Google Cloud Professional Cloud Network Engineer
225 perguntas de prática
Última revisão: April 2026
Notas pessoais e links de recursos para sua jornada de estudo
Filtrar por Certificação
O Google Cloud Professional Cloud Network Engineer (PCNE) valida a capacidade de projetar, planejar, implementar e gerenciar redes Google Cloud. O exame é uma das credenciais Profissionais de domínio único mais aprofundadas na trilha GCP — espere cenários detalhados sobre topologia de VPC, Shared VPC vs. VPC Network Peering, conectividade híbrida (Cloud VPN, Dedicated e Partner Interconnect, Cross-Cloud Interconnect), variantes do Cloud Load Balancing, Cloud DNS, Cloud Armor, Service Connectivity e Network Connectivity Center. Assim como o Professional Cloud Architect, o PCNE inclui estudos de caso publicados que você deve revisar antes de fazer o exame. A certificação é direcionada a engenheiros de rede, arquitetos de nuvem híbrida e engenheiros de plataforma seniores responsáveis por redes GCP em produção.
O maior domínio, com 24%. Topologia de VPC, Shared VPC vs. peering, planejamento de endereços IP, recursos regionais vs. globais, restrições de política organizacional. Forte ligação com estudos de caso.
Sub-redes, intervalos secundários (IPs de alias para GKE), rotas (estáticas, dinâmicas, baseadas em políticas), Private Google Access, endpoints Private Service Connect. 19%.
Variantes do Cloud Load Balancing (Global External, Regional External, Internal, Network), Cloud CDN, Cloud DNS (público, privado, peering, encaminhamento), Cloud NAT. 16% — a seleção de Load Balancer é um obstáculo frequente.
Cloud VPN (Classic vs. HA), Dedicated e Partner Interconnect, hubs e spokes do Network Connectivity Center, Cross-Cloud Interconnect. 15% — cálculos de capacidade / largura de banda aparecem.
Firewalls de VPC (políticas de firewall de rede, hierárquicas), Cloud Armor (OWASP, geolocalização, limitação de taxa, impulsionado por ML), Identity-Aware Proxy, VPC Service Controls. 14%.
O menor domínio, com 12%. VPC Flow Logs, Network Intelligence Center, Connectivity Tests, Performance Dashboard, Packet Mirroring.
Serviços que você encontrará no exame e por que cada um importa.
Balanceadores de carga L4/L7 globais e regionais com IP anycast único, abrangendo variantes de Aplicação, Rede e Interno, com serviços de backend entre MIGs, NEGs e buckets do Cloud Storage.
Por que está no exame: O Domínio 3 (Configuração de Serviços de Rede Gerenciados) testa a escolha da camada de LB correta — HTTPS externo global vs. interno regional — e a configuração de backends/verificações de integridade.
Cache de borda sobreposto a Application Load Balancers externos globais, com URLs/cookies assinados, modos de cache (CACHE_ALL_STATIC / USE_ORIGIN_HEADERS) e proteção de origem.
Por que está no exame: Questões do Domínio 3 sobre redução de latência e descarregamento de origem nomeiam o Cloud CDN como a resposta canônica; espere trade-offs vs. CDNs de terceiros e configuração de chaves de cache.
DNS gerenciado autoritativo com zonas públicas e privadas (split-horizon), DNSSEC, peering de DNS, zonas de encaminhamento e roteamento de resposta baseado em política.
Por que está no exame: Cenários híbridos no Domínio 4 dependem de zonas privadas do Cloud DNS + encaminhamento / peering de DNS para resolver nomes on-prem e do Google Cloud consistentemente entre VPCs.
BGP speaker totalmente gerenciado que troca rotas entre VPCs do Google Cloud e ambientes on-prem ou outras nuvens via VPN, Interconnect ou anexos do Network Connectivity Center.
Por que está no exame: O Domínio 4 (Interconectividade Híbrida e Multi-Cloud) testa a escolha de ASN, rotas personalizadas anunciadas, prioridades de rota e BGP bidirecional entre o Cloud Router e dispositivos de borda on-prem.
Conectividade física privada ao Google Cloud via Dedicated Interconnect (cross-connect direto de 10/100 Gbps) ou Partner Interconnect (50 Mbps–50 Gbps através de provedores de serviço).
Por que está no exame: Cenários do Domínio 4 sobre links híbridos de baixa latência e alta largura de banda destacam os trade-offs entre Dedicated vs. Partner Interconnect, SKUs de redundância (99,9% vs. 99,99%) e dimensionamento de anexo de VLAN.
VPN IPsec gerenciada com HA VPN fornecendo SLA de 99,99% via duas interfaces em um par ativo/ativo para gateways de peering, além de Classic VPN para legado de túnel único.
Por que está no exame: O Domínio 4 espera HA VPN como a opção híbrida criptografada quando a largura de banda ou o orçamento do Interconnect não se justificam, com BGP via Cloud Router em cada túnel.
Gerenciador de topologia hub-and-spoke que interconecta VPCs, túneis VPN, anexos de Interconnect e roteadores SD-WAN como spokes através de um único hub de trânsito.
Por que está no exame: Designs de malha multi-região / multi-cloud / on-prem do Domínio 4 nomeiam o NCC como a resposta nativa do GCP para "como conecto mais de 10 redes sem peering N×N".
NAT gerenciado regional para egress apenas de saída de VMs/serverless privadas para a internet, com alocação de portas, alocação dinâmica de IP e regras de NAT por endpoint.
Por que está no exame: O Domínio 2 (Implementação de uma Rede VPC) testa o egress de workloads apenas privadas; o Cloud NAT é o serviço nomeado, com o cálculo de dimensionamento para exaustão de portas sendo uma questão comum.
Roteamento privado para APIs do Google e serviços gerenciados — PGA de sub-redes de VM, endpoints PSC com DNS com escopo de VPC, além de PSC para exposição de serviços consumidor-produtor entre organizações.
Por que está no exame: O Domínio 5 (Configuração e Gerenciamento de Segurança de Rede) enfatiza a conectividade privada a serviços Google sem atravessar IPs públicos; o modelo PSC consumidor/produtor é um cenário frequente.
Conexão física dedicada de Camada 2 direta do Google Cloud para AWS, Azure, OCI ou Alibaba Cloud com tiers de largura de banda de 10 a 100 Gbps.
Por que está no exame: Cenários multi-cloud do Domínio 4 nomeiam o Cross-Cloud Interconnect como a alternativa de menor latência e maior largura de banda à conectividade inter-nuvem via túneis VPN.
Política global de WAF de borda + mitigação de DDoS anexada a balanceadores de carga externos, com regras gerenciadas (OWASP top 10), limitação de taxa, acesso baseado em geo e proteção adaptativa.
Por que está no exame: O Domínio 5 (Configuração e Gerenciamento de Segurança de Rede) testa as políticas de segurança do Cloud Armor e a precedência de regras para proteger aplicativos voltados ao público contra ataques L3-L7.
Serviço gerenciado de detecção de intrusão suportado por assinaturas de ameaças da Palo Alto, implantado como um serviço regional que inspeciona o tráfego VPC espelhado.
Por que está no exame: Questões do Domínio 5 sobre detecção de ameaças leste-oeste e norte-sul citam o Cloud IDS como a resposta nativa do GCP, pareado com Packet Mirroring para captura de tráfego.
Registros de fluxo amostrados por segundo para tráfego de VM para VM com metadados (origem/destino, RTT, bytes/pacotes), exportados para o Cloud Logging e consultáveis no BigQuery.
Por que está no exame: O Domínio 3 + Domínio 5 esperam Flow Logs para análise de padrões de tráfego, solução de problemas de conectividade e forense de segurança em tráfego VPC.
Cópia de payload completo do tráfego VM selecionado para um serviço de backend com ILB frontal de coletor para inspeção profunda de pacotes, NDR e arquivo de conformidade.
Por que está no exame: Citado no Domínio 5 sempre que a questão exige visibilidade de pacote completo — feed de IDS/IPS, captura de conformidade — além do que os Flow Logs amostrados fornecem.
Superfície unificada de observabilidade de rede — Testes de Conectividade, Painel de Desempenho, Topologia de Rede, Firewall Insights e Network Analyzer para detecção de configurações incorretas.
Por que está no exame: O Domínio 3 + conteúdo de operações testa os módulos do NIC para diagnosticar problemas de alcançabilidade, anomalias de latência e regras de firewall não utilizadas/sombreadas em uma frota.
Controle de acesso hierárquico em níveis de organização, pasta, projeto e recurso com papéis de administrador de rede predefinidos e personalizados (networkAdmin, networkUser, securityAdmin).
Por que está no exame: O Domínio 5 + governança cross-domain testa papéis de menor privilégio para administradores de projetos de serviço Shared VPC, administradores de peering e gerentes de firewall.
Perímetro de serviço com reconhecimento de identidade em torno de APIs gerenciadas pelo Google (BigQuery, Cloud Storage, Pub/Sub, etc.) que previne a exfiltração de dados mesmo de identidades IAM comprometidas.
Por que está no exame: Cenários de dados sensíveis do Domínio 5 nomeiam o VPC-SC como a resposta para bloquear o acesso a serviços gerenciados de fora de um perímetro aprovado — o equivalente GCP de um "firewall de plano de dados".
Pipeline unificado de telemetria para VPC Flow Logs, logs de firewall, logs de requisições de LB, métricas de VPN/Interconnect, além de políticas de alerta e dashboards sobre SLIs de rede.
Por que está no exame: Operações de rede Day-2 em todos os domínios PCNE esperam Cloud Logging + Monitoring para alertas sobre flaps de túnel, perda de sessão BGP, picos de 5xx de LB e limites de cota.
Análise baseada em ML de regras de firewall VPC que revela regras sombreadas, predicados excessivamente permissivos e timestamps do último acionamento para poda de regras.
Por que está no exame: Questões de governança do Domínio 5 sobre higiene de firewall citam o Firewall Insights como a ferramenta nomeada para racionalizar conjuntos de regras e identificar regras não utilizadas / arriscadas.
$145k–$195k–$285k USD anual
O intervalo reflete engenheiros e arquitetos de rede seniores baseados nos EUA, onde o GCP é a plataforma principal. Engenheiros de rede FAANG L5 TC superam $300k. Funções especializadas de rede profunda no Google e em grandes parceiros do Google Cloud tendem para o limite superior. A engenharia de rede no GCP exige um prêmio devido ao pequeno pool de candidatos em relação à AWS.
Fonte: levels.fyi 2025–2026 (engenheiros de rede Google L5, arquitetos de rede seniores FAANG e de empresas GCP), U.S. BLS OEWS May 2024 (15-1241 arquitetos de rede de computadores, 15-1244 administradores de rede e sistemas de computadores). Os valores são aproximados; a compensação real depende da função, região e experiência.
A PCNE é uma credencial de nicho, mas de alto valor — há muito menos engenheiros de rede GCP do que equivalentes em AWS ou Azure, então candidatos qualificados são muito procurados. A demanda se concentra em parceiros do Google Cloud com práticas de conectividade híbrida, grandes empresas com projetos de integração multi-cloud e on-prem-to-GCP, e no próprio Google (carreiras de engenharia de clientes e engenharia de parceiros). A certificação também é um forte sinal para funções de engenheiro de plataforma sênior em empresas com forte uso de GCP. Os detentores frequentemente relatam estar entre os menores grupos de candidatos para vagas de rede em nuvem sênior, o que se traduz em forte poder de negociação.
Não há pré-requisitos formais. O Google recomenda três ou mais anos de experiência na indústria e um ou mais anos projetando e gerenciando redes Google Cloud. Na prática, o PCNE não é uma primeira certificação GCP credível — candidatos bem-sucedidos possuem uma base sólida em redes tradicionais (BGP, protocolos de roteamento, IPsec, TCP/IP, subnetting) e experiência prática significativa em uma topologia de VPC GCP não trivial.
Um CCNA ou formação equivalente em redes tradicionais encurta materialmente o tempo de preparação. O Associate Cloud Engineer (ACE) é o trampolim mais comum, mas não é obrigatório se você já gerencia redes AWS ou Azure em escala. O conforto com o CLI gcloud para operações de rede e o Network Intelligence Center é efetivamente exigido. O Caminho de Aprendizado oficial para Engenheiro de Rede no Google Cloud Skills Boost (cerca de 50–70 horas de laboratórios) é uma boa base; a maioria dos candidatos bem-sucedidos também constrói um ambiente de testes multi-VPC com conectividade híbrida por conta própria.
O PCNE é amplamente considerado o exame GCP Professional mais difícil ao lado do PCA — principalmente devido à profundidade do conteúdo sobre roteamento, BGP e seleção de balanceadores de carga. Planeje 100–150 horas de estudo ao longo de 10–14 semanas se o PCNE for sua primeira certificação profissional GCP, ou 60–90 horas ao longo de 6–8 semanas se você já possui o ACE e uma base de rede tradicional. O exame consiste em 50–60 questões de múltipla escolha / múltipla seleção em 120 minutos, administrado pela Pearson VUE (o Google migrou da Kryterion / Webassessor no início de 2026 — sem exames de 23 de fevereiro a 1º de março de 2026; primeira aplicação pela Pearson em 2 de março de 2026). O PCNE inclui estudos de caso publicados que representam uma parte significativa das questões pontuadas — revise-os com antecedência.
O obstáculo mais comum é a seleção do Cloud Load Balancing — o Google possui oito tipos de balanceadores de carga e as questões recompensam os candidatos que memorizaram a matriz de decisão (global vs. regional, externo vs. interno, L4 vs. L7, gerenciado vs. não gerenciado, com vs. sem Cloud Armor). O segundo obstáculo é o roteamento de conectividade híbrida (BGP MED, custom advertisements, prioridades de rota). O Google não publica pontuações numéricas — apenas aprovação/reprovação. A credencial é válida por dois anos e a recertificação exige a reaprovação no exame atual.
Guia do exame atualizado em meados de 2024 para adicionar Network Connectivity Center, Cross-Cloud Interconnect, cobertura expandida de Private Service Connect e estudos de caso atualizados.
Grande atualização que consolidou o domínio do balanceador de carga e introduziu a cobertura do Network Intelligence Center.
PCNE (Google Cloud Professional Cloud Network Engineer) é um exame de nível Professional um exame desafiador, com muitos cenários, que exige profunda experiência prática e a capacidade de tomar decisões de trade-off arquitetônicas. A maioria dos candidatos precisa de 150 a 300 horas de estudo distribuídas em 3 a 6 meses para exames de nível profissional e especialista. Esses exames geralmente esperam proficiência anterior em nível associado. A maioria dos candidatos que pontuam consistentemente acima do limite de aprovação em exames práticos é aprovada na primeira tentativa.
A maioria dos candidatos precisa de 150 a 300 horas de estudo distribuídas em 3 a 6 meses para exames de nível profissional e especialista. Esses exames geralmente esperam proficiência anterior em nível associado. O tempo para aprovação varia amplamente de acordo com a experiência prévia. Engenheiros com experiência prática de produção na tecnologia subjacente geralmente precisam de menos tempo; candidatos novos na plataforma devem planejar-se para o limite superior dessa faixa.
PCNE é uma credencial reconhecida no ecossistema GCP e sinaliza conhecimento validado para empregadores, recrutadores e clientes. Se vale a pena o tempo e a taxa para você, depende do seu papel e objetivos — geralmente compensa mais para engenheiros de nuvem, arquitetos e consultores que trabalham com GCP diariamente ou desejam mudar para funções que o fazem.
A pontuação de aprovação para PCNE é Não publicado. O exame contém 50 questões e dura 2 h.
A taxa do exame PCNE é $200 USD. As taxas são definidas por GCP e podem variar por região; sempre confirme o preço atual na página oficial de certificação GCP antes de agendar.
As certificações Google Cloud Professional são válidas por 2 anos. Recertifique-se passando novamente na versão atual do exame.
Sim. Você pode fazer o exame online (supervisionado através do navegador seguro do provedor, disponível 24 horas por dia, 7 dias por semana na maioria das regiões) ou em um centro de testes Pearson VUE presencial durante o horário comercial. Ambos os formatos usam as mesmas perguntas, limite de tempo e pontuação de aprovação.
A CertLabPro oferece 15 modos de estudo no banco de questões práticas para PCNE. O modo de simulação de exame espelha o exame real: 50 questões em 2 h, com o mesmo limite de aprovação de Não publicado. O modo de navegação permite que você leia todas as perguntas e respostas estaticamente.