合格への道！Google Cloud Professional Cloud Network Engineer 学習のポイント

2025.09.07 Ryosuke Sashihara

Google Cloudのネットワーキングの専門知識を証明するProfessional Cloud Network Engineer資格を取得するための効果的な学習方法と重要なポイントを紹介します。

Professional Cloud Network Engineer資格とは

Professional Cloud Network Engineer資格は、Google Cloudのネットワーキングに関する深い知識とスキルを証明するものです。この資格を取得することで、ネットワーク設計や実装、管理、最適化などの業務に携わる能力があることを示すことができます。

この資格は、特にクラウド環境におけるネットワークの専門家を目指す人々にとって非常に価値のあるものです。Google Cloudのサービスやツールを駆使して、効率的かつ安全なネットワーク構築が求められます。

試験範囲の理解と重要トピックの把握

試験概要はこちらです。
試験範囲は非常に広範で、Associate Cloud EngineerやProfessional Cloud Architectの知識に加えて、以下のようなトピックが含まれます。

ハブアンドスポークモデル(重要！！！)
- 中心の「ハブ」ネットワークが複数の「スポーク」ネットワークを接続し、すべての通信がハブを経由する構成。ネットワークの集中管理が可能で、スケーラビリティやセキュリティの観点でも優れています。
共有VPC(重要！！！)
- 1つの「ホストプロジェクト」にネットワークを作成し、複数の「サービスプロジェクト」がこれを共有して利用する仕組み。複数プロジェクト間でリソースを安全かつ効率的に管理できます。
Cloud VPN、Dedicated Interconnect、Partner Interconnect(重要！！！)
- オンプレミスとクラウドを接続する手段。
- Cloud VPNは暗号化トンネルを提供。
  対応帯域はトンネル一本当たり3Gbpsまで。
- HA VPN
  高可用性を備えたVPNで、冗長構成に対応。
- Dedicated Interconnectは専用接続。
  1つの物理接続あたり最大200Gbpsの帯域幅まで利用できます。
- Partner Interconnectは認定パートナーを介した専用接続です。
  最大10Gbpsまで利用可能です。
- 上記を用途や帯域幅に応じて選択します。
  可用性を考慮したベストプラクティスは頻出です。
  Interconnectを検証で触ることは難しいですが、概要やベストプラクティスについては理解が必要です。
ダイレクトピアリング、キャリアピアリング(重要！)
- 両サービスともにGoogle WorkspaceなどのGoogleアプリケーションサービスにアクセスするサービスです。
- ダイレクトピアリングはGoogleのバックボーンネットワークに直接接続する方式。
- キャリアピアリングはGoogle Cloudの認定サービスプロバイダーのネットワークを経由して、Googleのバックボーンネットワークに直接接続する方式です。

Cloud DNS、VPC Service Controls、CloudArmor(重要！！)
- Cloud DNS
  Google Cloudが提供するスケーラブルなマネージドDNSサービス。
  オンプレミスとCloud DNSによるハイブリッドDNSがベストプラクティスとされています。
- VPC Service Controls
  データ漏洩リスクを低減するために、VPC内のセキュリティ境界を定義。
- CloudArmor
  DDoS保護などWebアプリケーションレベルのセキュリティを提供。
restricted.googleapis.com or private.googleapis.com(重要！！)
- Googleのサービスに安全にアクセスするための特別なDNSドメイン。
- restricted.googleapis.com
  VPC Service Controlsのセキュリティ境界で保護されたサービスのみが利用できるドメイン。
- private.googleapis.com
  VPC Service Controlsの有無に関わらず、VPC内のプライベートIPアドレスを使ってGoogle APIにアクセスできるドメイン。
VPCレベルのファイアウォール、組織やフォルダレベルの階層型ファイアウォール(重要！！)
- VPCレベルのファイアウォール
  VPCネットワーク内でトラフィックを制御。
- 階層型ファイアウォール
  組織全体やフォルダ単位でルールを設定可能で、リソース管理を簡便化。
  VPCネットワーク内の既存のVPCファイアウォールルールを上書き(オーバーライド)できます。
- 上記2つをうまく組み合わせることで組織で厳格なネットワークセキュリティを構築可能になります。

ロードバランサ(重要！！)
- ロードバランサはトラフィックを最適なバックエンドに分散します。
- ネットワーク層（TCP/UDP）やアプリケーション層（HTTPS）に対応し、またグローバル、リージョン、外部アクセス用か内部専用かを選べます。
- パススルーやVoIPはネットワークロードバランサーを使用するなど、特性に応じてロードバランサに対する理解を深めておきましょう。
VPC間のプライベート接続（ピアリング、CloudVPN）(重要！！！)
- VPCピアリングはインターネットを介さずにGoogle Cloud内で直接接続する方法です。
- Cloud VPNを使うと暗号化されたトンネルでより多様なネットワークを接続可能です。
GKEのクラスター、ポッド、サービスへのIP付与範囲(重要！)
- クラスターのIP付与範囲
  各GKEクラスターでは、クラスター内ネットワークトポロジに応じて、PodとServiceのCIDR範囲を設定します。この範囲が小さすぎると、新しいポッドやサービスを作成する際にIP枯渇を引き起こします。
- ポッドのIPアドレス
  Pod CIDR
  各ポッドに割り当てるIPアドレスの範囲。この範囲はクラスターのCIDR設定に基づきます。
- IPの動的割り当て
  Podはオートスケールなどにより動的に作成・削除されるため、IPアドレスの管理には柔軟性が求められます。**ノードあたりの最大Pod数(max-pods-per-node設定)は、このPod CIDRのサイズによって決まります。
- VPC-Naticeモード(alias IP)推奨
  GKEでは、VPCのAlias IP機能を利用するVPC-Nativeモードが強く推奨されています。これは、PodのIPアドレスをVPCのネットワークにネイティブに組み込むため、ルーティングテーブルの肥大化を防ぎ、ネットワークのパフォーマンスと管理性を向上させます。
- Routes-based 非推奨
  従来のRoutes-basedモードは、Podごとにカスタムルートを設定するため、クラスターの規模が大きくなるとルーティングテーブルが膨大になり、パフォーマンス低下や管理の複雑化を招くため、非推奨です。
- サービスのIPアドレス
  Service CIDR
  ClusterIP型サービスの仮想IPアドレス範囲。
  この範囲は静的に予約され、ポッドや実際のバックエンドIPとは独立した「仮想的なIP」として機能します。これらをVPC内で適切に範囲を割り当てることで、アドレスの枯渇を防ぎます。
動的ルーティング(重要！！)
- Cloud Routerのルート交換により、VPN/Interconnectと組み合わせることで、オンプレミスとの自動ルーティングが可能になる機能
- グローバル動的ルーティング
  すべてのリージョンでVPCのルート情報が共有されます。これにより、どのリージョンからでもオンプレミス接続やVPN、Interconnectを経由可能になります。
- リージョン動的ルーティング
  特定のリージョン内でのみ、VPNやインターコネクトの経路が利用可能です。経路情報が他リージョンに共有されません。
Private Service Connect、Private Service Access、Private Google Access(重要！！)
- Private Service Connect
  Google Cloud上のサービスをVPCネットワークのプライベートIPアドレスを使って利用するための仕組みです。
- Private Service Access
  Googleが提供するマネージドサービス(Cloud SQL、Memorystoreなど)に、VPCネットワークのプライベートIPアドレスを使ってアクセスするための仕組みです。
- Private Google Access
  VPC内の内部IPアドレスを持つVMインスタンスから、Google API とサービスに対するアクセスをインターネットを介さずに行うための仕組みです。