Professional Cloud Network Engineer
Guia do exame de certificação
Um engenheiro de rede de nuvem implementa e gerencia arquiteturas de rede no Google Cloud. Ele pode trabalhar em equipes de rede ou nuvem, com arquitetos que projetam infraestrutura em nuvem. O engenheiro de rede de nuvem utiliza a interface de linha de comando e/ou o Console do Google Cloud e aproveita a experiência com serviços de rede, rede de aplicativos e contêineres, conectividade híbrida e de várias nuvens, implementando VPCs e a segurança de arquiteturas de rede estabelecidas para garantir a realização de implementações na nuvem.
Seção 1: projetar, planejar e prototipar uma rede do Google Cloud (cerca de 26% do exame)
1.1 Projetar a arquitetura geral da rede. As considerações incluem:
● Estratégias de alta disponibilidade, failover e recuperação de desastres
● Estratégia de DNS (por exemplo, no local, Cloud DNS)
● Requisitos de segurança e exfiltração de dados
● Balanceamento de carga
● Como aplicar cotas por projeto e por VPC
● Conectividade híbrida (por exemplo, acesso particular do Google para conectividade híbrida)
● Redes de contêineres
● Papéis IAM
● Serviços SaaS, PaaS e IaaS
● Microssegmentação para fins de segurança (por exemplo, com metadados, tags, contas de serviço)
1.2 Projetar instâncias de nuvem privada virtual (VPC). As considerações incluem:
● Gerenciamento de endereços IP e trazer seu próprio IP (BYOIP)
● VPC independente x VPC compartilhada
● Múltipla vs. única
● Regional vs. multirregional
● Peering da rede VPC
● Firewalls (por exemplo, baseados em conta de serviço e em tags)
● Rotas personalizadas
● Usar serviços gerenciados (por exemplo, Cloud SQL e Memorystore)
● Inserção de dispositivos de terceiros (NGFW, na sigla em inglês) na VPC com multi-NIC e balanceador de carga interno como rotas de vários caminhos de próximo salto (ECMP, na sigla em inglês).
1.3 Projetar uma rede híbrida e de várias nuvens. As considerações incluem:
● Interconexão dedicada vs. Interconexão por parceiro
● Conectividade com várias nuvens
● Peering direto
● VPN IPsec
● Estratégia de failover e recuperação de desastres
● Modo de roteamento da VPC regional vs. global
● Como acessar várias VPCs de ambientes locais (por exemplo, topologias de peering de VPC compartilhada e de várias VPCs)
● Largura de banda e restrições fornecidas por soluções de conectividade híbrida
● Como acessar os Serviços/APIs do Google de forma privada de ambientes locais
● Gerenciamento de endereços IP em ambientes locais e na nuvem
● Peering e encaminhamento de DNS
1.4 Projetar um plano de endereçamento IP para o Google Kubernetes Engine. As considerações incluem:
● Nós do cluster públicos e particulares
● Endpoints públicos vs. particulares do plano de controle
● Sub-redes e IPs de alias
● Opções de endereço IP público (PUPI, na sigla em inglês) RFC 1918, não RFC 1918 e de uso particular
Seção 2: implementar instâncias de nuvem privada virtual (VPC) (aproximadamente 21% do exame)
2.1 Configurar VPCs. Inclui as seguintes considerações:
● Recursos de VPC do Google Cloud (por exemplo, redes, sub-redes, regras de firewall)
● Peering da rede VPC
● Criação de uma rede VPC compartilhada e compartilhamento de sub-redes com outros projetos
● Configuração do acesso da API aos serviços do Google (por exemplo, Acesso privado do Google, interfaces públicas)
● Expansão dos intervalos de sub-redes VPC após a criação
2.2 Configurar o roteamento. As considerações incluem:
● Roteamento estático vs. dinâmico
● Roteamento dinâmico global vs. regional
● Roteamento de políticas usando tags e prioridade
● Balanceador de carga interno como próximo salto
● Importação/exportação de rotas personalizadas por peering de rede VPC
2.3 Configurar e manter clusters do Google Kubernetes Engine. As considerações incluem:
● Clusters nativos de VPC usando IPs do alias
● Clusters com VPC compartilhada
● Criação de políticas de rede do Kubernetes
● Clusters particulares e endpoints de plano de controle particular
● Inclusão de redes autorizadas para endpoints do plano de controle do cluster
2.4 Configurar e gerenciar regras de firewall. As considerações incluem:
● Tags de rede de destino e contas de serviço
● Prioridade da regra
● Protocolos de rede
● Regras de entrada e saída
● Geração de registros de regras de Firewall
● Firewall Insights
● Firewalls hierárquicos
2.5 Implementar o VPC Service Controls. As considerações incluem:
● Criação e configuração de níveis de acesso e perímetros de serviço
● Serviços acessíveis pelo VPC
● Pontes do perímetro
● Registro de auditoria
● Modo de teste
Seção 3: configurar serviços de rede (cerca de 23% do exame)
3.1 Configurar balanceamento de carga. As considerações incluem:
● Serviços de back-end e grupos de endpoints de rede (NEGs, na sigla em inglês)
● Regras de firewall para permitir tráfego e verificações de integridade aos serviços de back-end
● Verificações de integridade para serviços de back-end e grupos de instâncias de destino
● Configuração de back-ends e serviços de back-end com método de balanceamento (por exemplo, RPS, CPU, personalizada), afinidade de sessão e escalonamento/escalonador de capacidade
● Balanceadores de carga de proxy TCP e SSL
● Balanceadores de carga (por exemplo, Balanceamento de carga de rede TCP/UDP externo, balanceamento de carga TCP/UDP interno, balanceamento de carga HTTP(S) externo, balanceamento de carga HTTP(S) interno)
● Encaminhamento de protocolo
● Acomodação de aumentos de carga de trabalho usando escalonamento automático vs. escalonamento manual
3.2 Configurar políticas do Google Cloud Armor. As considerações incluem:
● Políticas de segurança
● Regras de firewall de aplicativos da Web (WAF) (por exemplo, Injeção de SQL, scripting em vários locais, inclusão de arquivo remoto)
● Anexo de políticas de segurança a back-ends do balanceador de carga
3.3 Como configurar o Cloud CDN As considerações incluem:
● Como ativar e desativar
● Cloud CDN
● Chaves de cache invalidando objetos armazenados em cache
● URLs assinados
● Origens personalizadas
3.4 Configurar e manter o Cloud DNS. Inclui as seguintes considerações:
● Gerenciamento de zonas e registros
● Migração para o Cloud DNS
● Extensões de segurança DNS (DNSSEC)
● Políticas de encaminhamento e servidor DNS
● Integração do DNS local ao Google Cloud
● DNS split horizon
● Peering de DNS
● Geração de registros de DNS particular
3.5 Configurar o Cloud NAT. Inclui as seguintes considerações:
● Endereçamento
● Alocações de portas
● Personalização de tempos limite
● Geração de registros e monitoramento
● Restrições por política da organização
3.6 Configurar a inspeção de pacotes de rede. Inclui as seguintes considerações:
● Espelhamento de pacotes em topologias únicas e de várias VPCs
● Captura de tráfego relevante usando filtros de origem e tráfego do Espelhamento de pacotes
● Roteamento e inspeção do tráfego entre VPCs usando VMs multi-NIC (por exemplo, dispositivos de firewall de última geração)
● Configuração de um balanceador de carga interno como um próximo salto para roteamento de VMs multi-NIC altamente disponível
Seção 4: implementar a interconexão híbrida (cerca de 14% do exame)
4.1 Configurar o Cloud Interconnect. As considerações incluem:
● Conexões de Interconexão dedicada e anexos da VLAN
● Conexões de Interconexão por parceiro e anexos da VLAN
4.2 Configurar uma VPN IPsec site a site. As considerações incluem:
● VPN de alta disponibilidade (roteamento dinâmico)
● VPN clássica (por exemplo, roteamento baseado em rota e em políticas)
4.3 Configurar o Cloud Router. As considerações incluem:
● Atributos do protocolo de gateway de borda (BGP, na sigla em inglês) (por exemplo, ASN, prioridade de rota/MED, endereços de link-local)
● Divulgações de rota personalizadas via BGP
● Implantação de Cloud Routers confiáveis e redundantes
Seção 5: gerenciar, monitorar e otimizar operações de rede (aproximadamente 16% do exame)
5.1 Gerar registros e monitorar com o pacote de operações do Google Cloud. As considerações incluem:
● Análise de registros de componentes de rede (por exemplo, VPN, Cloud Router, VPC Service Controls)
● Monitoramento de componentes de rede (por exemplo, VPN, conexões do Cloud Interconnect e anexos de interconexão, Cloud Router, balanceadores de carga, Google Cloud Armor e Cloud NAT)
5.2 Gerenciar e manter a segurança. As considerações incluem:
● Firewalls (por exemplo, baseados em nuvem, particulares)
● Diagnóstico e solução de problemas do IAM (por exemplo, VPC compartilhada, administrador de rede/segurança)
5.3 Fazer a manutenção e solucionar problemas de conectividade. As considerações incluem:
● Drenagem e redirecionamento de fluxos de tráfego com balanceamento de carga HTTP(S)
● Monitoramento do tráfego de entrada e saída usando registros de fluxo de VPC
● Monitoramento de registros de firewall e o Firewall Insights
● Gerenciamento e solução de problemas de VPNs
● Solução de problemas de peering do BGP do Cloud Router
5.4 Monitorar, fazer a manutenção e solucionar problemas de latência e fluxo de tráfego. As considerações incluem:
● Teste da capacidade e da latência da rede
● Diagnóstico de problemas no roteamento
● Uso do Network Intelligence Center para visualizar a topologia, testar a conectividade e monitorar o desempenho