Professional Cloud Network Engineer

セクション 1: Google Cloud ネットワークの設計と計画（試験内容の 26% 以下）

1.1 全体的なネットワーク アーキテクチャを設計する。 以下のような点を考察します。

    ●  高可用性、フェイルオーバー、障害復旧、スケールを考慮した設計。

    ●  DNS トポロジの設計（オンプレミス、Cloud DNS など）。

    ●  セキュリティとデータ引き出しの防止要件を考慮した設計。

    ●  アプリケーション用のロードバランサの選択。

    ●  ハイブリッド接続を考慮した設計（ハイブリッド接続用の限定公開の Google アクセスなど）。

    ●  Google Kubernetes Engine（GKE）ネットワーキングに向けた計画（セカンダリ範囲、IP アドレス空間に基づくスケーリングの可能性、GKE コントロール プレーンへのアクセスなど）。

    ●  Identity and Access Management（IAM）のロールのプランニング（共有 VPC 環境での IAM ロールの管理など）。

    ●  セキュリティ目的でのマイクロセグメンテーションの組み込み（メタデータ、タグ、サービス アカウント、セキュアタグの使用など）。

    ●  マネージド サービスへの接続に向けた計画（限定公開サービス アクセス、Private Service Connect、サーバーレス VPC アクセスなど）。

    ●  ネットワーク ティア（プレミアムとスタンダードなど）間の違い。

    ●  VPC Service Controls を考慮した設計。

1.2 Virtual Private Cloud（VPC）ネットワークを設計する。 以下のような点を考察します。

    ●  VPC のタイプと数量の選択（スタンドアロン VPC または共有 VPC、VPC 環境の数など）。

    ●  要件に基づくネットワーク接続方法の決定（VPC ネットワーク ピアリング、Network Connectivity Center による VPC ネットワーク ピアリング、Private Service Connect など）。

    ●  IP アドレス管理戦略の計画（サブネット、IPv6、お客様所有 IP の使用（パブリック アドバタイズド プレフィックス（PAP）とパブリック委任プレフィックス（PDP））、Private NAT、RFC 1918 以外、マネージド サービスなど）。

    ●  グローバルまたはリージョンのネットワーク環境の計画。

    ●  ファイアウォール戦略の計画（VPC ファイアウォール ルール、Cloud Next Generation Firewall、階層型ファイアウォール ルールなど）。

    ●  サードパーティ製デバイス（ネットワーク仮想アプライアンスなど）を挿入するためのカスタムルート（静的またはポリシーベース）の計画。

1.3 復元力とパフォーマンスに優れたハイブリッドおよびマルチクラウド ネットワークを設計する。以下のような点を考察します。

    ●  帯域幅の制約を含むデータセンター接続を考慮した設計（Dedicated Interconnect、Partner Interconnect、Cloud VPN など）。

    ●  マルチクラウド接続を考慮した設計（Cloud VPN、Cross-Cloud Interconnect など）。

    ●  支店や支社の接続を考慮した設計（IPSec VPN、SD-WAN アプライアンスなど）。

    ●  ダイレクト ピアリングと Verified Peering Provider の使い分け。

    ●  高可用性と障害復旧を考慮した接続戦略の設計。

    ●  リージョンまたはグローバルの動的ルーティング モードの選択。

    ●  オンプレミスのロケーションから複数の VPC へのアクセス（共有 VPC、マルチ VPC ピアリング、Network Connectivity Center トポロジなど）。

    ●  オンプレミス ロケーションから Google サービスと API へのアクセス（Google API 用の Private Service Connect など）。

    ●  VPC ネットワーク ピアリング接続を介した Google マネージド サービスへのアクセス（限定公開サービス アクセス、サービス ネットワーキングなど）。

    ●  オンプレミス ロケーションとクラウド環境にまたがる IP アドレス空間の設計（内部範囲、重複回避のための計画など）。

    ●  DNS ピアリングおよび転送戦略の設計（DNS 転送パスなど）。

1.4 Google Kubernetes Engine（GKE）の IP アドレス指定プランを設計する。以下のような点を考察します。

    ●  一般公開クラスタノードまたは限定公開クラスタノードとノードプールの選択。

    ●  一般公開と限定公開のいずれかのコントロール プレーン エンドポイントの選択。

    ●  GKE Autopilot モードと GKE Standard モードのいずれかの選択。

    ●  サブネットとエイリアス IP の計画。

    ●  RFC 1918、RFC 1918 以外、プライベートで使用されるパブリック IP（PUPI）アドレスの選択。

    ●  IPv6 に向けた計画。

セクション 2: Virtual Private Cloud（VPC）ネットワークの実装（試験内容の 22% 以下）

2.1 VPC を構成する。以下のような点を考察します。

    ●  Google Cloud VPC リソースの作成（ネットワーク、サブネット、ファイアウォール ルールまたはポリシー、限定公開サービス アクセスのサブネットなど）。

    ●  VPC ネットワーク ピアリングの構成。

    ●  共有 VPC ネットワークの作成と他のプロジェクトとのサブネットの共有。

    ●  Google サービスへの API アクセスの構成（限定公開の Google アクセス、公開インターフェースなど）

    ●  作成後の VPC サブネット範囲の拡大

2.2 VPC ルーティングを構成する。以下のような点を考慮します。

    ●  静的ルーティングと動的ルーティングの設定。

    ●  グローバルまたはリージョンの動的ルーティングの構成。

    ●  ネットワーク タグと優先度を使用したルーティングの実装。

    ●  ネクストホップとしての内部ロードバランサの実装。

    ●  VPC ネットワーク ピアリングを介したカスタムルートのインポートとエクスポートの構成。

    ●  ポリシーベース ルーティングの構成。

2.3 Network Connectivity Center を構成する。 以下のような点を考察します。

    ●  VPC トポロジの管理（スタートポロジ、ハブ アンド スポーク、メッシュ トポロジなど）。

    ●  Private NAT の実装。

2.4 Google Kubernetes Engine クラスタの構成と保守を行う。以下のような点を考察します。

    ●  エイリアス IP を使用した VPC ネイティブ クラスタの作成。

    ●  共有 VPC を使用したクラスタの設定。

    ●  限定公開クラスタとコントロール プレーンのプライベート エンドポイントの構成。

    ●  クラスタ コントロール プレーン エンドポイント用の承認済みネットワークの追加。

    ●  Cloud Service Mesh の構成。

    ●  GKE Dataplane V2 の有効化。

    ●  送信元 NAT（SNAT）ポリシーと IP マスカレード ポリシーの構成。

    ●  GKE ネットワーク ポリシーの作成。

    ●  Pod 範囲とサービス範囲の構成、および GKE クラスタへの追加の Pod 範囲のデプロイ。

2.5 Cloud Next Generation Firewall（NGFW）ルールを構成、管理する。以下のような点を考察します。

    ●  ファイアウォール ルールとリージョン / グローバル ポリシーの作成。

    ●  ターゲット ネットワーク タグ、サービス アカウント、セキュアタグのマッピング。

    ●  ファイアウォール ルールからファイアウォール ポリシーへの移行。

    ●  ファイアウォール ルールの条件の構成（ルールの優先度、ネットワーク プロトコル、上り（内向き）ルールと下り（外向き）ルールなど）。

    ●  ファイアウォール ルールロギングの構成。

    ●  階層型ファイアウォール ポリシーの構成。

    ●  侵入防止サービス（IPS）の構成。

    ●  完全修飾ドメイン名（FQDN）のファイアウォール オブジェクトの実装。

セクション 3: マネージド ネットワーク サービスの構成（試験内容の 21% 以下）

3.1 ロード バランシングを構成する。以下のような点を考慮します。

    ●  バックエンド サービスの構成（ネットワーク エンドポイント グループ（NEG）、マネージド インスタンス グループなど）。

    ●  分散方式（RPS、CPU、カスタムなど）、セッション アフィニティ、処理能力によるバックエンドおよびバックエンド サービスの構成。

    ●  URL マップの構成。

    ●  転送ルールの構成。

    ●  バックエンド サービスへのトラフィックとヘルスチェックを許可するファイアウォール ルールの定義。

    ●  バックエンド サービスとターゲット インスタンス グループのヘルスチェックの作成。

    ●  プロトコル転送の構成。

    ●  ワークロードの増加への対応（自動スケーリングと手動スケーリングそれぞれを使用した場合）。

    ●  GKE 向けロードバランサの構成（GKE Gateway Controller、GKE Ingress コントローラ、NEG など）。

    ●  アプリケーション ロードバランサでのトラフィック管理の設定（トラフィック分割、トラフィックのミラーリング、URL の書き換えなど）。

3.2 Google Cloud Armor ポリシーを構成する。 以下のような点を考察します。

    ●  セキュリティ ポリシーの構成。

    ●  ウェブ アプリケーション ファイアウォール（WAF）ルール（SQL インジェクション、クロスサイト スクリプティング、リモート ファイル インクルードなど）

    ●  ロードバランサ バックエンドへのセキュリティ ポリシーの接続

    ●  高度なネットワーク DDoS 保護機能の構成。

    ●  エッジとネットワーク エッジのセキュリティ ポリシーの構成。

    ●  適応型保護の構成。

    ●  レート制限の構成。

    ●  bot 管理の構成。

    ●  Google Threat Intelligence の適用。

3.3 Cloud CDN の構成以下のような点を考察します。

    ●  サポートされている送信元用に Cloud CDN を設定（マネージド インスタンス グループ、Cloud Storage バケット、Cloud Run など）。

    ●  外部バックエンド（インターネット NEG）とサードパーティのオブジェクト ストレージ用に Cloud CDN を設定。

    ●  キャッシュに保存されたコンテンツの無効化。

    ●  署名付き URL の構成。

3.4 Cloud DNS の構成と保守を行う。以下のような点を考察します。

    ●  Cloud DNS のゾーンとレコードの管理。

    ●  Cloud DNS への移行。

    ●  DNS Security Extensions（DNSSEC）の有効化。

    ●  DNS 転送ポリシーと DNS サーバー ポリシーの構成。

    ●  オンプレミス DNS と Google Cloud の統合

    ●  スプリット ホライズン DNS の使用。

    ●  DNS ピアリングの設定。

    ●  GKE 用に Cloud DNS と外部 DNS オペレーターを構成。

3.5 インターネット下り（外向き）トラフィックを構成して保護する。 以下のような点を考察します。

    ●  NAT IP アドレスの割り当て（自動、手動など）。

    ●  ポート割り当ての構成（静的、動的など）。

    ●  タイムアウトのカスタマイズ。

    ●  Cloud NAT の組織のポリシーに関する制約の構成。

    ●  Private NAT の構成。

    ●  Secure Web Proxy の構成。

3.6  ネットワーク パケット インスペクションを構成する。 以下のような点を考察します。

    ●  マルチ NIC VM（次世代のファイアウォール アプライアンスなど）を使用した VPC 間トラフィックのルーティングと検査。

    ●  高可用性マルチ NIC VM ルーティングのネクストホップとしての内部ロードバランサの構成。

    ●  Cloud NGFW でのレイヤ 7 パケット検査の有効化。

セクション 4: ハイブリッド ネットワークの相互接続の実装（試験内容の 18% 以下）

4.1 Cloud Interconnect を構成する。 以下のような点を考慮します。

    ●  Dedicated Interconnect 接続の作成と VLAN アタッチメントの構成。

    ●  Partner Interconnect 接続の作成と VLAN アタッチメントの構成。

    ●  Cross-Cloud Interconnect 接続の作成と VLAN アタッチメントの構成。

    ●  MACsec の設定と有効化。

    ●  Cloud Interconnect を介した HA VPN の構成。

4.2 サイト間 IPsec VPN を構成する。 以下のような点を考察します。

    ●  HA VPN の構成。

    ●  Classic VPN の構成（ルートベース、ポリシーベースなど）。

4.3 Cloud Router を構成する。以下のような点を考慮します。

    ●  Border Gateway Protocol（BGP）属性（例: ASN、ルート優先度 / MED、リンクローカル アドレス、認証）

    ●  Bidirectional Forwarding Detection（BFD）の構成。

    ●  カスタムのアドバタイズされたルートとカスタムの学習したルートの作成。

4.4 Network Connectivity Center を構成する。 以下のような点を考察します。

    ●  ハイブリッド スポークの作成（VPN、Cloud Interconnect など）。

    ●  サイト間データ転送の確立。

    ●  ルーター アプライアンス（RA）の作成。

セクション 5: ネットワーク オペレーションの管理、モニタリング、トラブルシューティング（試験内容の 13% 以下）

5.1 Google Cloud Observability を使用してロギングとモニタリングを行う。以下のような点を考察します。

    ●  ネットワーキング コンポーネントのログの有効化とレビュー（Cloud VPN、Cloud Router、VPC Service Controls、Cloud NGFW、ファイアウォール インサイト、VPC フローログ、Cloud DNS、Cloud NAT など）。

    ●  ネットワーキング コンポーネントの指標のモニタリング（Cloud VPN、Cloud Interconnect、VLAN アタッチメント、Cloud Router、ロードバランサ、Google Cloud Armor、Cloud NAT など）。

5.2 接続性の維持管理とその問題のトラブルシューティングを行う。以下のような点を考察します。

    ●  アプリケーション ロードバランサを使用した、トラフィック フローのドレインとリダイレクト。

    ●  Cloud NGFW のルールまたはポリシーの調整とトラブルシューティング。

    ●  VPN の管理とトラブルシューティング。

    ●  Cloud Router の BGP ピアリングの問題のトラブルシューティング。

    ●  VPC フローログ、ファイアウォール ログ、Packet Mirroring を使用したトラブルシューティング。

5.3 Network Intelligence Center を使用して、ネットワークに関する一般的な問題のモニタリングとトラブルシューティングを行う。以下のような点を考慮します。

    ●  ネットワーク トポロジを使用した、スループットとトラフィック フローの可視化。

    ●  接続テストを使用した、ルートおよびファイアウォール構成ミスの診断。

    ●  パフォーマンス ダッシュボードを使用した、パケットロスとレイテンシの特定（Google 全体、プロジェクト スコープなど）。

    ●  ファイアウォール インサイトを使用した、ルールのヒット数のモニタリングとシャドウルールの特定。

    ●  ネットワーク アナライザを使用した、ネットワーク障害、最適ではない構成、使用率に関する警告の特定。