Obtén un cupón de certificación, acceso a todas las capacitaciones on demand y USD 500 en créditos de Google Cloud a través de Innovators Plus. Explora todos los beneficios.

Professional Cloud Network Engineer

Guía para el examen de certificación

Un Professional Cloud Network Engineer es responsable del diseño, la implementación y la administración de la infraestructura de red de Google Cloud. Esto incluye el diseño de arquitecturas de red para alta disponibilidad, escalabilidad, resiliencia y seguridad. También se especializa en configurar y administrar nubes privadas virtuales (VPC), el enrutamiento, los servicios de seguridad de red, el balanceo de cargas y Cloud DNS. Además, domina la configuración de conectividad híbrida a través de Cloud Interconnect y Cloud VPN. Su experiencia se extiende en el diagnóstico, la supervisión y la solución de problemas de operaciones de red con Google Cloud Observability y Network Intelligence Center.


Sección 1: Diseño y planificación una red de Google Cloud (aprox. el 26% del examen)

1.1 Diseño de una arquitectura de red general. Se incluyen las siguientes consideraciones:

    ● Diseño para alta disponibilidad, conmutación por error, recuperación ante desastres y escala.

    ● Diseño de la topología de DNS (p. ej., local, Cloud DNS).

    ● Diseño para requisitos de seguridad y prevención de robo de datos.

    ● Elección de un balanceador de cargas para una aplicación.

    ● Diseño para la conectividad híbrida (p. ej., Acceso privado a Google para la conectividad híbrida).

    ● Planificación de las herramientas de redes de Google Kubernetes Engine (GKE) (p. ej., rangos secundarios, potencial de escalamiento en función del espacio de direcciones IP, acceso al plano de control de GKE).

    ● Planificación de los roles de Identity and Access Management (IAM), incluida la administración de roles de IAM en un entorno de VPC compartida.

    ● Incorporación de la microsegmentación con fines de seguridad (p. ej., usar metadatos, etiquetas, cuentas de servicio, etiquetas seguras).

    ● Planificación de la conectividad a servicios administrados (p. ej., acceso privado a servicios, Private Service Connect, Acceso a VPC sin servidores).

    ● Diferenciar entre niveles de red (p. ej., Premium y Standard).

    ● Diseño para los Controles del servicio de VPC.

1.2 Diseñar redes de nube privada virtual (VPC). Se incluyen las siguientes consideraciones:

    ● Elegir el tipo y la cantidad de VPC (p. ej., VPC compartida o independiente, cantidad de entornos de VPC).

    ● Determinar cómo se conectan las redes en función de los requisitos (p. ej., Intercambio de tráfico entre redes de VPC, Intercambio de tráfico entre redes de VPC con Network Connectivity Center, Private Service Connect).

    ● Planificación de la estrategia de administración de direcciones IP (p. ej., subredes, IPv6, usar su propia IP (prefijo público anunciado [PAP] y prefijo público delegado [PDP]), NAT privada, servicios administrados que no son RFC 1918)

    ● Planificación de un entorno de red regional o global.

    ● Planificación de la estrategia de firewall (p. ej., reglas de firewall de VPC, firewall de nueva generación de Cloud, reglas de firewall jerárquicas). 

    ● Planificación de rutas personalizadas (estáticas o basadas en políticas) para la inserción de dispositivos de terceros (p. ej., un dispositivo virtual de red). 

1.3 Diseño de una red resiliente y de alto rendimiento de nubes híbridas y de múltiples nubes. Se incluyen las siguientes consideraciones:

    ● Diseño para la conectividad del centro de datos, incluidas las limitaciones de ancho de banda (p. ej., interconexión dedicada, interconexión de socio, Cloud VPN).

    ● Diseño para la conectividad de múltiples nubes (p. ej., Cloud VPN, Cross-Cloud Interconnect).

    ● Diseño para la conectividad de las sucursales (p. ej., VPN con IPSec y dispositivos SD-WAN).

    ● Elegir cuándo usar el intercambio de tráfico directo o un Verified Peering Provider. 

    ● Diseño de estrategias de conectividad de alta disponibilidad y de recuperación ante desastres.

    ● Selección del modo de enrutamiento dinámico regional o global.

    ● Acceso a múltiples VPC desde ubicaciones locales (p. ej., VPC compartida, intercambio de tráfico de varias VPC y topologías de Network Connectivity Center).

    ● Acceso a los servicios y las APIs de Google de forma privada desde ubicaciones locales (p. ej., Private Service Connect para las APIs de Google).

    ● Acceso a los servicios administrados por Google a través de conexiones de intercambio de tráfico entre redes de VPC (p. ej., acceso privado a servicios o Service Networking).

    ● Diseño del espacio de direcciones IP en ubicaciones locales y entornos de nube (p. ej., rangos internos, planificación para evitar superposiciones)

    ● Diseño de la estrategia de intercambio de tráfico y reenvío de DNS (p. ej., ruta de reenvío de DNS).

1.4 Diseño de un plan de direccionamiento IP para Google Kubernetes Engine (GKE). Se incluyen las siguientes consideraciones:

    ● Elegir entre los nodos y los grupos de nodos del clúster privado o público.

    ● Elegir entre extremos del plano de control públicos o privados.

    ● Elegir entre el modo Autopilot o el modo Standard de GKE.

    ● Planificar subredes y alias de IP.

    ● Selección de direcciones IP públicas de uso privado (PUPI) o RFC 1918, que no sean RFC 1918.

    ● Planificar para IPv6.

Sección 2: Implementación de redes de nube privada virtual (VPC) (aprox. el 22% del examen)

2.1 Configuración de las VPC. Se incluyen las siguientes consideraciones:

    ●  Creación de recursos de VPC de Google Cloud (p. ej., redes, subredes, políticas o reglas de firewall o subredes de acceso privado a servicios).

    ●  Configurar el intercambio de tráfico entre redes de VPC.

    ●  Creación de de una red de VPC compartida y uso compartido de subredes con otros proyectos.

    ●  Configuración del acceso de APIs a los servicios de Google (p. ej., Acceso privado a Google o interfaces públicas).

    ●  Expansión de los rangos de subredes de VPC después de la creación.

2.2 Configurar el enrutamiento de VPC. Se incluyen las siguientes consideraciones:

    ●  Configuración del enrutamiento estático y dinámico.

    ●  Configuración del enrutamiento dinámico global o regional.

    ●  Implementación del enrutamiento usando etiquetas de red y prioridad.

    ●  Implementación de un balanceador de cargas interno como próximo salto.

    ●  Configuración de la importación y la exportación de rutas personalizadas a través del intercambio de tráfico entre redes de VPC.

    ●  Configurar el enrutamiento basado en políticas.

2.3 Configurar Network Connectivity Center. Se incluyen las siguientes consideraciones:

    ●  Administración de la topología de VPC (p. ej., topología en estrella, de concentrador y radios, o de malla).

    ●  Implementación de NAT privada.

2.4 Configuración y mantenimiento de los clústeres de Google Kubernetes Engine. Se incluyen las siguientes consideraciones:

    ●  Creación de clústeres nativos de la VPC con IP de alias

    ●  Configuración de clústeres con VPC compartida

    ●  Configuración de clústeres privados y extremos del plano de control privado

    ●  Agregar redes autorizadas a los extremos del plano de control del clúster

    ●  Configurar Cloud Service Mesh.

    ●  Habilitar GKE Dataplane V2.

    ●  Configuración de las políticas de NAT de origen (SNAT) y de IP Masquerade

    ●  Crear políticas de red de GKE.

    ●  Configuración de rangos de Pods y rangos de servicios, e implementación de rangos de Pods adicionales para clústeres de GKE

2.5 Configuración y administración de las reglas de firewall de nueva generación de Cloud (NGFW). Se incluyen las siguientes consideraciones:

    ●  Creación de las reglas de firewall y las políticas regionales o globales.

    ●  Asignación de etiquetas de red de destino, cuentas de servicio y etiquetas seguras.

    ●  Migración de reglas de firewall a políticas de firewall.

    ●  Configuración de criterios de reglas de firewall (p. ej., prioridad de las reglas, protocolos de red, reglas de entrada y salida).

    ●  Configuración de los registros de las reglas de firewall.

    ●  Configuración de las políticas de firewall jerárquicas.

    ●  Configuración del servicio de prevención de intrusiones (IPS).

    ●  Implementación de objetos de firewall de nombre de dominio completamente calificado (FQDN).

Sección 3: Configuración de servicios de red administrados (aprox. el 21% del examen)

3.1 Configura el balanceo de cargas. Se incluyen las siguientes consideraciones:

    ● Configuración de servicios de backend (p. ej., grupos de extremos de red [NEG] y grupos de instancias administrados).

    ●  Configuración de backends y servicios de backend con método de balanceo (p. ej., RPS, CPU, personalizado), afinidad de sesión y capacidad de entrega.

    ●  Configurar mapas URL.

    ●  Configurar reglas de reenvío.

    ●  Definición de reglas de firewall para permitir las verificaciones de estado y de tráfico en los servicios de backend.

    ●  Creación de verificaciones de estado para servicios de backend y grupos de instancias de destino.

    ●  Configurar el reenvío de protocolos.

    ●  Adaptación a los aumentos de carga de trabajo mediante el ajuste de escala automático o manual.

    ●  Configuración de balanceadores de cargas para GKE (p. ej., GKE Gateway Controller, el controlador de GKE Ingress o NEG).

    ●  Configuración de la administración del tráfico en balanceadores de cargas de aplicaciones (p. ej., división del tráfico, duplicación de tráfico, reescritura de URL). 

3.2 Configuración de las políticas de Google Cloud Armor. Se incluyen las siguientes consideraciones:

    ●  Configurar políticas de seguridad.

    ●  Implementación de reglas de firewall de aplicaciones web (WAF) (p. ej., inyección de SQL, secuencias de comandos entre sitios, inclusión de archivos remotos).

    ●  Adjuntar políticas de seguridad a los backends del balanceador de cargas.

    ●  Configuración de la protección avanzada contra DDoS de red. 

    ●  Configuración de las políticas de seguridad perimetral y de red perimetral.

    ●  Configurar la protección adaptable.

    ●  Configurar el límite de frecuencia.

    ●  Configurar la administración de bots.

    ●  Aplicar Google Threat Intelligence.

3.3 Configuración de Cloud CDN. Se incluyen las siguientes consideraciones:

    ●  Configuración de Cloud CDN para los orígenes compatibles (p. ej., grupos de instancias administrados, buckets de Cloud Storage o Cloud Run).

    ●  Configuración de Cloud CDN para backends externos (NEG de Internet) y almacenamiento de objetos de terceros.

    ●  Invalidar contenido almacenado en caché.

    ●  Configurar URL firmadas.

3.4 Configuración y mantenimiento de Cloud DNS. Se incluyen las siguientes consideraciones:

    ●  Administración de zonas y registros de Cloud DNS.

    ●  Migrar a Cloud DNS.

    ●  Habilitar las extensiones de seguridad de DNS (DNSSEC).

    ●  Configuración de las políticas del reenvío de DNS y del servidor DNS.

    ●  Integración de DNS local en Google Cloud

    ●  Uso de DNS de horizonte dividido.

    ●  Configurar el intercambio de tráfico de DNS.

    ●  Configuración de Cloud DNS y el operador de DNS externo para GKE.

3.5 Configurar y proteger el tráfico de salida de Internet. Se incluyen las siguientes consideraciones:

    ●  Asignación de direcciones IP de NAT (p. ej., automática o manual).

    ●  Configuración de asignaciones de puertos (p. ej., estáticas o dinámicas)

    ●  Personalizar los tiempos de espera.

    ●  Configuración de restricciones de las políticas de la organización para Cloud NAT. 

    ●  Configurar NAT privada.

    ●  Configurar el proxy web seguro.

3.6 Configurar la inspección de paquetes de red. Se incluyen las siguientes consideraciones: 

    ●  Enrutamiento e inspección del tráfico entre VPC mediante VMs de múltiples NIC (p. ej., dispositivos de firewall de nueva generación).

    ●  Configuración de un balanceador de cargas interno como próximo salto para el enrutamiento de VMs de múltiples NIC con alta disponibilidad.

    ●  Habilitar la inspección de paquetes de capa 7 en Cloud NGFW.

Sección 4: Implementación de la interconectividad de redes híbridas (aprox. el 18% del examen)

4.1 Configuración de Cloud Interconnect. Se incluyen las siguientes consideraciones:

    ●  Creación de conexiones de interconexión dedicada y configuración de adjuntos de VLAN.

    ●  Creación de conexiones de interconexión de socio y configuración de adjuntos de VLAN.

    ●  Creación de conexiones de Cross-Cloud Interconnect y configuración de adjuntos de VLAN.

    ●  Configurar y habilitar MACsec. 

    ●  Configuración de la VPN con alta disponibilidad con Cloud Interconnect.

4.2 Configurar una VPN con IPsec de sitio a sitio. Se incluyen las siguientes consideraciones:

    ●  Configurar una VPN con alta disponibilidad. 

    ●  Configuración de la VPN clásica (p. ej., basada en rutas, basada en políticas). 

4.3 Configuración de Cloud Router. Se incluyen las siguientes consideraciones:

    ●  Implementación de atributos del protocolo de puerta de enlace de frontera (BGP) (p. ej., ASN, prioridad de ruta/MED, direcciones de vínculo local, autenticación).

    ●  Configuración de la detección de reenvío bidireccional (BFD).

    ●  Creación de rutas anunciadas personalizadas y rutas aprendidas personalizadas.

4.4 Configura Network Connectivity Center. Se incluyen las siguientes consideraciones:

    ●  Creación de radios híbridos (p. ej., VPN/Cloud Interconnect).

    ●  Establecimiento de la transferencia de datos de sitio a sitio.

    ●  Creación de dispositivos de router (RA).

Sección 5: Administración, supervisión y solución de problemas de operaciones de red (aprox. el 13% del examen)

5.1 Registro y supervisión con Google Cloud Observability. Se incluyen las siguientes consideraciones:

    ●  Habilitar y revisar registros para componentes de red (p. ej., Cloud VPN, Cloud Router, Controles del servicio de VPC, Cloud NGFW, Estadísticas de firewall, registros de flujo de VPC, Cloud DNS y Cloud NAT).

    ●  Supervisión de métricas de componentes de herramientas de redes (p. ej., Cloud VPN, Cloud Interconnect y los adjuntos de VLAN, Cloud Router, los balanceadores de cargas, Google Cloud Armor y Cloud NAT).

5.2 Mantenimiento de la conectividad y solución de problemas relacionados. Se incluyen las siguientes consideraciones:

    ●  Desviar y redireccionar los flujos de tráfico con balanceadores de cargas de aplicaciones.

    ●  Ajuste y solución de problemas de reglas o políticas de Cloud NGFW.

    ●  Administración y solución de problemas de VPN

    ●  Solución de problemas de intercambio de tráfico BGP de Cloud Router

    ●  Solución de problemas con los registros de flujo de VPC, los registros de firewall y la duplicación de paquetes.

5.3 Uso de Network Intelligence Center para supervisar y solucionar problemas comunes de red. Se incluyen las siguientes consideraciones:

    ●  Uso de la Topología de red para visualizar la capacidad de procesamiento y los flujos de tráfico.

    ●  Uso de pruebas de conectividad para diagnosticar parámetros de configuración incorrectos de ruta y firewall.

    ●  Uso del Panel de rendimiento para identificar la pérdida de paquetes y la latencia (p. ej., en las distintas plataformas de Google y en el proyecto).

    ●  Uso de Estadísticas de firewall para supervisar el recuento de hits de la regla y también identificar reglas bloqueadas.

    ●  Uso de Network Analyzer para identificar fallas de red, parámetros de configuración subóptimos y advertencias de uso.