Professional Cloud Network Engineer

Guia do exame de certificação

Um Professional Cloud Network Engineer implementa e gerencia arquiteturas de rede no Google Cloud Platform. Esse profissional tem pelo menos um ano de experiência prática trabalhando com o Google Cloud Platform e pode atuar em equipes de rede ou nuvem, com arquitetos que desenham a infraestrutura. Ao aproveitar sua experiência na implementação de VPCs, conectividade híbrida, serviços de rede e segurança para arquiteturas de rede estabelecidas, esse profissional garante implementações eficientes de nuvem com a interface de linha de comando ou o Console do Google Cloud Platform.

1. Desenhar, planejar e prototipar uma rede do GCP

    1.1 Desenhar a arquitetura geral da rede. Inclui as seguintes considerações:

    • Estratégia de failover e recuperação de desastres
    • Opções para alta disponibilidade
    • Estratégia de DNS (por exemplo, no local, Cloud DNS, GSLB)
    • Cumprimento dos requisitos de negócios
    • Seleção das opções de balanceamento de carga adequadas
    • Otimização de latência (por exemplo, tamanho de MTU, caches, CDN)
    • Compreensão de como as cotas são aplicadas por projeto e por VPC
    • Conectividade híbrida (por exemplo, acesso particular do Google para conectividade híbrida)
    • Redes de contêineres
    • IAM e segurança
    • Serviços SaaS, PaaS e IaaS
    • Microssegmentação para fins de segurança (por exemplo, com metadados, tags)

    1.2 Desenhar uma nuvem privada virtual (VPC, na sigla em inglês). Inclui as seguintes considerações:

    • Intervalo CIDR para sub-redes
    • Endereços IP (por exemplo, estático, efêmero, particular)
    • Independente ou compartilhada
    • Múltipla vs. única
    • Multizona e multirregião
    • Peering
    • Firewall (por exemplo, baseado em conta de serviço, baseado em tag)
    • Rotas
    • Diferenças entre o Google Cloud Networking e outras plataformas na nuvem

    1.3 Desenhar uma rede híbrida. Inclui as seguintes considerações:

    • Uso de interconexão (por exemplo, dedicada vs. de parceiro)
    • Opções de peering (por exemplo, direta vs. operadora)
    • VPN IPsec
    • Cloud Router
    • Estratégia de failover e recuperação de desastres (por exemplo, inclusão de alta disponibilidade com BGP usando roteador na nuvem)
    • Acesso de interconexão VPC compartilhada vs. autônoma
    • Acesso interorganizacional
    • Largura de banda

    1.4 Desenhar um plano de endereçamento IP de contêiner para o Google Kubernetes Engine

2. Implementar uma nuvem privada virtual (VPC) do GCP

    2.1 Configurar VPCs. Inclui as seguintes considerações:

    • Configurar recursos da VPC do GCP (intervalo CIDR, sub-redes, regras de firewall etc.)
    • Configurar peering de VPC
    • Criar uma VPC compartilhada, explicando como compartilhar sub-redes com outros projetos
    • Configurar o acesso à API (particular, público, NAT GW, proxy)
    • Configurar registros de fluxo da VPC

    2.2 Configurar o roteamento. Inclui as seguintes tarefas:

    • Configurar o roteamento estático/dinâmico interno
    • Configurar políticas de roteamento usando tags e prioridade
    • Configurar NAT (por exemplo, Cloud NAT, NAT baseado em instância)

    2.3 Configurar e manter clusters do Google Kubernetes Engine. Inclui as seguintes considerações:

    • Clusters nativos de VPC usando IPs do alias
    • Clusters com VPC compartilhada
    • Clusters privados
    • Política de rede de clusters
    • Adição de redes autorizadas para garantir o acesso ao mestre do cluster

    2.4 Configurar e gerenciar regras de firewall. Inclui as seguintes considerações:

    • Tags de rede de destino e contas de serviço
    • Prioridade
    • Protocolos de rede
    • Regras de entrada e saída
    • Registros do firewall

3. Configurar serviços de rede

    3.1 Configurar balanceamento de carga. Inclui as seguintes considerações:

    • Criação de serviços de back-end
    • Regras de firewall e segurança
    • Balanceador de carga HTTP(S): incluindo a alteração de mapas de URL, grupos de back-end, verificações de integridade, CDN e certificados SSL
    • Balanceadores de carga de proxy TCP e SSL
    • Balanceador de carga de rede
    • Balanceador de carga interno
    • Afinidade da sessão
    • Dimensionamento da capacidade

    3.2 Configurar o Cloud CDN. Inclui as seguintes considerações:

    • Ativação e desativação do Cloud CDN
    • Uso das chaves de cache
    • Invalidação de cache
    • URLs assinados

    3.3 Configurar e manter o Cloud DNS. Inclui as seguintes considerações:

    • Gerenciamento de zonas e registros
    • Migração para o Cloud DNS
    • Segurança de DNS (DNSSEC)
    • Disponibilidade global com Anycast
    • Cloud DNS
    • DNS interno
    • Integração do DNS local com o GCP

    3.4 Habilitar outros serviços de rede. Inclui as seguintes considerações:

    • Verificações de integridade para grupos de instâncias
    • Versões Canary (A/B)
    • Distribuição de instâncias de back-end com grupos de instâncias gerenciadas regionais
    • Ativação do acesso particular à API

4. Implementar a interconexão híbrida

    4.1 Configurar a interconexão. Inclui as seguintes considerações:

    • Interconexão de parceiro (por exemplo, conectividade de camada 2 vs. de camada 3)
    • Virtualização usando anexos da VLAN
    • Envios de armazenamento em massa

    4.2 Configurar uma VPN IPsec site a site (por exemplo, roteamento baseado em rota ou em política, dinâmico ou estático)

    4.3 Configurar o Cloud Router para confiabilidade

5. Implementar a segurança da rede

    5.1 Configurar o gerenciamento de identidade e acesso (IAM). Inclui as seguintes tarefas:

    • Ver as atribuições de IAM da conta
    • Atribuir papéis de IAM a contas ou Grupos do Google
    • Definir papéis personalizados do IAM
    • Usar papéis predefinidos do IAM (por exemplo, administrador de rede, visualizador de rede ou usuário de rede)

    5.2 Configurar políticas do Cloud Armor. Inclui as seguintes considerações:

    • Controle de acesso baseado em IP

    5.3 Configurar a inclusão de dispositivos de terceiros na VPC usando várias NICs (NGFW)

    5.4 Gerenciar chaves para acesso SSH

6. Gerenciar e monitorar operações de rede

    6.1 Gerar registros e monitorar com o Stackdriver ou o Console do GCP

    6.2 Gerenciar e manter a segurança. Inclui as seguintes considerações:

    • Firewalls (por exemplo, baseados em nuvem, particulares)
    • Diagnóstico e solução de problemas do IAM (VPC compartilhada, administrador de rede/segurança)

    6.3 Fazer a manutenção e solucionar problemas de conectividade. Inclui as seguintes considerações:

    • Identificação da topologia de fluxo de tráfego (por exemplo, balanceadores de carga, descarga de SSL, grupos de endpoint)
    • Redução e redirecionamento dos fluxos de tráfego
    • Transferência de conexão cruzada para interconexão
    • Monitoramento do tráfego de entrada e saída usando registros de fluxo
    • Monitoramento dos registros de firewall
    • Gerenciamento e solução de problemas de VPNs
    • Solução de problemas de peering do BGP do Cloud Router

    6.4 Monitorar, fazer a manutenção e solucionar problemas de latência e fluxo de tráfego. Inclui as seguintes considerações:

    • Taxa de transferência de rede e testes de latência
    • Problemas de roteamento
    • Rastreamento do fluxo de tráfego

7. Otimizar recursos de rede

    7.1 Otimizar o fluxo de tráfego. Inclui as seguintes considerações:

    • Balanceador de carga e localização de CDN
    • Roteamento dinâmico global vs. regional
    • Expansão dos intervalos de CIDR da sub-rede em serviço
    • Acomodação de aumentos de carga de trabalho (por exemplo, escalonamento automático vs. escalonamento manual)

    7.2 Otimizar custo e eficiência. Inclui as seguintes considerações:

    • Otimização de custos (níveis de serviços de rede, Cloud CDN, escalonador automático [instâncias máximas])
    • Automação
    • VPN vs. interconexão
    • Uso de largura de banda, por exemplo, parâmetros de ajuste do kernel sys