Professional Cloud Network Engineer

Abschnitt 1: Google Cloud-Netzwerk entwerfen, planen und Prototypen erstellen

1.1 Gesamtarchitektur des Netzwerks entwerfen. Folgende Punkte gehören dazu:

    ●  Strategien für Hochverfügbarkeit, Failover und Notfallwiederherstellung

    ●  DNS-Strategie (z. B. lokal, Cloud DNS)

    ●  Anforderungen an Sicherheit und Daten-Exfiltration

    ●  Load-Balancing

    ●  Kontingente pro Projekt und VPC anwenden

    ●  Hybridkonnektivität (z. B. privater Google-Zugriff für Hybridkonnektivität)

    ●  Containernetzwerke

    ●  IAM-Rollen

    ●  SaaS-, PaaS- und IaaS-Dienste

    ●  Mikrosegmentierung aus Sicherheitsgründen (z. B. mit Metadaten, Tags, Dienstkonten)

1.2 VPC-Instanzen (Virtual Private Cloud) entwerfen. Folgende Punkte gehören dazu:

    ●  IP-Adressenverwaltung (Bring your own IP, BYOIP)

    ●  Eigenständige und freigegebene VPC im Vergleich

    ●  Mehrere VPCs und einzelne VPC im Vergleich

    ●  Regional oder multiregional

    ●  VPC-Netzwerk-Peering

    ●  Firewalls (z. B. Dienstkonto- oder Tag-basiert)

    ●  Benutzerdefinierte Routen

    ●  Mit verwalteten Diensten (z. B. Cloud SQL, Memorystore)

    ●  Drittanbieter-Gerätebereitstellung (NGFW) in die VPC über Multi-NIC und internen Load-Balancer als nächsten Hop oder ECMP-Routen (Equal Cost-Multipfad)

1.3 Hybrid- und Multi-Cloud-Netzwerk entwerfen. Folgende Punkte gehören dazu:

    ●  Dedicated Interconnect und Partner Interconnect

    ●  Multi-Cloud-Konnektivität

    ●  Direct Peering

    ●  IPsec VPN

    ●  Strategie für Failover und Notfallwiederherstellung

    ●  Regionaler und globaler VPC-Routingmodus

    ●  Zugriff auf mehrere VPCs von lokalen Standorten aus (z. B. Freigegebene VPC, Multi-VPC-Peering-Topologien)

    ●  Von Hybridkonnektivitätslösungen bereitgestellte Bandbreite und Einschränkungen

    ●  Privater Zugriff auf Google-Dienste/APIs von lokalen Standorten

    ●  IP-Adressverwaltung an lokalen Standorten und in der Cloud

    ●  DNS-Peering und -Weiterleitung

1.4 IP-Adressierungsplan für Google Kubernetes Engine entwerfen. Folgende Punkte gehören dazu:

    ●  Öffentliche und private Clusterknoten

    ●  Öffentliche vs. private Endpunkte der Steuerungsebene

    ●  Subnetze und Alias-IP-Adressen

    ●  RFC 1918-, Nicht-RFC 1918- und Optionen für privat verwendete öffentliche IP-Adressen (PUPI)

Abschnitt 2: VPC-Instanzen (Virtual Private Cloud) implementieren

2.1 VPCs konfigurieren. Folgendes sollte dabei berücksichtigt werden:

    ●  Google Cloud-VPC-Ressourcen (z. B. Netzwerke, Subnetze, Firewallregeln)

    ●  VPC-Netzwerk-Peering

    ●  Freigegebenes VPC-Netzwerk erstellen und Subnetze für andere Projekte freigeben

    ●  API-Zugriff auf Google-Dienste konfigurieren (z. B. Privater Google-Zugriff, öffentliche Schnittstellen)

    ●  VPC-Subnetzbereiche nach dem Erstellen erweitern

2.2 Routing konfigurieren. Folgende Punkte gehören dazu:

    ●  Statisches und dynamisches Routing im Vergleich

    ●  Globales und regionales dynamisches Routing im Vergleich

    ●  Routing-Richtlinien mit Tags und Prioritäten

    ●  Interner Load-Balancer als nächster Hop

    ●  Import/Export benutzerdefinierter Routen über VPC-Netzwerk-Peering

2.3 Google Kubernetes Engine-Cluster konfigurieren und pflegen. Folgende Punkte gehören dazu:

    ●  VPC-native Cluster mit Alias-IP-Adressen

    ●  Cluster mit gemeinsam genutzter VPC

    ●  Kubernetes-Netzwerkrichtlinien erstellen

    ●  Private Cluster und Endpunkte der privaten Steuerungsebene

    ●  Autorisierte Netzwerke für Endpunkte der Cluster-Steuerungsebene hinzufügen

2.4 Firewallregeln konfigurieren und verwalten. Folgende Punkte gehören dazu:

    ●  Ziel-Netzwerktags und -Dienstkonten

    ●  Regelpriorität

    ●  Netzwerkprotokolle

    ●  Regeln für ein- und ausgehenden Traffic

    ●  Logging von Firewallregeln

    ●  Firewall Insights

    ●  Hierarchische Firewalls

2.5 VPC Service Controls implementieren. Folgende Punkte gehören dazu:

    ●  Zugriffsebenen und Dienstperimeter erstellen und konfigurieren

    ●  Zugängliche VPC-Dienste

    ●  Perimeter-Bridges

    ●  Audit-Logging

    ●  Probelaufmodus

Abschnitt 3: Netzwerkdienste konfigurieren

3.1 Load-Balancing konfigurieren. Folgende Punkte gehören dazu:

    ●  Back-End-Dienste und Netzwerk-Endpunktgruppen (NEGs)

    ●  Firewallregeln, um Traffic und Systemdiagnosen für Back-End-Dienste zuzulassen

    ●  Systemdiagnosen für Back-End-Dienste und Zielinstanzgruppen

    ●  Back-Ends und Back-End-Dienste mit der Balancing-Methode konfigurieren (z. B. RPS, CPU, benutzerdefiniert, Sitzungsaffinität und Kapazitätsskalierung/-Skalierung

    ●  TCP- und SSL-Proxy-Load-Balancer

    ●  Load-Balancer (z. B. Externes TCP/UDP-Netzwerk-Load-Balancing, internes TCP/UDP-Load-Balancing, externes HTTP(S)-Load-Balancing, internes HTTP(S)-Load-Balancing

    ●  Protokollweiterleitung

    ●  Anpassung an steigende Arbeitslasten durch Autoscaling im Vergleich zu manueller Skalierung

3.2 Google Cloud Armor-Richtlinien konfigurieren. Folgende Punkte gehören dazu:

    ●  Sicherheitsrichtlinien

    ●  WAF-Regeln (Web Application Firewall) (z. B. SQL-Injection, Cross-Site-Scripting, Einbindung von Remote-Dateien)

    ●  Sicherheitsrichtlinien an Load-Balancer-Back-Ends anhängen

3.3 Cloud CDN konfigurieren. Folgende Punkte gehören dazu:

    ●  Aktivieren und Deaktivieren

    ●  Cloud CDN

    ●  Cache-Schlüssel, die im Cache gespeicherte Objekte entwerten

    ●  Signierte URLs

    ●  Benutzerdefinierte Ursprünge

3.4 Cloud DNS konfigurieren und verwalten. Folgendes sollte dabei berücksichtigt werden:

    ●  Zonen und Datensätze verwalten

    ●  Migration zu Cloud DNS

    ●  DNS-Sicherheitserweiterungen (DNSSEC)

    ●  Weiterleitungs- und DNS-Serverrichtlinien

    ●  Lokales DNS in Google Cloud einbinden

    ●  Split-Horizon-DNS

    ●  DNS-Peering

    ●  Privates DNS-Logging

3.5 Cloud NAT konfigurieren. Folgendes sollte dabei berücksichtigt werden:

    ●  Addressing

    ●  Portzuweisungen

    ●  Zeitüberschreitungen anpassen

    ●  Logging und Monitoring

    ●  Einschränkungen pro Organisationsrichtlinie

3.6 Netzwerkpaketprüfung konfigurieren. Folgende Punkte gehören dazu: 

    ●  Paketspiegelung in Einzel- und Multi-VPC-Topologien

    ●  Relevante Zugriffe mithilfe der Paketspiegelungsquelle und Trafficfiltern erfassen

    ●  Routing und Inspektion von VPC-übergreifendem Traffic mit Multi-NIC-VMs (z. B. Firewall-Appliances der nächsten Generation)

    ●  Interne Load-Balancer als nächsten Hop für hochverfügbares Multi-NIC-VM-Routing konfigurieren

Abschnitt 4: Hybridkonnektivität implementieren

4.1 Cloud Interconnect konfigurieren. Folgende Punkte gehören dazu:

    ●  Dedicated Interconnect-Verbindungen und VLAN-Anhänge

    ●  Partner Interconnect-Verbindungen und VLAN-Anhänge

4.2 Site-to-Site-IPsec-VPN konfigurieren. Folgende Punkte gehören dazu:

    ●  VPN mit Hochverfügbarkeit (dynamisches Routing)

    ●  Klassisches VPN (z. B. routenbasiertes, richtlinienbasiertes Routing)

4.3 Cloud Router konfigurieren. Folgende Punkte gehören dazu:

    ●  Border Gateway Protocol-Attribute (BGP) (z. B. ASN, Routenpriorität/MED, Link-Local-Adressen)

    ●  Benutzerdefiniertes Route Advertising über BGP

    ●  Zuverlässige und redundante Cloud Router bereitstellen

Abschnitt 5: Netzwerkvorgänge verwalten, überwachen und optimieren

5.1 Logging und Monitoring mit der Operations-Suite von Google Cloud. Folgende Punkte gehören dazu:

    ●  Logs für Netzwerkkomponenten prüfen (z. B. VPN, Cloud Router, VPC Service Controls)

    ●  Netzwerkkomponenten überwachen (z. B. VPN, Cloud Interconnect-Verbindungen und Interconnect-Anhänge, Cloud Router, Load-Balancer, Google Cloud Armor, Cloud NAT

5.2 Sicherheit verwalten und pflegen. Folgende Punkte gehören dazu:

    ●  Firewalls (z. B. cloudbasiert, privat)

    ●  IAM-Probleme diagnostizieren und beheben (z. B. Freigegebene VPC, Sicherheits-/Netzwerkadministrator)

5.3 Konnektivität wahren und Verbindungsprobleme beheben. Folgende Punkte gehören dazu:

    ●  Ausgleich und Weiterleitung von Trafficflüssen mit HTTP(S)-Load-Balancing

    ●  Ein- und ausgehenden Traffic mit Flusslogs überwachen

    ●  Firewalllogs und Firewall Insights überwachen

    ●  VPNs verwalten und Fehler beheben

    ●  Fehler beim Cloud Router-BGP-Peering beheben

5.4 Latenz und Trafficfluss überwachen und aufrechterhalten sowie Fehler beheben. Folgende Punkte gehören dazu:

    ●  Netzwerkdurchsatz und -latenz testen

    ●  Routingprobleme diagnostizieren

    ●  Network Intelligence Center zum Visualisieren, Testen der Konnektivität und Überwachen der Leistung verwenden