GCP PCNE : un plan d'étude de 6 semaines pour la certification d'ingénieur réseau Cloud
Le PCNE est la certification réseau de GCP, à peu près équivalente en difficulté à l'AWS ANS-C01. Voici un plan de 6 semaines et la rémunération associée à ce rôle.
Le Professional Cloud Network Engineer (PCNE) est la certification réseau de GCP. Il coûte 200 $, dure deux heures, contient environ 50 questions à choix multiples et à réponses multiples, et c'est le deuxième examen GCP le plus difficile après le PCA ou le PCSE, selon les avis. Le programme se lit comme un équivalent CCNP pour le réseautage spécifique à GCP : conception de VPC, connectivité hybride (Cloud VPN, Interconnect, Cloud Router), Cloud Armor, Network Connectivity Center et la ménagerie des équilibreurs de charge GCP.
Si vous êtes un ingénieur réseau se tournant vers le cloud, le PCNE est la bonne certification. Si vous êtes un ingénieur cloud généraliste qui fait aussi un peu de réseau, le PCA couvre ce dont vous avez besoin avec moins de profondeur. La distinction est assez claire.
Quelle est la vraie difficulté du PCNE ?
À peu près équivalent à l'AWS Advanced Networking Specialty (ANS-C01) en difficulté, peut-être un cheveu plus facile car la surface de réseau de GCP est plus petite que celle d'AWS. Les deux examens récompensent les personnes qui ont réellement construit des topologies hybrides en production. Les deux pénalisent ceux qui n'ont étudié que des vidéos.
| GCP PCNE | AWS ANS-C01 | Azure AZ-700 | |
|---|---|---|---|
| Coût | $200 | $300 | $165 |
| Durée | 2h, ~50 q | 170 min, 65 q | 100 min, 40-60 q |
| Validité | 2 ans | 3 ans | 1 an, renouvellement gratuit |
| Difficulté | Élevée | Élevée | Modérée-élevée |
| Focus hybride | Lourd | Lourd | Modéré |
Le modèle de routage de GCP est suffisamment différent de celui d'AWS pour que l'expérience réseau AWS ne soit pas entièrement transférable. Plus précisément : les VPC GCP sont des ressources globales avec des sous-réseaux régionaux (les VPC AWS sont régionaux avec des sous-réseaux par zone de disponibilité). Le routage dans GCP par défaut utilise des routes dynamiques via Cloud Router avec BGP, tandis qu'AWS s'appuie sur des tables de routage par sous-réseau. Si vous vous trompez de modèle mental à l'examen, vous perdrez des points sur plusieurs questions.
Ce qui est testé
Cinq domaines. Les deux premiers ont le plus de poids.
- Conception, planification et prototypage d'un réseau Google Cloud. Conception de VPC (simple vs. multiple vs. partagé), planification d'adresses IP (RFC 1918 privé, RFC 6598 pour les services partagés, IPv6 dual-stack), VPC Network Peering vs. Shared VPC vs. Network Connectivity Center, architecture DNS (Cloud DNS, zones privées, politiques de réponse, transfert DNS).
- Implémentation d'instances de cloud privé virtuel. Sous-réseaux, plages IP primaires et secondaires, adresses IP alias (la manière spécifique à GCP dont fonctionnent les IP de pod dans GKE), règles de pare-feu et politiques de pare-feu hiérarchiques, tags réseau, mise en miroir de paquets.
- Configuration des services réseau. Équilibreurs de charge — et il y en a beaucoup. Global external Application LB, regional external ALB, global external proxy network LB, regional internal proxy NLB, passthrough NLB (regional internal et external), internal cross-region ALB. Sachez lequel choisir pour chaque type de trafic. Cloud CDN, Cloud Armor (WAF + DDoS), IAP pour l'authentification au niveau application.
- Implémentation de la connectivité hybride. Cloud VPN (HA VPN vs. VPN classique — le classique est déprécié, ne le choisissez pas), Cloud Interconnect (Dedicated vs. Partner vs. Cross-Cloud), Cloud Router avec BGP, Network Connectivity Center pour le routage transitif entre les sites hybrides.
- Gestion, surveillance et dépannage des opérations réseau. VPC Flow Logs, Firewall Insights, Network Intelligence Center (Tests de connectivité, Tableau de bord des performances, Topologie réseau), Packet Mirroring pour les intégrations IDS / IPS, alertes basées sur Cloud Logging.
Le plan de 6 semaines
Supposons 10 heures par semaine et que vous ayez une connaissance pratique de TCP/IP, des bases de BGP, et du modèle de réseau d'au moins un fournisseur de cloud.
Semaines 1-2 — Fondamentaux du VPC
Assimilez le VPC GCP. Le modèle de VPC global avec sous-réseaux régionaux est la chose la plus importante à intégrer.
Travaux pratiques : construisez un projet hôte Shared VPC avec deux projets de service. Créez des sous-réseaux dans deux régions. Configurez le VPC Network Peering vers un troisième projet. Testez la connectivité. Ensuite, construisez un VPC en mode personnalisé et définissez manuellement les sous-réseaux, en contraste avec le mode automatique (que vous n'utiliserez jamais en production). Déployez un cluster GKE dans le Shared VPC en utilisant des IP alias et confirmez que les IP des pods proviennent de la plage secondaire.
Lecture : la documentation réseau de GCP, les pages "VPC overview" et "VPC network peering" de bout en bout. Le guide "Best practices for IP address management" est court et apparaît dans les questions d'examen presque mot pour mot.
Semaines 3-4 — Connectivité hybride et équilibrage de charge
L'hybride représente la moitié du PCNE. Construisez au moins un tunnel HA VPN depuis votre laboratoire personnel ou un second compte cloud vers un VPC GCP, avec Cloud Router gérant le BGP. Si vous ne pouvez pas réaliser une interconnexion réelle (la plupart des gens ne le peuvent pas — Dedicated Interconnect nécessite un datacenter), lisez au minimum trois fois la documentation d'architecture pour Dedicated, Partner et Cross-Cloud Interconnect. Connaissez les SLA (99,9% avec une seule Interconnexion, 99,99% avec deux dans des métros différents), les bandes passantes (10 Gbps et 100 Gbps pour Dedicated ; moins de 10 pour Partner), et la différence entre les attachements partenaires de couche 2 et de couche 3.
Cloud Router avec BGP — pratiquez l'annonce de routes, les annonces personnalisées, la manipulation de MED. Le PCNE vous donnera des questions de scénario où la réponse dépendra du comportement de BGP.
Équilibrage de charge : c'est la section la plus dense en détails sur les services. Construisez un déploiement qui utilise au moins le Global external Application LB, le Regional internal Application LB et un passthrough NLB. Notez les cartes d'URL, les services de backend, les NEG (zonaux, internet, serverless, hybrides) et les contrôles de santé. Cloud Armor au-dessus d'un external Application LB — écrivez une règle personnalisée, une règle de limitation de débit, une règle WAF préconfigurée.
Semaines 5-6 — Sécurité, dépannage, pratique
Politiques de pare-feu hiérarchiques au niveau de l'organisation / dossier. Tags réseau vs. comptes de service comme cibles de pare-feu (les comptes de service sont la recommandation moderne ; les tags réseau sont l'approche héritée mais toujours à l'examen). Cloud NAT (déterministe vs. auto), Private Google Access vs. Private Service Connect — la différence est importante et est présente à chaque examen.
VPC Service Controls — le PCNE n'aborde ce sujet qu'en surface (le PCSE va plus loin), mais vous devez savoir ce qu'est un périmètre de service, ce qu'il protège, et la forme de base des règles d'entrée / sortie.
Network Intelligence Center : Tests de connectivité, Tableau de bord des performances, Topologie réseau, Firewall Insights. Exécutez un test de connectivité pour une connexion réellement défectueuse dans votre laboratoire et observez ce qu'il rapporte.
Examens pratiques : minimum trois séries complètes chronométrées. Tout ce qui vous manque, retournez à la page de documentation (pas à l'explication de la réponse pratique) et lisez-la à froid. Visez 80 %+ avant de planifier l'examen.
Ce que gagnent les ingénieurs réseau avec le PCNE
L'ingénieur réseau cloud est un parcours professionnel distinct de celui d'ingénieur cloud / architecte cloud.
- Salaire de base aux États-Unis pour les ingénieurs réseau cloud : 145 000 $ - 190 000 $ pour les rôles seniors dans les grandes métropoles, tombant à 115 000 $ - 150 000 $ dans les marchés hors des pôles technologiques (BLS OEWS mai 2024, architectes réseau informatique 15-1241, médiane autour de 130 000 $, 90e percentile autour de 190 000 $ ; levels.fyi 2025-2026, rôles étiquetés réseau).
- Équipes d'ingénierie réseau FAANG / grands fournisseurs de cloud (Google lui-même, Meta, Microsoft, AWS) : 200 000 $ - 320 000 $ de rémunération totale (TC) à l'équivalent L5-L6. L'ingénierie réseau est rémunérée à parité avec les rôles d'infrastructure adjacents dans ces entreprises.
- Hors des États-Unis : Royaume-Uni 75 000 £-120 000 £, Allemagne 75 000 €-115 000 €, Canada 115 000 $ CA-160 000 $ CA, Inde 20-50 lakh ₹. Mêmes multiplicateurs que pour les rôles cloud plus larges.
Le PCNE est l'une des certifications individuelles les plus utiles pour un spécialiste réseau. Le bassin de candidats est petit (plus petit que pour le PCA), la demande est réelle (toute entreprise multi-cloud a besoin d'expertise en réseau hybride), et la certification correspond à une voie professionnelle claire. Les certifications complémentaires qui se combinent bien : PCSE (le chevauchement sécurité-réseau est réel), CCNP pour les bases du réseau, AWS ANS-C01 si vous devez travailler sur plusieurs clouds.
En résumé
Le PCNE est la bonne certification pour les ingénieurs réseau dans l'écosystème GCP. L'examen est difficile mais juste, le matériel est directement applicable au travail en production, et le rôle qu'il certifie est bien rémunéré sur les marchés qui en ont besoin. Six semaines d'étude ciblée est la fenêtre de préparation réaliste pour quelqu'un ayant déjà une expérience en réseau.
Prêt à vous entraîner ? Parcourez les questions pratiques du PCNE sur CertLabPro ou commencez un examen chronométré. Si vous envisagez le PCSE en parallèle du PCNE pour l'aspect ingénieur en sécurité cloud, la préparation au PCSE est ici.