Google Cloud Professional Cloud Network Engineer
225 questions de pratique
Dernière révision : April 2026
Notes personnelles et liens de ressources pour votre parcours d'étude
Filtrer par Certification
L'ingénieur réseau cloud professionnel Google Cloud (PCNE) valide la capacité à concevoir, planifier, implémenter et gérer des réseaux Google Cloud. L'examen est l'une des certifications professionnelles à domaine unique les plus approfondies de la filière GCP — attendez-vous à des scénarios détaillés sur la topologie de VPC, le VPC partagé vs le peering de réseau VPC, la connectivité hybride (Cloud VPN, Interconnexion dédiée et partenaire, Interconnexion inter-cloud), les variantes de Cloud Load Balancing, Cloud DNS, Cloud Armor, Service Connectivity et Network Connectivity Center. À l'instar de l'architecte cloud professionnel, le PCNE inclut des études de cas publiées que vous devriez consulter avant de passer l'examen. Cette certification cible les ingénieurs réseau, les architectes de cloud hybride et les ingénieurs plateforme seniors responsables des réseaux GCP en production.
Le domaine le plus vaste (24 %). Topologie de VPC, VPC partagé vs peering, planification d'adresses IP, ressources régionales vs mondiales, contraintes de stratégies d'organisation. Forte dépendance aux études de cas.
Sous-réseaux, plages secondaires (alias d'adresses IP pour GKE), routes (statiques, dynamiques, basées sur des politiques), Accès Google privé, points de terminaison Private Service Connect. 19 %.
Variantes de Cloud Load Balancing (externe global, externe régional, interne, réseau), Cloud CDN, Cloud DNS (public, privé, peering, forwarding), Cloud NAT. 16 % — le choix de l'équilibreur de charge est un obstacle fréquent.
Cloud VPN (Classique vs HA), Interconnexion dédiée et partenaire, hubs et spokes Network Connectivity Center, Interconnexion inter-cloud. 15 % — des calculs de capacité / bande passante apparaissent.
Pare-feu VPC (politiques de pare-feu réseau, hiérarchiques), Cloud Armor (OWASP, géo, limitation de débit, basée sur le ML), Identity-Aware Proxy, VPC Service Controls. 14 %.
Le domaine le plus petit (12 %). Journaux de flux VPC, Network Intelligence Center, Tests de connectivité, Tableau de bord de performances, Duplication de paquets (Packet Mirroring).
Les services que vous rencontrerez à l'examen et pourquoi chacun compte.
Équilibreurs de charge L4/L7 globaux et régionaux à IP unique anycast couvrant les variantes Application, Network et Internal, avec des services de backend sur les MIG, NEGs et les buckets Cloud Storage.
Pourquoi il est à l'examen : Le Domaine 3 (Configuration des services réseau gérés) évalue le choix du bon niveau d'équilibrage de charge — externe HTTPS global ou interne régional — et la configuration des backends/contrôles de santé.
Cache de périphérie superposé aux équilibreurs de charge d'applications externes globaux, avec des URL/cookies signés, des modes de cache (CACHE_ALL_STATIC / USE_ORIGIN_HEADERS) et la protection d'origine.
Pourquoi il est à l'examen : Les questions du Domaine 3 sur la réduction de la latence et le déchargement de l'origine désignent Cloud CDN comme la réponse canonique ; attendez-vous à des compromis par rapport aux CDN tiers et à la configuration des clés de cache.
DNS géré autoritatif avec zones publiques et privées (split-horizon), DNSSEC, peering DNS, zones de transfert et routage des réponses basé sur des politiques.
Pourquoi il est à l'examen : Les scénarios hybrides du Domaine 4 s'appuient sur les zones privées Cloud DNS + le transfert/peering DNS pour résoudre de manière cohérente les noms sur site et Google Cloud à travers les VPC.
Routeur BGP entièrement géré qui échange des routes entre les VPC Google Cloud et les environnements sur site ou d'autres clouds via des tunnels VPN, Interconnect ou des rattachements Network Connectivity Center.
Pourquoi il est à l'examen : Le Domaine 4 (Interconnectivité hybride et multicloud) évalue le choix de l'ASN, les routes annoncées personnalisées, les priorités de route et le BGP bidirectionnel entre Cloud Router et les équipements de périphérie sur site.
Connectivité physique privée à Google Cloud via Dedicated Interconnect (interconnexion directe 10/100 Gbit/s) ou Partner Interconnect (50 Mbit/s–50 Gbit/s via des fournisseurs de services).
Pourquoi il est à l'examen : Les scénarios du Domaine 4 concernant les liens hybrides à faible latence et bande passante élevée mettent en évidence les compromis entre Dedicated et Partner Interconnect, les SKU de redondance (99,9 % vs 99,99 %) et le dimensionnement des rattachements VLAN.
VPN IPsec géré avec HA VPN offrant un SLA de 99,99 % via deux interfaces en paire actif/actif vers des passerelles homologues, plus Classic VPN pour les systèmes hérités à tunnel unique.
Pourquoi il est à l'examen : Le Domaine 4 attend le HA VPN comme option hybride chiffrée lorsque la bande passante ou le budget d'Interconnect ne sont pas justifiés, avec BGP via Cloud Router sur chaque tunnel.
Gestionnaire de topologie en étoile qui interconnecte les VPC, les tunnels VPN, les rattachements Interconnect et les routeurs SD-WAN en tant que rayons via un hub de transit unique.
Pourquoi il est à l'examen : Les conceptions maillées multirégionales / multicloud / sur site du Domaine 4 désignent NCC comme la réponse native GCP à « comment relier plus de 10 réseaux sans peering N×N ».
NAT géré régional pour la sortie uniquement des VM/serverless privés vers Internet, avec allocation de ports, allocation dynamique d'adresses IP et règles NAT par point de terminaison.
Pourquoi il est à l'examen : Le Domaine 2 (Implémentation d'un réseau VPC) évalue la sortie des charges de travail uniquement privées ; Cloud NAT est le service désigné, le calcul du dimensionnement pour l'épuisement des ports étant une question courante.
Routage privé vers les API Google et les services gérés — PGA depuis les sous-réseaux de VM, les points de terminaison PSC avec DNS à portée VPC, plus PSC pour l'exposition de services consommateur-producteur à travers les organisations.
Pourquoi il est à l'examen : Le Domaine 5 (Configuration de l'accès privé aux services Azure — équivalent ici Domaine 5 du PCNE) met l'accent sur la connectivité privée aux services Google sans traverser d'adresses IP publiques ; le modèle consommateur/producteur de PSC est un scénario fréquent.
Connexion physique dédiée de couche 2 directe de Google Cloud vers AWS, Azure, OCI ou Alibaba Cloud avec des niveaux de bande passante de 10 à 100 Gbit/s.
Pourquoi il est à l'examen : Les scénarios multicloud du Domaine 4 désignent Cross-Cloud Interconnect comme l'alternative à faible latence et haute bande passante à la connectivité inter-cloud par tunnels VPN.
Politique WAF + atténuation DDoS globale en périphérie, attachée aux équilibreurs de charge externes, avec des règles gérées (OWASP top 10), une limitation de débit, un accès géobasé et une protection adaptative.
Pourquoi il est à l'examen : Le Domaine 5 (Sécurité réseau) évalue les politiques de sécurité Cloud Armor et la précédence des règles pour protéger les applications exposées au public contre les attaques L3-L7.
Service de détection d'intrusion géré s'appuyant sur les signatures de menaces Palo Alto, déployé en tant que service régional qui inspecte le trafic VPC mis en miroir.
Pourquoi il est à l'examen : Les questions du Domaine 5 sur la détection des menaces est-ouest et nord-sud citent Cloud IDS comme la réponse native GCP associée à Packet Mirroring pour la capture du trafic.
Enregistrements de flux échantillonnés par seconde pour le trafic de VM à VM avec métadonnées (source/dest, RTT, octets/paquets), exportés vers Cloud Logging et interrogeables dans BigQuery.
Pourquoi il est à l'examen : Le Domaine 3 + le Domaine 5 s'attendent aux Flow Logs pour l'analyse des schémas de trafic, le dépannage des pannes de connectivité et la criminalistique de sécurité sur le trafic VPC.
Copie intégrale du trafic VM sélectionné vers un service de backend en amont d'un ILB collecteur pour l'inspection approfondie des paquets, la NDR et l'archivage de conformité.
Pourquoi il est à l'examen : Cité dans le Domaine 5 chaque fois que la question nécessite une visibilité complète des paquets — flux IDS/IPS, capture de conformité — au-delà de ce que les Flow Logs échantillonnés fournissent.
Surface d'observabilité réseau unifiée — Tests de connectivité, Tableau de bord des performances, Topologie réseau, Firewall Insights et Network Analyzer pour la détection des erreurs de configuration.
Pourquoi il est à l'examen : Le Domaine 3 + le contenu des opérations testent les modules NIC pour diagnostiquer les problèmes d'accessibilité, les anomalies de latence et les règles de pare-feu inutilisées/masquées sur un parc.
Contrôle d'accès hiérarchique aux niveaux de l'organisation, du dossier, du projet et des ressources avec des rôles d'administration réseau prédéfinis et personnalisés (networkAdmin, networkUser, securityAdmin).
Pourquoi il est à l'examen : Le Domaine 5 + la gouvernance inter-domaines évaluent les rôles de moindre privilège pour les administrateurs de projets de service Shared VPC, les administrateurs de peering et les gestionnaires de pare-feu.
Périmètre de service sensible à l'identité autour des API gérées par Google (BigQuery, Cloud Storage, Pub/Sub, etc.) empêchant l'exfiltration de données même à partir d'identités IAM compromises.
Pourquoi il est à l'examen : Les scénarios de données sensibles du Domaine 5 désignent VPC-SC comme la réponse pour bloquer l'accès aux services gérés depuis l'extérieur d'un périmètre approuvé — l'équivalent GCP d'un « pare-feu de plan de données ».
Pipeline de télémétrie unifié pour les VPC Flow Logs, les journaux de pare-feu, les journaux de requêtes d'équilibrage de charge, les métriques VPN/Interconnect, ainsi que les politiques d'alerte et les tableaux de bord sur les SLI réseau.
Pourquoi il est à l'examen : Les opérations réseau de jour 2 sur tous les domaines PCNE s'appuient sur Cloud Logging + Monitoring pour l'alerte sur les basculements de tunnel, la perte de session BGP, les pics 5xx de l'équilibreur de charge et les seuils de quota.
Analyse basée sur le ML des règles de pare-feu VPC révélant les règles masquées, les prédicats trop permissifs et les horodatages de dernière utilisation pour l'élagage des règles.
Pourquoi il est à l'examen : Les questions de gouvernance du Domaine 5 sur l'hygiène des pare-feu citent Firewall Insights comme l'outil désigné pour rationaliser les ensembles de règles et identifier les règles inutilisées ou risquées.
$145k–$195k–$285k USD annuel
Cette fourchette reflète les ingénieurs et architectes réseau seniors basés aux États-Unis où GCP est la plateforme principale. La rémunération totale d'un ingénieur réseau FAANG L5 dépasse les 300 000 $. Les rôles de spécialiste en réseau approfondi chez Google et les principaux partenaires Google Cloud tendent vers le haut de gamme. L'ingénierie réseau sur GCP exige une prime en raison du petit nombre de candidats par rapport à AWS.
Source : levels.fyi 2025–2026 (ingénieurs réseau Google L5, architectes réseau seniors FAANG et GCP), U.S. BLS OEWS mai 2024 (15-1241 architectes de réseaux informatiques, 15-1244 administrateurs de réseaux et de systèmes informatiques). Les chiffres sont approximatifs ; la rémunération réelle dépend du rôle, de la région et de l'expérience.
Le PCNE est une certification de niche mais de grande valeur — il y a beaucoup moins d'ingénieurs réseau GCP que d'équivalents AWS ou Azure, donc les candidats qualifiés sont très recherchés. La demande se concentre chez les partenaires Google Cloud ayant des pratiques de connectivité hybride, les grandes entreprises avec des projets d'intégration multi-cloud et on-prem-to-GCP, et Google elle-même (postes d'ingénieur client et d'ingénieur partenaire). La certification est également un signal fort pour les rôles d'ingénieur plateforme senior dans les entreprises fortement axées sur GCP. Les titulaires signalent fréquemment faire partie des plus petits pools de candidats pour les postes seniors d'ingénieur réseau cloud, ce qui se traduit par un fort pouvoir de négociation.
Il n'y a pas de prérequis formels. Google recommande trois ans ou plus d'expérience professionnelle et un an ou plus de conception et de gestion de réseaux Google Cloud. En pratique, le PCNE n'est pas une première certification GCP crédible — les candidats retenus possèdent une base solide en réseaux traditionnels (BGP, protocoles de routage, IPsec, TCP/IP, sous-réseautage) et une expérience pratique significative dans une topologie VPC GCP non triviale.
Une certification CCNA ou un background équivalent en réseaux traditionnels raccourcit considérablement le temps de préparation. L'Associate Cloud Engineer (ACE) est le jalon le plus courant mais n'est pas obligatoire si vous gérez déjà des réseaux AWS ou Azure à grande échelle. Une bonne maîtrise de l'interface de ligne de commande gcloud pour les opérations réseau et du Network Intelligence Center est effectivement requise. Le parcours d'apprentissage officiel Network Engineer sur Google Cloud Skills Boost (environ 50 à 70 heures de labs) est une bonne base ; la plupart des candidats retenus construisent également eux-mêmes un environnement sandbox avec plusieurs VPC et une connectivité hybride.
Le PCNE est largement considéré comme l'examen professionnel GCP le plus difficile aux côtés du PCA — principalement en raison de la profondeur du contenu sur le routage, le BGP et le choix de l'équilibreur de charge. Prévoyez 100 à 150 heures d'étude sur 10 à 14 semaines si le PCNE est votre première certification professionnelle GCP, ou 60 à 90 heures sur 6 à 8 semaines si vous détenez déjà l'ACE et une base en réseaux traditionnels. L'examen comporte 50 à 60 questions à choix multiples / à sélection multiple en 120 minutes, administrées via Pearson VUE (Google est passé de Kryterion / Webassessor début 2026 — pas d'examens du 23 février au 1er mars 2026 ; première administration Pearson le 2 mars 2026). Le PCNE inclut des études de cas publiées qui représentent une part significative des questions notées — examinez-les à l'avance.
L'obstacle le plus courant est le choix de Cloud Load Balancing — Google propose huit types d'équilibrage de charge et les questions récompensent les candidats qui ont mémorisé la matrice de décision (global vs régional, externe vs interne, L4 vs L7, géré vs non géré, avec vs sans Cloud Armor). Le deuxième obstacle est le routage de la connectivité hybride (BGP MED, annonces personnalisées, priorités de route). Google ne publie pas de scores numériques — seulement réussi/échoué. La certification est valide pendant deux ans et le renouvellement nécessite de repasser l'examen en vigueur.
Le guide d'examen actuel a été mis à jour mi-2024 pour ajouter le Network Connectivity Center, l'Interconnexion inter-cloud, une couverture étendue de Private Service Connect et des études de cas actualisées.
Mise à jour majeure qui a consolidé le domaine de l'équilibrage de charge et introduit la couverture du Network Intelligence Center.
PCNE (Google Cloud Professional Cloud Network Engineer) est un examen de niveau Professional un examen exigeant, riche en scénarios, qui requiert une expérience pratique approfondie et la capacité de prendre des décisions d'arbitrage architectural. La plupart des candidats ont besoin de 150 à 300 heures d'étude réparties sur 3 à 6 mois pour les examens de niveau professionnel et expert. Ces examens exigent généralement une compétence préalable de niveau associé. La plupart des candidats qui obtiennent des scores constamment supérieurs au seuil de réussite lors des examens pratiques réussissent dès leur première tentative.
La plupart des candidats ont besoin de 150 à 300 heures d'étude réparties sur 3 à 6 mois pour les examens de niveau professionnel et expert. Ces examens exigent généralement une compétence préalable de niveau associé. Le temps nécessaire pour réussir varie considérablement en fonction de l'expérience antérieure. Les ingénieurs ayant une expérience pratique en production avec la technologie sous-jacente en ont généralement besoin de moins ; les candidats novices sur la plateforme devraient viser la limite supérieure de cette fourchette.
PCNE est une certification reconnue dans l'écosystème GCP et signale des connaissances validées aux employeurs, recruteurs et clients. Sa valeur en termes de temps et de coût dépend de votre rôle et de vos objectifs — elle est la plus avantageuse pour les ingénieurs cloud, architectes et consultants qui travaillent quotidiennement avec GCP ou souhaitent évoluer vers des rôles similaires.
Le score de réussite pour le PCNE est de Non publié. L'examen contient 50 questions et dure 2 h.
Les frais d'examen PCNE sont de $200 USD. Les frais sont fixés par GCP et peuvent varier selon la région ; confirmez toujours le prix actuel sur la page de certification officielle de GCP avant de réserver.
Les certifications Google Cloud Professional sont valides pendant 2 ans. Recertifiez-vous en repassant la version actuelle de l'examen.
Oui. Vous pouvez passer l'examen en ligne (supervisé via le navigateur sécurisé du fournisseur, disponible 24h/24 et 7j/7 dans la plupart des régions) ou dans un centre de test Pearson VUE en personne pendant les heures ouvrables. Les deux formats utilisent les mêmes questions, la même limite de temps et le même score de réussite.
CertLabPro propose 15 modes d'étude à travers la banque de questions pratiques pour le PCNE. Le mode de simulation d'examen reproduit l'examen réel : 50 questions en 2 h, avec le même seuil de réussite de Non publié. Le mode navigation vous permet de lire chaque Q&A de manière statique.