Professional Cloud Network Engineer
Panduan ujian sertifikasi
Seorang Professional Cloud Network Engineer mengimplementasikan dan mengelola arsitektur jaringan di Google Cloud. Engineer ini dapat bekerja dalam tim jaringan atau cloud dengan para arsitek yang merancang infrastruktur cloud. Cloud Network Engineer menggunakan Konsol Google Cloud dan/atau antarmuka command line, serta memanfaatkan pengalaman dalam menangani layanan jaringan, jaringan aplikasi dan container, konektivitas hybrid dan multi-cloud, penerapan VPC, dan keamanan untuk arsitektur jaringan yang sudah ada guna memastikan keberhasilan penerapan cloud.
Bagian 1: Merancang, merencanakan, dan membuat prototipe jaringan Google Cloud
1.1 Merancang arsitektur jaringan secara keseluruhan. Pertimbangan ini meliputi:
● Strategi ketersediaan tinggi, failover, dan pemulihan dari bencana (disaster recovery)
● Strategi DNS (misalnya lokal, Cloud DNS)
● Persyaratan keamanan dan pemindahan data yang tidak sah
● Load balancing
● Menerapkan kuota per project dan per VPC
● Konektivitas hybrid (misalnya, Akses pribadi Google untuk konektivitas hybrid)
● Jaringan container
● Peran IAM
● Layanan SaaS, PaaS, dan IaaS
● Segmentasi mikro untuk tujuan keamanan (misalnya menggunakan metadata, tag, akun layanan)
1.2 Merancang instance Virtual Private Cloud (VPC). Pertimbangan ini meliputi:
● Pengelolaan alamat IP dan bring your own IP (BYOIP)
● VPC Mandiri vs. VPC Bersama
● Banyak vs. tunggal
● Regional vs. multi-regional
● Peering Jaringan VPC
● Firewall (misalnya berbasis akun layanan, berbasis tag)
● Rute kustom
● Menggunakan layanan terkelola (misalnya, Cloud SQL, Memorystore)
● Penyisipan perangkat pihak ketiga (NGFW) ke VPC menggunakan multi-NIC dan load balancer internal sebagai rute next hop atau rute multi-jalur dengan biaya yang sama (ECMP)
1.3 Merancang jaringan hybrid dan multi-cloud. Pertimbangan ini meliputi:
● Dedicated Interconnect vs. Partner Interconnect
● Konektivitas multi-cloud
● Peering Langsung
● VPN IPsec
● Failover dan strategi pemulihan dari bencana (disaster recovery)
● Mode perutean VPC regional vs. global
● Mengakses beberapa VPC dari lokasi lokal (misalnya, VPC Bersama, topologi peering multi-VPC)
● Bandwidth dan batasan yang diberikan oleh solusi konektivitas hybrid
● Mengakses Layanan/API Google secara pribadi dari lokasi lokal
● Pengelolaan alamat IP di seluruh lokasi lokal dan cloud
● Peering dan penerusan DNS
1.4 Merancang rencana pengalamatan IP untuk Google Kubernetes Engine. Pertimbangan ini meliputi:
● Node cluster publik dan pribadi
● Endpoint bidang kontrol publik vs. pribadi
● Subnet dan IP alias
● RFC 1918, non-RFC 1918, dan opsi alamat IP publik yang digunakan secara pribadi (PUPI)
Bagian 2: Mengimplementasikan instance Virtual Private Cloud (VPC)
2.1 Mengonfigurasi VPC. Pertimbangan ini meliputi:
● Resource VPC Google Cloud (misalnya, jaringan, subnet, aturan firewall)
● Peering Jaringan VPC
● Membuat jaringan VPC Bersama dan berbagi subnet dengan project lain
● Mengonfigurasi akses API ke layanan Google (misalnya, Akses Google Pribadi, antarmuka publik)
● Memperluas rentang subnet VPC setelah pembuatan
2.2 Mengonfigurasi perutean. Pertimbangan ini meliputi:
● Perutean statis vs. dinamis
● Perutean dinamis global vs. regional
● Kebijakan perutean menggunakan tag dan prioritas
● Load balancer internal sebagai next hop
● Impor/ekspor rute kustom melalui Peering Jaringan VPC
2.3 Mengonfigurasi dan memelihara cluster Google Kubernetes Engine. Pertimbangan ini meliputi:
● Cluster VPC native menggunakan IP alias
● Cluster dengan VPC Bersama
● Membuat Kebijakan Jaringan Kubernetes
● Cluster pribadi dan endpoint bidang kontrol pribadi
● Menambahkan jaringan resmi untuk endpoint bidang kontrol cluster
2.4 Mengonfigurasi dan mengelola aturan firewall. Pertimbangan ini meliputi:
● Menargetkan tag jaringan dan akun layanan
● Prioritas aturan
● Protokol jaringan
● Aturan traffic masuk dan keluar
● Logging aturan firewall
● Analisis Firewall
● Firewall Hierarkis
2.5 Mengimplementasikan Kontrol Layanan VPC. Pertimbangan ini meliputi:
● Membuat dan mengonfigurasi tingkat akses dan perimeter layanan
● Layanan VPC yang dapat diakses
● Perantara perimeter
● Logging audit
● Mode uji coba
Bagian 3: Mengonfigurasi layanan jaringan
3.1 Mengonfigurasi load balancing. Pertimbangan ini meliputi:
● Layanan backend dan grup endpoint jaringan (NEG)
● Aturan firewall untuk mengizinkan pemeriksaan trafffic dan health check ke layanan backend
● Health check untuk layanan backend dan grup instance target
● Mengonfigurasi backend dan layanan backend dengan metode penyeimbangan (misalnya, RPS, CPU, Custom), afinitas sesi, dan penskalaan kapasitas/scaler
● Load balancer proxy TCP dan SSL
● Load balancer (misalnya, Load Balancing Jaringan TCP/UDP Eksternal, Load Balancing TCP/UDP Internal, Load Balancing HTTP(S) Eksternal, Load Balancing HTTP(S) Internal)
● Penerusan protokol
● Mengakomodasi peningkatan workload menggunakan penskalaan otomatis vs. penskalaan manual
3.2 Mengonfigurasi kebijakan Google Cloud Armor. Pertimbangan ini meliputi:
● Kebijakan keamanan
● Aturan firewall aplikasi web (WAF) (misalnya, Injeksi SQL, pembuatan skrip lintas situs, penyertaan file jarak jauh)
● Melampirkan kebijakan keamanan ke backend load balancer
3.3 Mengonfigurasi Cloud CDN. Pertimbangan ini meliputi:
● Mengaktifkan dan menonaktifkan
● Cloud CDN
● Kunci cache Menginvalidasi objek yang di-cache
● URL yang Ditandatangani
● Origin kustom
3.4 Mengonfigurasi dan memelihara Cloud DNS. Pertimbangan ini meliputi:
● Mengelola zona dan kumpulan data
● Bermigrasi ke Cloud DNS
● DNS Security Extensions (DNSSEC)
● Kebijakan penerusan dan server DNS
● Mengintegrasikan DNS lokal dengan Google Cloud
● DNS Split-horizon
● Peering DNS
● Logging DNS pribadi
3.5 Mengonfigurasi Cloud NAT. Pertimbangan ini meliputi:
● Pengalamatan
● Alokasi port
● Menyesuaikan waktu tunggu
● Logging dan pemantauan
● Pembatasan berdasarkan batasan kebijakan organisasi
3.6 Mengonfigurasi pemeriksaan paket jaringan. Pertimbangan ini meliputi:
● Duplikasi Paket dalam topologi VPC tunggal dan multi-VPC
● Merekam traffic yang relevan menggunakan sumber Duplikasi Paket dan filter traffic
● Merutekan dan memeriksa traffic antar-VPC menggunakan VM multi-NIC (misalnya, peralatan firewall generasi berikutnya)
● Mengonfigurasi load balancer internal sebagai next hop untuk perutean VM multi-NIC dengan ketersediaan tinggi
Bagian 4: Mengimplementasikan interkonektivitas hybrid
4.1 Mengonfigurasi Cloud Interconnect. Pertimbangan ini meliputi:
● Koneksi Dedicated Interconnect lampiran VLAN
● Koneksi Partner Interconnect dan lampiran VLAN
4.2 Mengonfigurasi VPN IPsec situs-ke-situs. Pertimbangan ini meliputi:
● VPN dengan ketersediaan tinggi (perutean dinamis)
● VPN Klasik (misalnya, pemilihan rute berbasis rute, pemilihan rute berbasis kebijakan)
4.3 Mengonfigurasi Cloud Router. Pertimbangan ini meliputi:
● Atribut Border Gateway Protocol (BGP) (misalnya, ASN, prioritas rute/MED, alamat link-local)
● Pemberitahuan rute kustom melalui BGP
● Men-deploy Cloud Router yang andal dan redundan
Bagian 5: Mengelola, memantau, dan mengoptimalkan operasi jaringan
5.1 Logging dan pemantauan dengan Google Cloud Operations Suite. Pertimbangan ini meliputi:
● Meninjau log untuk komponen jaringan (misalnya, VPN, Cloud Router, Kontrol Layanan VPC)
● Memantau komponen jaringan (misalnya, VPN, koneksi Cloud Interconnect dan lampiran Interconnect, Cloud Router, load balancer, Google Cloud Armor, Cloud NAT)
5.2 Mengelola dan memelihara keamanan. Pertimbangan ini meliputi:
● Firewall (misalnya, berbasis cloud, pribadi)
● Mendiagnosis dan menyelesaikan masalah IAM (misalnya, VPC Bersama, admin keamanan/jaringan)
5.3 Memelihara dan memecahkan masalah konektivitas. Pertimbangan ini meliputi:
● Mengosongkan dan mengarahkan arus traffic dengan Load Balancing HTTP(S)
● Memantau traffic masuk dan keluar menggunakan VPC Flow Logs
● Memantau log firewall dan Analisis Firewall
● Mengelola dan memecahkan masalah VPN
● Memecahkan masalah peering BGP Cloud Router
5.4 Memantau, memelihara, dan memecahkan masalah latensi dan arus traffic. Pertimbangan ini meliputi:
● Menguji throughput dan latensi jaringan
● Mendiagnosis masalah perutean
● Menggunakan Network Intelligence Center untuk memvisualisasikan topologi, menguji konektivitas, dan memantau performa