Se certifier ou se recertifier sur Google Cloud avec la Professional Cloud Architect

Quelques années en arrière...

J'ai obtenu en janvier 2021 la certification Google Cloud Professional Cloud Architect soit à peu près un an après avoir commencé différentes missions sur Google Cloud.

J'avais, à l'époque, eu l'occasion de manipuler différents services autour de la mise en place du réseau, des machines virtuelles, mais aussi de la conteneurisation avec Google Kubernetes Engine. Il me restait quelques zones d'ombre notamment sur l'aspect sécurité et Big Data.

Néanmoins, j'ai pu facilement combler ces différentes lacunes avec des cours en ligne, mais surtout avec la documentation officielle qui permet d'avoir une idée plus précise de l'ensemble des fonctionnalités d'un service.

Après deux ans, j'ai dû revalider cette certification dans un délai de 60 jours avant son expiration, car oui, les certifications Google Cloud ne durent pas trois ans comme AWS. J'ai même eu l'occasion, depuis ma première certification Google Cloud, d'en acquérir deux autres :

• Professional Cloud Security Engineer : Retour d'expérience
• Professional Cloud Network Engineer : Retour d'expérience

J'ai d'ailleurs réalisé pour ceux deux certifications, des retours d'expérience. N'hésitez pas à aller les consulter.

La tâche peut sembler plus facile avec ces deux certifications en poche, mais j'ai tout de même retravaillé les services et fonctionnalités que je n'ai pas l'habitude d'utiliser au quotidien.

L'objectif de cet article est de donner un aperçu de l'examen ainsi que quelques services et fonctionnalités à retenir comme je fais souvent dans mes articles de type "retour d'expérience".

L'examen

La certification Professional Cloud Architect est un examen très généraliste qui va balayer l'ensemble des services de Google Cloud tout en restant "haut niveau", c'est-à-dire, sans rentrer dans le détail de l'implémentation des solutions ou services à mettre en œuvre comme peut le faire les certifications orientées plus "spécialité".

On parle ici d'un examen orienté architecture, et donc, l'important est de savoir pourquoi un service conviendrait mieux plutôt qu'un autre par rapport à un cas d'utilisation.

En ce qui concerne les détails de l'examen, il faut savoir que vous avez deux heures pour 50 questions. Ça reste du grand classique quand on passe une certification Google Cloud.

Néanmoins, il y a une petite différence comparée aux autres examens Google Cloud : ce sont les études de cas. Vous allez, au cours de l'examen, avoir deux études de cas tirées au hasard et devoir répondre à plusieurs questions (entre 10 et 15) à ces deux contextes.

Les études de cas actuelles sont :

• EHR Healthcare
• Helicopter Racing League
• Mountkirk Games
• TerramEarth

Comme vous pouvez le constater, ces études de cas sont connues à l'avance et vous pouvez donc les travailler en amont de l'examen. Je vous conseille d'ailleurs fortement d'avoir en tête les parties Business requirements et Technical requirements qui permettent dans la plupart des cas de trouver la bonne réponse ou d'éliminer les mauvaises. Autre chose à noter, les études de cas sont fournies lors de l'examen final, vous n'avez pas à les apprendre par cœur.

Le guide de l'examen donne un aperçu de l'ensemble des chapitres et les services associés (la liste n'est pas exhaustive) :

• Concevoir et planifier l'architecture d'une solution cloud : VPC, connectivités réseaux, toutes les solutions de calcul (machines virtuelles, conteneurs, App Engine, etc.) ainsi que le stockage et les bases de données ;
• Gérer et provisionner l'infrastructure d'une solution : cette partie regroupe les mêmes services que la partie précédente avec une vision plus "configuration" ;
• Concevoir des solutions sécurisées et conformes : IAM, gestion d'une organisation, sécurité avec VPC Service Controls, et chiffrement avec Cloud Key Management Service (KMS) ;
• Analyser et optimiser les processus techniques et métier
• Gérer la mise en œuvre : Google Cloud Shell, Google Cloud SDK (gcloud, gsutil et bq), Storage Transfer Service et Transfer Appliance
• Garantir la fiabilité de la solution et des opérations : Cloud Operations et Artifact Registry

Mon avis

Cette certification permet de balayer un très large spectre de services et de fonctionnalités que l'on peut retrouver sur Google Cloud. Vous aurez à déterminer la bonne solution en matière de calcul, de base de données, de connectivité privée au niveau réseau, etc. Tout en évaluant celle-ci par rapport à différents contextes : sécurité, haute disponibilité, résilience, évolutivité.

C'est, à mon avis, une bonne certification pour avoir une compréhension globale de l'architecture au sein de Google Cloud et je vous recommande de l'obtenir avant de vous attaquer à des certifications plus spécialisées comme la sécurité, le réseau, les bases de données et bien d'autres.

Si vous avez peu d'expérience sur Google Cloud, vous pouvez aussi vous orienter vers la certification Associate Cloud Engineer qui est un peu plus technique que celle-ci et donc plus facile d'accès.

Mes ressources utilisées

Pour préparer cette certification pour la première fois, j'avais suivi le cours d'A Cloud Guru qui a été mis à jour depuis. Cependant, au vu des différents chapitres, il semble couvrir l'ensemble du guide de l'examen et possède trois examens pratiques que je vous recommande vivement de réaliser pour vous entraîner.

Les quiz et les hands-on lab permettent de valider vos connaissances tout au long de ce cours et de manipuler différents concepts.

En complément des différents chapitres, n'hésitez pas à aller approfondir certaines notions avec la documentation officielle ou les livres blancs que Google met à disposition.

Pour la partie pratique, je vous recommande, comme souvent avec les examens Google Cloud, de vous orienter vers la plateforme Whizlabs qui regroupe quatre tests de 50 questions chacun.

L'avantage de ces tests pratiques est qu'ils permettent d'avoir à peu près la même nombre de questions sur les cas d'études que dans l'examen final. La formulation des questions est aussi assez proche de ce que vous pourriez rencontrer le jour du passage de votre certification.

De plus, les réponses sont détaillées avec des liens vers la documentation officielle ce qui permet de comprendre en cas de mauvais choix.

Vous avez aussi le test pratique avec 20 questions que Google met à disposition via ce lien.

Enfin, pour cet examen, je n'ai pas regardé ce qui existait sur d'autres types de plateforme comme Udemy. A vous de voir si vous avez besoin de plus de matière pour vous sentir prêt le jour de l'examen.

Mes quelques notes

On passe maintenant à la partie qui permet de récapituler les quelques notes que j'ai prises juste avant de me recertifier. J'ai ajouté à celles-ci des liens de la documentation officielle qui permettent de valider que l'information est toujours valable. N'hésitez pas à les consulter, car le Cloud évolue de manière régulière et ce qui est vrai aujourd'hui n'est peut-être plus vrai demain.

Ces notes ne sont pas représentatives des questions de l'examen, ni de son contenu. Vous pouvez les voir comme un complément à votre préparation à l'examen.

N'hésitez pas à consulter aussi les retours d'expérience des deux autres certifications Google Cloud pour avoir une vision un peu plus large sur les sujets évoqués ci-dessous.

IAM

Le service Identity and Access Management (IAM) est au cœur de Google Cloud afin de gérer les utilisateurs et leurs permissions.

• La bonne pratique en matière de gestion d'une organisation est de regrouper tous les projets d'un même département par dossier et d'attribuer les permissions au niveau de ce dernier ;

• Il convient d'attribuer les rôles et permissions au niveau des groupes d'utilisateurs plutôt que par utilisateur ;

• Il est recommandé d'attribuer en priorité les rôles prédéfinis qui sont gérés par Google Cloud. Cependant, s'ils ne sont pas assez fins, il peut être nécessaire d'utiliser les rôles personnalisés qui nécessitent d'être maintenus ;

• La création de rôle personnalisé s'effectue au niveau de l'organisation ou au niveau d'un projet. Il n'est pas possible de créer ce type de rôle au niveau d'un dossier ;

• Au sein de l'organisation, si plusieurs rôles sont attribués à utilisateur sur un projet et ses parents (dossiers ou organisation) alors les permissions de l'utilisateur seront l'union des différents rôles définis sur les nœuds de l'organisation ;

• Pour utiliser des comptes de service, il est recommandé de passer par l'usurpation d'identité plutôt que de télécharger la clé de ce dernier.

VPC

La partie VPC et tout ce qui concerne le réseau est omniprésent au cours de l'examen.

• Dans le cas d'une administration centralisée des ressources réseaux (sous-réseaux, routes voir même pare-feu), il est intéressant d'utiliser un VPC partagé (Shared VPC) ;

• Si l'on souhaite connecter deux VPC en passant par des IP privées et si les deux VPC n'ont pas de collision au niveau de leurs plages d'adresses IP, il est recommandé d'utiliser l'appairage de réseaux VPC (VPC peering) ;

• Dans le but de choisir le bon type d'équilibreur de charge (Load Balancer), je vous recommande d'avoir en tête cet arbre de décision ;

• Pour se connecter avec un datacenter, il existe plusieurs méthodes de connexion :

  • Cloud VPN est un tunnel VPN chiffré avec une limite à 3 Gbit/s. Il est souvent utilisé en cas de migration et la nécessité d'avoir un lien temporaire avec un datacenter ;

  • Partner Interconnect qui permet d'avoir un lien privé sans passer par internet en se connecter à travers un partenaire pour joindre son VPC depuis un datacenter. Ce type de lien est limité à 10 Gbit/s ;

  • Dedicated Interconnect est un lien privé dédié permettant d'atteindre un débit jusqu'à 200 Gbit/s.

Cloud Storage

Cloud Storage est le service qui permet de stocker des données non structurées (images, vidéos, fichiers, etc.). Il est souvent associé à des services de transfert de données.

Pour déplacer les données sur Cloud Storage, vous avez trois options :

• Pour tout ce qui est inférieur à 1 To, Google recommande d'utiliser la ligne de commande et l'outil gsutil ;

• Pour tout ce qui est supérieur à 1 To, il vaut mieux utiliser le service Storage Transfer qui possède des mécanismes de gestion d'erreur et de vérification d'intégrité ;

• Dans le cas d'une connexion instable ou de volume de données conséquent, Transfer Appliance permet d'obtenir un périphérique externe et de stocker ses données dessus afin de le renvoyer à Google.

Je vous conseille aussi d'avoir en tête les différentes classes de stockage avec la durée minimum de stockage. Sans oublier la nouvelle fonctionnalité Autoclass qui permet de déterminer la classe de stockage pour chaque objet contenu au sein d'un bucket Cloud Storage de manière automatique.

Base de données et BigQuery

Dans plusieurs questions de l'examen, vous aurez souvent un choix à faire au niveau de la base de données à utiliser. Pour ma part, j'ai trouvé cet article très intéressant pour avoir un résumé et un schéma récapitulatif.

En complément, ce billet de blog du même genre que le précédent permet d'avoir une idée de fonctionnement de Cloud Spanner.

Enfin, pour en savoir plus sur la différence entre Bigtable et BigQuery, cet article évoque les différences les plus importantes pour ne plus jamais se tromper.

Pour conclure

Cette étape de recertification était une première pour moi toute certification confondue. Je dois avouer que cette certification m'a semblé un peu plus simple que la première fois, je pense que cela est dû à l'expérience obtenue au cours de mes missions, mais aussi à travers les spécialités sécurité et réseau qui ont augmenté mes connaissances dans ces deux domaines.

Au risque de me répéter, n'hésitez pas à consulter la documentation officielle ou les livres blancs qui peuvent être riches en information en complément de la partie théorique.

Bonne révision à celles et ceux qui souhaitent passer cet examen !