Introduction#
Après avoir obtenu en août la partie Security sur Google Cloud Platform (GCP), j’ai continué avec la partie Network que j’ai décrochée au début du mois de novembre.
L’objectif pour moi était de valider mes connaissances sur le réseau sur Google Cloud, et, bien sûr les compléter avec différentes notions que je n’ai pas eu l’occasion de manipuler lors de mes missions ou dans des expériences personnelles.
Le but de cet article est de vous fournir mon retour d’expérience sur cette certification mais aussi quelques astuces et liens utiles pour être préparé le jour de l’examen.
Plusieurs informations sur la présentation de l’examen sont déjà disponibles dans le retour d’expérience précédent que je vous encourage à lire car ces deux certifications sont étroitement liées.
Présentation de l’examen#
Comme pour la certification Cloud Security Engineer et la Professional Architect, l’examen se base sur 50 questions avec majoritairement des questions où il faut choisir une réponse et le reste où il faut sélectionner deux à trois réponses par question.
Le guide de l’examen permet d’avoir le détail sur chacune des parties et les services associés que vous retrouverez lors de l’examen :
- Concevoir, planifier et prototyper un réseau Google Cloud (VPC, Appairage de VPC, VPC partagé, Cloud DNS, IAM, Cloud Interconnect, Cloud VPN)
- Implémenter des instances de cloud privé virtuel (VPC, Appairage de VPC, VPC partagé, Pare-feu, Cloud Router)
- Configurer les services réseau (Equilibreurs de charge, Cloud Armor, Cloud CDN, Cloud NAT)
- Implémenter l’interconnectivité hybride (Cloud Interconnect, Cloud VPN, Cloud Router)
- Gérer, surveiller et optimiser les opérations réseau (Cloud Operations, Firewall Insights, journaux de flux VPC, Network Intelligence Center)
Mon avis#
Cette certification est certainement la plus dure côté Google Cloud, elle fait appel à vos expériences dans vos missions ou à vos connaissances théoriques sur des sujets que l’on n’a pas forcément l’habitude de mettre en place tous les jours. Par exemple, la création d’une interconnexion entre un VPC sur GCP et site distant.
Elle demande donc une maitrise approfondie des services mentionnés un peu plus haut et de leurs fonctionnalités. Il est important d’avoir en tête l’ensemble des étapes pour réaliser une connexion avec Cloud VPN ou Cloud Interconnect, par exemple.
De plus, il est recommandé d’avoir des bases solides en réseau avant de commencer la préparation de l’examen. Il est possible d’avoir des questions où l’on vous demande de calculer des plages réseau de manière la plus optimale possible, de connaître certains protocoles et les ports associés, etc.
Dans le même esprit que la certification Security, disposer de connaissances sur Kubernetes est un gros plus non négligeable même s’il y a quelques spécificités au service Google Kubernetes Engine (GKE).
Vous l’aurez compris, la certification Network est un niveau au-dessus de la Security. Enfin, la difficulté majeure réside dans le fait qu’il n’y a pas de ressources assez fiables et pertinentes pour se tester et être au plus proche de l’examen.
Mes ressources#
Comme à chaque fois, je commence par la partie théorique qui me permet de réviser, approfondir mes connaissances et aussi manipuler certains services.
J’ai utilisé le site A Cloud Guru avec le cours Google Certified Professional Cloud Network Engineer qui devrait être rafraichi prochainement car il manque quelques catégories et services qui ne sont pas abordés. Néanmoins, c’est une bonne base pour commencer.
En ce qui concerne la partie théorique, j’ai utilisé, comme pour la partie Security, le site Whizlabs et les tests pratiques associés qui comporte quatre quiz de 50 questions.
Je trouve ces quiz intéressants pour réviser vos connaissances, mais ils ne sont pas du tout à l’image des questions que vous allez retrouver lors de l’examen.
En effet, les questions sont assez courtes et les réponses succinctes alors que celles de l’examen sont beaucoup plus volumineuses.
Comme toujours, il y aussi les questions de l’examen blanc que Google met à disposition, vous pouvez retrouver le quiz ici.
Je n’ai malheureusement pas trouvé d’autres ressources fiables pour le moment. :'(
Quelques notes et liens vers la documentation#
Dans cette partie, je vous partage mes quelques notes sur des services et fonctionnalités qui sont présents dans cette certification. Ceci est un complément des différentes ressources que j’ai mentionnées plus haut.
De plus, chaque note dispose d’un lien vers la documentation officielle pour consulter si l’information est toujours valide.
Réseau#
Cette partie est assez générale et regroupe plusieurs points sur le réseau au sein de Google Cloud.
Le nombre maximum d’interface réseau sur une machine virtuelle est de huit, celui-ci dépend du nombre de vCPU ;
Dans le cas où l’on souhaite atteindre, depuis un site distant, les API Google depuis un réseau privé. Il y a plusieurs configurations à réaliser au niveau de Cloud Router dans le but de communiquer avec les domaines
private.googleapis.com
etrestricted.googleapis.com
. Attention aussi à la configuration du Pare-feu ;Pour communiquer avec des services Serverless en mode privé, il est possible de créer un VPC Access connector.
Cloud DNS#
Cloud DNS est le service qui permet d’enregistrer des noms de domaine au sein de GCP. Il dispose de fonctionnalités avancées pour la sécurité ou le partage de zones contenant des noms de domaine.
Cloud DNS peut utiliser le format BIND ou YAML pour importer des zones.
Dans l’objectif de protéger le DNS d’attaques de spoofing et d’empoisonnement, il est recommandé d’activer la fonctionnalité sur les extensions de sécurité DNS (DNSSEC, Domain Name System Security Extensions)
Cloud DNS permet de spécifier différentes règles : une règle de serveur entrant (Inbound server policy), une règle de serveur sortant (Outbound server policy), ou les deux. Elles sont généralement utilisées dans le cas où vous disposez d’un environnement hybride avec une connexion entre un site distant et GCP.
- Dans le cas où l’on souhaite résoudre des noms de domaine avec le DNS d’un site distant, il faudra configurer une règle de serveur sortant (Outbound server policy).
- Sinon, si l’on souhaite résoudre des noms de domaine sur GCP depuis l’infrastructure d’un site distant, il est nécessaire de configurer une règle de serveur entrant (Inbound server policy).
Il peut être nécessaire de créer une zone d’appairage DNS ou DNS peering pour partager l’espace de noms d’une zone à un autre VPC qui se trouve dans Google Cloud.
Cloud VPN#
Cloud VPN fournit la possibilité de créer une connexion chiffrée à travers le réseau public via un tunnel IPSec.
La partie “classique” est en partie dépréciée, néanmoins, il existe une version hautement disponible appelée VPN HA.
Google Cloud réserve deux IP publiques externes à chaque création de passerelle de VPN HA ;
Le taux de disponibilité garanti par Google des VPN HA est de 99,99%.
Cloud Interconnect#
Cloud Interconnect permet de connecter un site distant avec GCP avec une faible latence tout en fournissant une connexion hautement disponible. Cela permet aussi de communiquer avec des adresses IP privées plutôt que de passer par internet.
Pour ce qui concerne l’interconnexion partenaire ou Partner Interconnect :
La capacité de connexion peut aller de 50 Mbit/s à 50 Gbit/s en fonction de ce que le partenaire est capable de fournir ;
Pour mettre en place ce type d’interconnexion, il y a quatre étapes à avoir en tête. Ce lien permet de les énumérer et les détailler ;
Il y a deux modes de connectivité :
- Pour la couche 2, il est nécessaire de faire la configuration entre les Cloud Routers et les routeurs du site.
- Tandis que pour la couche 3, c’est le fournisseur de service qui va établir la session BGP entre les Cloud Router et ses propres routeurs. La configuration est totalement automatique.
Pour la création d’une interconnexion dédiée ou Dedicated Interconnect :
La capacité de connexion peut se faire sur une ou plusieurs connexions Ethernet de 10 Gbit/s (huit connexions maximales soit 80 Gbit/s) ou 100 Gbit/s (deux connexions maximales soit 200 Gbit/s) ;
Pour la lettre d’autorisation LOA-CFA nécessaire à l’établissement des connexions, il est possible de la récupérer soit par email, soit à travers la console Google Cloud ;
La liste des étapes pour créer une connexion dédiée est disponible dans la documentation officielle via ce lien.
IAM#
Deux choses importantes à retenir en matière de permission :
Le rôle compute.networkAdmin peut lire les règles du pare-feu associées au VPC, mais ne peut pas les modifier ;
Deux rôles sont nécessaires pour définir un administrateur de réseau partagé (Shared VPC) :
compute.xpnAdmin
etresourcemanager.projectIamAdmin
pour déléguer l’administration du réseau.
Kubernetes#
Pour la partie Kubernetes, il y a quelques fonctionnalités spécifiques à GKE :
Pour autoriser l’accès au control plane de votre cluster GKE privé, il est nécessaire de configurer le paramètre authorized networks en spécifiant les plages d’adresses IP ;
Dans le cas d’une création de cluster dans un VPC partagé, il ne faut pas oublier de lier le rôle
container.hostServiceAgentUser
avec le compte de service du cluster au niveau du projet hôte.
Conclusion#
La certification Professional Cloud Network Engineer risque de mettre vos connaissances sur Google Cloud et le réseau à rude épreuve.
Il est vraiment important d’être bien préparé ainsi que de lire et comprendre différentes sections de la documentation officielle. Je vous recommande personnellement d’avoir de l’expérience sur la mise en place de ces composants réseau au sein de Google Cloud afin d’avoir une base solide pour obtenir l’examen.
Néanmoins, je vous souhaite de bonnes révisions pour celles et ceux qui souhaitent passer l’examen.