Google Cloud Certified: Professional Cloud Network Engineer受験記

はじめに

Google Cloud Certified: Professional Cloud Network Engineer試験の受験記録です。

Professional Cloud Network Engineerとは

Google Cloudの試験の中でも、Google Cloudでネットワークアーキテクチャの設計・実装・管理などに関する能力を評価する試験です。
具体的に評価される能力については以下となっています。
※公式サイト より抜粋。

• Google Cloud ネットワークの設計、計画、プロトタイピング
• Virtual Private Cloud（VPC）インスタンスを実装する
• ネットワーク サービスの構成
• ハイブリッド相互接続の実装
• ネットワーク オペレーションの管理、モニタリング、最適化

難易度としては、高めな印象です。
（私自身ネットワーク系が少し苦手ということもありますが...）
特にVPN接続、専用線接続に関しては、ルーター周りの設定(用語)の理解が必要になります。

学習フロー

今回は以下のようなフローで学習しました。

• 試験ガイド を確認する。
• Courseraの学習リソースを活用（サービスの確認＋ハンズオン目的）
  • Preparing for Google Cloud Certification: Cloud Network Engineer Professional Certificate
    • 4コースあるが、特に「Networking in Google Cloud: Defining and Implementing Networks」と「Networking in Google Cloud: Hybrid Connectivity and Network Management」の2つを実施。
• G-genさんの対策ブログを見て、試験で問われるポイントを知る
  • Professional Cloud Network Engineer試験対策マニュアル
• 公式の模擬試験やUdemyの練習問題を解く。
  • udemy問題集：https://www.udemy.com/course/2023google-cloud-professional-cloud-network-engineer/?couponCode=KEEPLEARNING
    • セール時に購入がおすすめ

頻出サービスとポイント

• VPC
  • 基本な設定～特定の要件に合わせた構成までの設計・実装
    • 単一プロジェクト or 複数プロジェクト？
    • デフォルト設定だとどう機能するか？
    • VPC間接続、オンプレ接続などユースケースに適する構成は？
      -ルーティング、ファイヤウォールの設定
  • VPC内からGoogleサービスやAPIにプライベートにアクセス・制限する方法
• Load Balancing
  • Google Cloudでは複数種類のロードバランサーが構築可能なので、要件に合わせて選択すできるようにしておく。
    • https://cloud.google.com/load-balancing/docs/choosing-load-balancer?hl=ja
• Cloud Armor
  • システムの保護
• Cloud DNS
  • サービス概要はもちろんだが、オンプレのDNSとの統合はネットワーク構成含め要学習（DNS peeringなど）
• Monitering
  • VPC内のパケット確認にはPacket Mirroringを設定・利用
    • 利用する際の構成も抑えるておく。
• Cloud Interconnect
  • Dedicateed と Partner の違いは抑える
• Cloud VPN
  • 実際に設定しておくと、イメージしやすいので一度は構築しておくべき
  • 可用性、ルーティングなどの知識も併せて必要
• Network Intelligence Center
  • Google Cloud上でのネットワーク系のトラシューではこれ。
  • どんなことができるかを押さえておく

個人的なメモ

• VPCの動的ルーティングモード：リージョン(デフォルト)、グローバル
• ハブVPCとスポークVPC
  • DNSはハブVPCに作成、スポークVPCからはDNSピアリングで名前解決。オンプレはDNS転送
• Shared VPCでNW管理を一括集約
• VPC Service Controlでアクセス制御
• Private Google Access と Private Service Connect 何が違う？
  • https://blog.g-gen.co.jp/entry/google-api-private-service-connect-explained#Private-Service-Connect-vs-Private-Google-Access
• Private Google Access はサブネット単位で有効化
• VPNを張った時のルーティング
  • VLANアタッチメント
  • BGPによるルート伝搬
  • ネクストホップ
• MTU：最大伝送単位
• MED：Multi-Exit Discriminator
  • 複数経路があると、MEDに設定されている小さい値のほうが優先されるBGP属性
• ファイアウォールルールのターゲット
  • タグ、サービスアカウント、インスタンス
• Cloud ArmorやFirewallを有効化するときはプレビュー、ドライラン機能を使って影響確認
• VPCのIPが足りなければ、セカンダリIP範囲を設定することを検討。VPC再作成不要
• ネットワークのトラシューはNetwork Intelligence Center
  • 接続性テスト、ネットワークトポロジーの可視化、Firewall Insight
• サーバレスVPCへの接続はコネクター設定をする
• BGP設定不可なルーターがある場合、Partner Interconnectはレイヤー３を使う
  • 2種類：レイヤー２(BGP OK)とレイヤー３（BGP NG）
  • https://cloud.google.com/network-connectivity/docs/interconnect/concepts/partner-overview?hl=ja#connectivity-type

まとめ

今回はProfessional Cloud Network Engineerについて書いてみました。
学習しても知識不足を実感することばかり。
これからも精進します。