Professional Cloud Network Engineer
認定試験ガイド
Professional Cloud Network Engineer は、Google Cloud ネットワーク インフラストラクチャの設計、実装、管理を担当します。これには、高可用性、スケーラビリティ、レジリエンス、セキュリティを考慮したネットワーク アーキテクチャの設計が含まれます。また、Virtual Private Cloud(VPC)、ルーティング、ネットワーク セキュリティ サービス、ロード バランシング、Cloud DNS の構成と管理に精通しており、Cloud Interconnect と Cloud VPN を介したハイブリッド接続の設定にも習熟しています。専門知識の範囲は、Google Cloud Observability と Network Intelligence Center を使用したネットワーク運用の診断、モニタリング、トラブルシューティングにまでおよびます。
セクション 1: Google Cloud ネットワークの設計と計画(試験内容の 26% 以下)
1.1 全体的なネットワーク アーキテクチャを設計する。 以下のような点を考察します。
● 高可用性、フェイルオーバー、障害復旧、スケールを考慮した設計。
● DNS トポロジの設計(オンプレミス、Cloud DNS など)。
● セキュリティとデータ引き出しの防止要件を考慮した設計。
● アプリケーション用のロードバランサの選択。
● ハイブリッド接続を考慮した設計(ハイブリッド接続用の限定公開の Google アクセスなど)。
● Google Kubernetes Engine(GKE)ネットワーキングに向けた計画(セカンダリ範囲、IP アドレス空間に基づくスケーリングの可能性、GKE コントロール プレーンへのアクセスなど)。
● Identity and Access Management(IAM)のロールのプランニング(共有 VPC 環境での IAM ロールの管理など)。
● セキュリティ目的でのマイクロセグメンテーションの組み込み(メタデータ、タグ、サービス アカウント、セキュアタグの使用など)。
● マネージド サービスへの接続に向けた計画(限定公開サービス アクセス、Private Service Connect、サーバーレス VPC アクセスなど)。
● ネットワーク ティア(プレミアムとスタンダードなど)間の違い。
● VPC Service Controls を考慮した設計。
1.2 Virtual Private Cloud(VPC)ネットワークを設計する。 以下のような点を考察します。
● VPC のタイプと数量の選択(スタンドアロン VPC または共有 VPC、VPC 環境の数など)。
● 要件に基づくネットワーク接続方法の決定(VPC ネットワーク ピアリング、Network Connectivity Center による VPC ネットワーク ピアリング、Private Service Connect など)。
● IP アドレス管理戦略の計画(サブネット、IPv6、お客様所有 IP の使用(パブリック アドバタイズド プレフィックス(PAP)とパブリック委任プレフィックス(PDP))、Private NAT、RFC 1918 以外、マネージド サービスなど)。
● グローバルまたはリージョンのネットワーク環境の計画。
● ファイアウォール戦略の計画(VPC ファイアウォール ルール、Cloud Next Generation Firewall、階層型ファイアウォール ルールなど)。
● サードパーティ製デバイス(ネットワーク仮想アプライアンスなど)を挿入するためのカスタムルート(静的またはポリシーベース)の計画。
1.3 復元力とパフォーマンスに優れたハイブリッドおよびマルチクラウド ネットワークを設計する。以下のような点を考察します。
● 帯域幅の制約を含むデータセンター接続を考慮した設計(Dedicated Interconnect、Partner Interconnect、Cloud VPN など)。
● マルチクラウド接続を考慮した設計(Cloud VPN、Cross-Cloud Interconnect など)。
● 支店や支社の接続を考慮した設計(IPSec VPN、SD-WAN アプライアンスなど)。
● ダイレクト ピアリングと Verified Peering Provider の使い分け。
● 高可用性と障害復旧を考慮した接続戦略の設計。
● リージョンまたはグローバルの動的ルーティング モードの選択。
● オンプレミスのロケーションから複数の VPC へのアクセス(共有 VPC、マルチ VPC ピアリング、Network Connectivity Center トポロジなど)。
● オンプレミス ロケーションから Google サービスと API へのアクセス(Google API 用の Private Service Connect など)。
● VPC ネットワーク ピアリング接続を介した Google マネージド サービスへのアクセス(限定公開サービス アクセス、サービス ネットワーキングなど)。
● オンプレミス ロケーションとクラウド環境にまたがる IP アドレス空間の設計(内部範囲、重複回避のための計画など)。
● DNS ピアリングおよび転送戦略の設計(DNS 転送パスなど)。
1.4 Google Kubernetes Engine(GKE)の IP アドレス指定プランを設計する。以下のような点を考察します。
● 一般公開クラスタノードまたは限定公開クラスタノードとノードプールの選択。
● 一般公開と限定公開のいずれかのコントロール プレーン エンドポイントの選択。
● GKE Autopilot モードと GKE Standard モードのいずれかの選択。
● サブネットとエイリアス IP の計画。
● RFC 1918、RFC 1918 以外、プライベートで使用されるパブリック IP(PUPI)アドレスの選択。
● IPv6 に向けた計画。
セクション 2: Virtual Private Cloud(VPC)ネットワークの実装(試験内容の 22% 以下)
2.1 VPC を構成する。以下のような点を考察します。
● Google Cloud VPC リソースの作成(ネットワーク、サブネット、ファイアウォール ルールまたはポリシー、限定公開サービス アクセスのサブネットなど)。
● VPC ネットワーク ピアリングの構成。
● 共有 VPC ネットワークの作成と他のプロジェクトとのサブネットの共有。
● Google サービスへの API アクセスの構成(限定公開の Google アクセス、公開インターフェースなど)
● 作成後の VPC サブネット範囲の拡大
2.2 VPC ルーティングを構成する。以下のような点を考慮します。
● 静的ルーティングと動的ルーティングの設定。
● グローバルまたはリージョンの動的ルーティングの構成。
● ネットワーク タグと優先度を使用したルーティングの実装。
● ネクストホップとしての内部ロードバランサの実装。
● VPC ネットワーク ピアリングを介したカスタムルートのインポートとエクスポートの構成。
● ポリシーベース ルーティングの構成。
2.3 Network Connectivity Center を構成する。 以下のような点を考察します。
● VPC トポロジの管理(スタートポロジ、ハブ アンド スポーク、メッシュ トポロジなど)。
● Private NAT の実装。
2.4 Google Kubernetes Engine クラスタの構成と保守を行う。以下のような点を考察します。
● エイリアス IP を使用した VPC ネイティブ クラスタの作成。
● 共有 VPC を使用したクラスタの設定。
● 限定公開クラスタとコントロール プレーンのプライベート エンドポイントの構成。
● クラスタ コントロール プレーン エンドポイント用の承認済みネットワークの追加。
● Cloud Service Mesh の構成。
● GKE Dataplane V2 の有効化。
● 送信元 NAT(SNAT)ポリシーと IP マスカレード ポリシーの構成。
● GKE ネットワーク ポリシーの作成。
● Pod 範囲とサービス範囲の構成、および GKE クラスタへの追加の Pod 範囲のデプロイ。
2.5 Cloud Next Generation Firewall(NGFW)ルールを構成、管理する。以下のような点を考察します。
● ファイアウォール ルールとリージョン / グローバル ポリシーの作成。
● ターゲット ネットワーク タグ、サービス アカウント、セキュアタグのマッピング。
● ファイアウォール ルールからファイアウォール ポリシーへの移行。
● ファイアウォール ルールの条件の構成(ルールの優先度、ネットワーク プロトコル、上り(内向き)ルールと下り(外向き)ルールなど)。
● ファイアウォール ルールロギングの構成。
● 階層型ファイアウォール ポリシーの構成。
● 侵入防止サービス(IPS)の構成。
● 完全修飾ドメイン名(FQDN)のファイアウォール オブジェクトの実装。
セクション 3: マネージド ネットワーク サービスの構成(試験内容の 21% 以下)
3.1 ロード バランシングを構成する。以下のような点を考慮します。
● バックエンド サービスの構成(ネットワーク エンドポイント グループ(NEG)、マネージド インスタンス グループなど)。
● 分散方式(RPS、CPU、カスタムなど)、セッション アフィニティ、処理能力によるバックエンドおよびバックエンド サービスの構成。
● URL マップの構成。
● 転送ルールの構成。
● バックエンド サービスへのトラフィックとヘルスチェックを許可するファイアウォール ルールの定義。
● バックエンド サービスとターゲット インスタンス グループのヘルスチェックの作成。
● プロトコル転送の構成。
● ワークロードの増加への対応(自動スケーリングと手動スケーリングそれぞれを使用した場合)。
● GKE 向けロードバランサの構成(GKE Gateway Controller、GKE Ingress コントローラ、NEG など)。
● アプリケーション ロードバランサでのトラフィック管理の設定(トラフィック分割、トラフィックのミラーリング、URL の書き換えなど)。
3.2 Google Cloud Armor ポリシーを構成する。 以下のような点を考察します。
● セキュリティ ポリシーの構成。
● ウェブ アプリケーション ファイアウォール(WAF)ルール(SQL インジェクション、クロスサイト スクリプティング、リモート ファイル インクルードなど)
● ロードバランサ バックエンドへのセキュリティ ポリシーの接続
● 高度なネットワーク DDoS 保護機能の構成。
● エッジとネットワーク エッジのセキュリティ ポリシーの構成。
● 適応型保護の構成。
● レート制限の構成。
● bot 管理の構成。
● Google Threat Intelligence の適用。
3.3 Cloud CDN の構成以下のような点を考察します。
● サポートされている送信元用に Cloud CDN を設定(マネージド インスタンス グループ、Cloud Storage バケット、Cloud Run など)。
● 外部バックエンド(インターネット NEG)とサードパーティのオブジェクト ストレージ用に Cloud CDN を設定。
● キャッシュに保存されたコンテンツの無効化。
● 署名付き URL の構成。
3.4 Cloud DNS の構成と保守を行う。以下のような点を考察します。
● Cloud DNS のゾーンとレコードの管理。
● Cloud DNS への移行。
● DNS Security Extensions(DNSSEC)の有効化。
● DNS 転送ポリシーと DNS サーバー ポリシーの構成。
● オンプレミス DNS と Google Cloud の統合
● スプリット ホライズン DNS の使用。
● DNS ピアリングの設定。
● GKE 用に Cloud DNS と外部 DNS オペレーターを構成。
3.5 インターネット下り(外向き)トラフィックを構成して保護する。 以下のような点を考察します。
● NAT IP アドレスの割り当て(自動、手動など)。
● ポート割り当ての構成(静的、動的など)。
● タイムアウトのカスタマイズ。
● Cloud NAT の組織のポリシーに関する制約の構成。
● Private NAT の構成。
● Secure Web Proxy の構成。
3.6 ネットワーク パケット インスペクションを構成する。 以下のような点を考察します。
● マルチ NIC VM(次世代のファイアウォール アプライアンスなど)を使用した VPC 間トラフィックのルーティングと検査。
● 高可用性マルチ NIC VM ルーティングのネクストホップとしての内部ロードバランサの構成。
● Cloud NGFW でのレイヤ 7 パケット検査の有効化。
セクション 4: ハイブリッド ネットワークの相互接続の実装(試験内容の 18% 以下)
4.1 Cloud Interconnect を構成する。 以下のような点を考慮します。
● Dedicated Interconnect 接続の作成と VLAN アタッチメントの構成。
● Partner Interconnect 接続の作成と VLAN アタッチメントの構成。
● Cross-Cloud Interconnect 接続の作成と VLAN アタッチメントの構成。
● MACsec の設定と有効化。
● Cloud Interconnect を介した HA VPN の構成。
4.2 サイト間 IPsec VPN を構成する。 以下のような点を考察します。
● HA VPN の構成。
● Classic VPN の構成(ルートベース、ポリシーベースなど)。
4.3 Cloud Router を構成する。以下のような点を考慮します。
● Border Gateway Protocol(BGP)属性(例: ASN、ルート優先度 / MED、リンクローカル アドレス、認証)
● Bidirectional Forwarding Detection(BFD)の構成。
● カスタムのアドバタイズされたルートとカスタムの学習したルートの作成。
4.4 Network Connectivity Center を構成する。 以下のような点を考察します。
● ハイブリッド スポークの作成(VPN、Cloud Interconnect など)。
● サイト間データ転送の確立。
● ルーター アプライアンス(RA)の作成。
セクション 5: ネットワーク オペレーションの管理、モニタリング、トラブルシューティング(試験内容の 13% 以下)
5.1 Google Cloud Observability を使用してロギングとモニタリングを行う。以下のような点を考察します。
● ネットワーキング コンポーネントのログの有効化とレビュー(Cloud VPN、Cloud Router、VPC Service Controls、Cloud NGFW、ファイアウォール インサイト、VPC フローログ、Cloud DNS、Cloud NAT など)。
● ネットワーキング コンポーネントの指標のモニタリング(Cloud VPN、Cloud Interconnect、VLAN アタッチメント、Cloud Router、ロードバランサ、Google Cloud Armor、Cloud NAT など)。
5.2 接続性の維持管理とその問題のトラブルシューティングを行う。以下のような点を考察します。
● アプリケーション ロードバランサを使用した、トラフィック フローのドレインとリダイレクト。
● Cloud NGFW のルールまたはポリシーの調整とトラブルシューティング。
● VPN の管理とトラブルシューティング。
● Cloud Router の BGP ピアリングの問題のトラブルシューティング。
● VPC フローログ、ファイアウォール ログ、Packet Mirroring を使用したトラブルシューティング。
5.3 Network Intelligence Center を使用して、ネットワークに関する一般的な問題のモニタリングとトラブルシューティングを行う。以下のような点を考慮します。
● ネットワーク トポロジを使用した、スループットとトラフィック フローの可視化。
● 接続テストを使用した、ルートおよびファイアウォール構成ミスの診断。
● パフォーマンス ダッシュボードを使用した、パケットロスとレイテンシの特定(Google 全体、プロジェクト スコープなど)。
● ファイアウォール インサイトを使用した、ルールのヒット数のモニタリングとシャドウルールの特定。
● ネットワーク アナライザを使用した、ネットワーク障害、最適ではない構成、使用率に関する警告の特定。