Google デベロッパー プログラムのプレミアム ティアが、さらなるレベルアップをサポート。Google を活用して学習、スキルの構築、キャリアアップを実現するための限定リソースと機会にアクセスできます。 すべての特典を確認する

Professional Cloud Network Engineer

認定試験ガイド

Professional Cloud Network Engineer は、Google Cloud ネットワーク インフラストラクチャの設計、実装、管理を担当します。これには、高可用性、スケーラビリティ、レジリエンス、セキュリティを考慮したネットワーク アーキテクチャの設計が含まれます。また、Virtual Private Cloud(VPC)、ルーティング、ネットワーク セキュリティ サービス、ロード バランシング、Cloud DNS の構成と管理に精通しており、Cloud Interconnect と Cloud VPN を介したハイブリッド接続の設定にも習熟しています。専門知識の範囲は、Google Cloud Observability と Network Intelligence Center を使用したネットワーク運用の診断、モニタリング、トラブルシューティングにまでおよびます。


セクション 1: Google Cloud ネットワークの設計と計画(試験内容の 26% 以下)

1.1 全体的なネットワーク アーキテクチャを設計する。 以下のような点を考察します。

    ●  高可用性、フェイルオーバー、障害復旧、スケールを考慮した設計。

    ●  DNS トポロジの設計(オンプレミス、Cloud DNS など)。

    ●  セキュリティとデータ引き出しの防止要件を考慮した設計。

    ●  アプリケーション用のロードバランサの選択。

    ●  ハイブリッド接続を考慮した設計(ハイブリッド接続用の限定公開の Google アクセスなど)。

    ●  Google Kubernetes Engine(GKE)ネットワーキングに向けた計画(セカンダリ範囲、IP アドレス空間に基づくスケーリングの可能性、GKE コントロール プレーンへのアクセスなど)。

    ●  Identity and Access Management(IAM)のロールのプランニング(共有 VPC 環境での IAM ロールの管理など)。

    ●  セキュリティ目的でのマイクロセグメンテーションの組み込み(メタデータ、タグ、サービス アカウント、セキュアタグの使用など)。

    ●  マネージド サービスへの接続に向けた計画(限定公開サービス アクセス、Private Service Connect、サーバーレス VPC アクセスなど)。

    ●  ネットワーク ティア(プレミアムとスタンダードなど)間の違い。

    ●  VPC Service Controls を考慮した設計。

1.2 Virtual Private Cloud(VPC)ネットワークを設計する。 以下のような点を考察します。

    ●  VPC のタイプと数量の選択(スタンドアロン VPC または共有 VPC、VPC 環境の数など)。

    ●  要件に基づくネットワーク接続方法の決定(VPC ネットワーク ピアリング、Network Connectivity Center による VPC ネットワーク ピアリング、Private Service Connect など)。

    ●  IP アドレス管理戦略の計画(サブネット、IPv6、お客様所有 IP の使用(パブリック アドバタイズド プレフィックス(PAP)とパブリック委任プレフィックス(PDP))、Private NAT、RFC 1918 以外、マネージド サービスなど)。

    ●  グローバルまたはリージョンのネットワーク環境の計画。

    ●  ファイアウォール戦略の計画(VPC ファイアウォール ルール、Cloud Next Generation Firewall、階層型ファイアウォール ルールなど)。

    ●  サードパーティ製デバイス(ネットワーク仮想アプライアンスなど)を挿入するためのカスタムルート(静的またはポリシーベース)の計画。

1.3 復元力とパフォーマンスに優れたハイブリッドおよびマルチクラウド ネットワークを設計する。以下のような点を考察します。

    ●  帯域幅の制約を含むデータセンター接続を考慮した設計(Dedicated Interconnect、Partner Interconnect、Cloud VPN など)。

    ●  マルチクラウド接続を考慮した設計(Cloud VPN、Cross-Cloud Interconnect など)。

    ●  支店や支社の接続を考慮した設計(IPSec VPN、SD-WAN アプライアンスなど)。

    ●  ダイレクト ピアリングと Verified Peering Provider の使い分け。

    ●  高可用性と障害復旧を考慮した接続戦略の設計。

    ●  リージョンまたはグローバルの動的ルーティング モードの選択。

    ●  オンプレミスのロケーションから複数の VPC へのアクセス(共有 VPC、マルチ VPC ピアリング、Network Connectivity Center トポロジなど)。

    ●  オンプレミス ロケーションから Google サービスと API へのアクセス(Google API 用の Private Service Connect など)。

    ●  VPC ネットワーク ピアリング接続を介した Google マネージド サービスへのアクセス(限定公開サービス アクセス、サービス ネットワーキングなど)。

    ●  オンプレミス ロケーションとクラウド環境にまたがる IP アドレス空間の設計(内部範囲、重複回避のための計画など)。

    ●  DNS ピアリングおよび転送戦略の設計(DNS 転送パスなど)。

1.4 Google Kubernetes Engine(GKE)の IP アドレス指定プランを設計する。以下のような点を考察します。

    ●  一般公開クラスタノードまたは限定公開クラスタノードとノードプールの選択。

    ●  一般公開と限定公開のいずれかのコントロール プレーン エンドポイントの選択。

    ●  GKE Autopilot モードと GKE Standard モードのいずれかの選択。

    ●  サブネットとエイリアス IP の計画。

    ●  RFC 1918、RFC 1918 以外、プライベートで使用されるパブリック IP(PUPI)アドレスの選択。

    ●  IPv6 に向けた計画。

セクション 2: Virtual Private Cloud(VPC)ネットワークの実装(試験内容の 22% 以下)

2.1 VPC を構成する。以下のような点を考察します。

    ●  Google Cloud VPC リソースの作成(ネットワーク、サブネット、ファイアウォール ルールまたはポリシー、限定公開サービス アクセスのサブネットなど)。

    ●  VPC ネットワーク ピアリングの構成。

    ●  共有 VPC ネットワークの作成と他のプロジェクトとのサブネットの共有。

    ●  Google サービスへの API アクセスの構成(限定公開の Google アクセス、公開インターフェースなど)

    ●  作成後の VPC サブネット範囲の拡大

2.2 VPC ルーティングを構成する。以下のような点を考慮します。

    ●  静的ルーティングと動的ルーティングの設定。

    ●  グローバルまたはリージョンの動的ルーティングの構成。

    ●  ネットワーク タグと優先度を使用したルーティングの実装。

    ●  ネクストホップとしての内部ロードバランサの実装。

    ●  VPC ネットワーク ピアリングを介したカスタムルートのインポートとエクスポートの構成。

    ●  ポリシーベース ルーティングの構成。

2.3 Network Connectivity Center を構成する。 以下のような点を考察します。

    ●  VPC トポロジの管理(スタートポロジ、ハブ アンド スポーク、メッシュ トポロジなど)。

    ●  Private NAT の実装。

2.4 Google Kubernetes Engine クラスタの構成と保守を行う。以下のような点を考察します。

    ●  エイリアス IP を使用した VPC ネイティブ クラスタの作成。

    ●  共有 VPC を使用したクラスタの設定。

    ●  限定公開クラスタとコントロール プレーンのプライベート エンドポイントの構成。

    ●  クラスタ コントロール プレーン エンドポイント用の承認済みネットワークの追加。

    ●  Cloud Service Mesh の構成。

    ●  GKE Dataplane V2 の有効化。

    ●  送信元 NAT(SNAT)ポリシーと IP マスカレード ポリシーの構成。

    ●  GKE ネットワーク ポリシーの作成。

    ●  Pod 範囲とサービス範囲の構成、および GKE クラスタへの追加の Pod 範囲のデプロイ。

2.5 Cloud Next Generation Firewall(NGFW)ルールを構成、管理する。以下のような点を考察します。

    ●  ファイアウォール ルールとリージョン / グローバル ポリシーの作成。

    ●  ターゲット ネットワーク タグ、サービス アカウント、セキュアタグのマッピング。

    ●  ファイアウォール ルールからファイアウォール ポリシーへの移行。

    ●  ファイアウォール ルールの条件の構成(ルールの優先度、ネットワーク プロトコル、上り(内向き)ルールと下り(外向き)ルールなど)。

    ●  ファイアウォール ルールロギングの構成。

    ●  階層型ファイアウォール ポリシーの構成。

    ●  侵入防止サービス(IPS)の構成。

    ●  完全修飾ドメイン名(FQDN)のファイアウォール オブジェクトの実装。

セクション 3: マネージド ネットワーク サービスの構成(試験内容の 21% 以下)

3.1 ロード バランシングを構成する。以下のような点を考慮します。

    ●  バックエンド サービスの構成(ネットワーク エンドポイント グループ(NEG)、マネージド インスタンス グループなど)。

    ●  分散方式(RPS、CPU、カスタムなど)、セッション アフィニティ、処理能力によるバックエンドおよびバックエンド サービスの構成。

    ●  URL マップの構成。

    ●  転送ルールの構成。

    ●  バックエンド サービスへのトラフィックとヘルスチェックを許可するファイアウォール ルールの定義。

    ●  バックエンド サービスとターゲット インスタンス グループのヘルスチェックの作成。

    ●  プロトコル転送の構成。

    ●  ワークロードの増加への対応(自動スケーリングと手動スケーリングそれぞれを使用した場合)。

    ●  GKE 向けロードバランサの構成(GKE Gateway Controller、GKE Ingress コントローラ、NEG など)。

    ●  アプリケーション ロードバランサでのトラフィック管理の設定(トラフィック分割、トラフィックのミラーリング、URL の書き換えなど)。

3.2 Google Cloud Armor ポリシーを構成する。 以下のような点を考察します。

    ●  セキュリティ ポリシーの構成。

    ●  ウェブ アプリケーション ファイアウォール(WAF)ルール(SQL インジェクション、クロスサイト スクリプティング、リモート ファイル インクルードなど)

    ●  ロードバランサ バックエンドへのセキュリティ ポリシーの接続

    ●  高度なネットワーク DDoS 保護機能の構成。

    ●  エッジとネットワーク エッジのセキュリティ ポリシーの構成。

    ●  適応型保護の構成。

    ●  レート制限の構成。

    ●  bot 管理の構成。

    ●  Google Threat Intelligence の適用。

3.3 Cloud CDN の構成以下のような点を考察します。

    ●  サポートされている送信元用に Cloud CDN を設定(マネージド インスタンス グループ、Cloud Storage バケット、Cloud Run など)。

    ●  外部バックエンド(インターネット NEG)とサードパーティのオブジェクト ストレージ用に Cloud CDN を設定。

    ●  キャッシュに保存されたコンテンツの無効化。

    ●  署名付き URL の構成。

3.4 Cloud DNS の構成と保守を行う。以下のような点を考察します。

    ●  Cloud DNS のゾーンとレコードの管理。

    ●  Cloud DNS への移行。

    ●  DNS Security Extensions(DNSSEC)の有効化。

    ●  DNS 転送ポリシーと DNS サーバー ポリシーの構成。

    ●  オンプレミス DNS と Google Cloud の統合

    ●  スプリット ホライズン DNS の使用。

    ●  DNS ピアリングの設定。

    ●  GKE 用に Cloud DNS と外部 DNS オペレーターを構成。

3.5 インターネット下り(外向き)トラフィックを構成して保護する。 以下のような点を考察します。

    ●  NAT IP アドレスの割り当て(自動、手動など)。

    ●  ポート割り当ての構成(静的、動的など)。

    ●  タイムアウトのカスタマイズ。

    ●  Cloud NAT の組織のポリシーに関する制約の構成。

    ●  Private NAT の構成。

    ●  Secure Web Proxy の構成。

3.6  ネットワーク パケット インスペクションを構成する。 以下のような点を考察します。

    ●  マルチ NIC VM(次世代のファイアウォール アプライアンスなど)を使用した VPC 間トラフィックのルーティングと検査。

    ●  高可用性マルチ NIC VM ルーティングのネクストホップとしての内部ロードバランサの構成。

    ●  Cloud NGFW でのレイヤ 7 パケット検査の有効化。

セクション 4: ハイブリッド ネットワークの相互接続の実装(試験内容の 18% 以下)

4.1 Cloud Interconnect を構成する。 以下のような点を考慮します。

    ●  Dedicated Interconnect 接続の作成と VLAN アタッチメントの構成。

    ●  Partner Interconnect 接続の作成と VLAN アタッチメントの構成。

    ●  Cross-Cloud Interconnect 接続の作成と VLAN アタッチメントの構成。

    ●  MACsec の設定と有効化。

    ●  Cloud Interconnect を介した HA VPN の構成。

4.2 サイト間 IPsec VPN を構成する。 以下のような点を考察します。

    ●  HA VPN の構成。

    ●  Classic VPN の構成(ルートベース、ポリシーベースなど)。

4.3 Cloud Router を構成する。以下のような点を考慮します。

    ●  Border Gateway Protocol(BGP)属性(例: ASN、ルート優先度 / MED、リンクローカル アドレス、認証)

    ●  Bidirectional Forwarding Detection(BFD)の構成。

    ●  カスタムのアドバタイズされたルートとカスタムの学習したルートの作成。

4.4 Network Connectivity Center を構成する。 以下のような点を考察します。

    ●  ハイブリッド スポークの作成(VPN、Cloud Interconnect など)。

    ●  サイト間データ転送の確立。

    ●  ルーター アプライアンス(RA)の作成。

セクション 5: ネットワーク オペレーションの管理、モニタリング、トラブルシューティング(試験内容の 13% 以下)

5.1 Google Cloud Observability を使用してロギングとモニタリングを行う。以下のような点を考察します。

    ●  ネットワーキング コンポーネントのログの有効化とレビュー(Cloud VPN、Cloud Router、VPC Service Controls、Cloud NGFW、ファイアウォール インサイト、VPC フローログ、Cloud DNS、Cloud NAT など)。

    ●  ネットワーキング コンポーネントの指標のモニタリング(Cloud VPN、Cloud Interconnect、VLAN アタッチメント、Cloud Router、ロードバランサ、Google Cloud Armor、Cloud NAT など)。

5.2 接続性の維持管理とその問題のトラブルシューティングを行う。以下のような点を考察します。

    ●  アプリケーション ロードバランサを使用した、トラフィック フローのドレインとリダイレクト。

    ●  Cloud NGFW のルールまたはポリシーの調整とトラブルシューティング。

    ●  VPN の管理とトラブルシューティング。

    ●  Cloud Router の BGP ピアリングの問題のトラブルシューティング。

    ●  VPC フローログ、ファイアウォール ログ、Packet Mirroring を使用したトラブルシューティング。

5.3 Network Intelligence Center を使用して、ネットワークに関する一般的な問題のモニタリングとトラブルシューティングを行う。以下のような点を考慮します。

    ●  ネットワーク トポロジを使用した、スループットとトラフィック フローの可視化。

    ●  接続テストを使用した、ルートおよびファイアウォール構成ミスの診断。

    ●  パフォーマンス ダッシュボードを使用した、パケットロスとレイテンシの特定(Google 全体、プロジェクト スコープなど)。

    ●  ファイアウォール インサイトを使用した、ルールのヒット数のモニタリングとシャドウルールの特定。

    ●  ネットワーク アナライザを使用した、ネットワーク障害、最適ではない構成、使用率に関する警告の特定。