングを構成する。以下のようなタスクがあります。
2.3 Google Kubernetes Engine クラスタの構成と保守を行う。以下のような検討事項があります。
2.4 ファイアウォール ルールを構成、管理する。以下のような検討事項があります。
3. ネットワーク サービスの構成
- バックエンド サービスの作成
- ファイアウォールとセキュリティ ルール
- HTTP(S) ロードバランサ: URL マップ、バックエンド グループ、ヘルスチェック、CDN、SSL 証明書の変更など
- TCP および SSL プロキシ ロードバランサ
- ネットワーク ロードバランサ
- 内部ロードバランサ
- セッション アフィニティ
- 容量スケーリング
- Cloud CDN の有効化と無効化
- キャッシュキーの使用
- キャッシュの無効化
- 署名付き URL
- ゾーンとレコードの管理
- Cloud DNS への移行
- DNS Security(DNSSEC)
- エニーキャストを使用したグローバルなサービス提供
- Cloud DNS
- 内部 DNS
- オンプレミス DNS サーバーと GCP の統合
- インスタンス グループのヘルスチェック
- カナリア(A/B)リリース
- リージョン マネージド インスタンス グループを使用したバックエンド インスタンスの分散
- 限定公開 API アクセスの有効化
3.1 負荷分散を構成する。以下のような検討事項があります。
3.2 Cloud CDN を構成する。以下のような検討事項があります。
3.3 Cloud DNS の構成と保守を行う。以下のような検討事項があります。
3.4 その他のネットワーク サービスを有効にする。以下のような検討事項があります。
4.ハイブリッド相互接続の実装
- パートナー(例: レイヤ 2 とレイヤ 3 の接続)
- VLAN アタッチメントを使用した仮想化
- バルク ストレージへのアップロード
4.1 相互接続を構成する。以下のような検討事項があります。
4.2 サイト間 IPsec VPN を構成する(例: ルートベース、ポリシーベース、動的ルーティング、静的ルーティング)。
4.3 信頼性を考慮して Cloud Router を構成する。
5. ネットワーク セキュリティの実装
- アカウントの IAM 割り当てを表示する
- IAM ロールをアカウントまたは Google グループに割り当てる
- IAM のカスタムロールを定義する
- IAM の事前定義ロールを使用する(例: ネットワーク管理者、ネットワーク閲覧者、ネットワーク ユーザー)
- IP ベースのアクセス制御
5.1 Identity and Access Management(IAM)を構成する。以下のようなタスクがあります。
5.2 Cloud Armor ポリシーを構成する。以下のような検討事項があります。
5.3 複数の NIC を使用してサードパーティ製デバイスの VPC への組み入れを構成する(NGFW)
5.4 SSH アクセス用の認証鍵を管理する
6 ネットワーク オペレーションの管理とモニタリング
- ファイアウォール(例: クラウドベース、プライベート)
- IAM に関する問題の診断と解決(共有 VPC、セキュリティ / ネットワーク管理者)
- トラフィック フロー トポロジの特定(例: ロードバランサ、SSL オフロード、ネットワーク エンドポイント グループ)
- トラフィック フローのドレインとリダイレクト
- 相互接続の接続間ハンドオフ
- フローログを使用した上り(内向き)トラフィックと下り(外向き)トラフィックのモニタリング
- ファイアウォール ログのモニタリング
- VPN の管理とトラブルシューティング
- Cloud Router の BGP ピアリング問題のトラブルシューティング
- ネットワーク スループットとレイテンシのテスト
- ルーティング問題
- トラフィック フローのトレース
6.1 Stackdriver や GCP Console を使用してロギング、モニタリングを行う
6.2 セキュリティを管理、維持する。以下のような検討事項があります。
6.3 接続性の維持管理とトラブルシューティングを行う。以下のような検討事項があります。
6.4 レイテンシとトラフィック フローの監視、管理、トラブルシューティングを行う。以下のような検討事項があります。
7. ネットワーク リソースの最適化
- ロードバランサと CDN ロケーション
- グローバルとリージョンの動的ルーティング
- サービスのサブネット CIDR 範囲の拡大
- ワークロードの増加への対応(例: 自動スケーリングと手動スケーリング)
- コストの最適化(Network Service Tiers、Cloud CDN、オートスケーラー(最大インスタンス数))
- 自動化
- VPN と Interconnect
- 帯域幅の使用(例: カーネル システム チューニング パラメータ)
7.1 トラフィック フローを最適化する。以下のような検討事項があります。
7.2 コストと効率性を考慮した最適化を行う。以下のような検討事項があります。