GCP PCNE: 6-недельный план подготовки к сертификации Cloud Network Engineer
PCNE — это сертификация GCP по сетевым технологиям, примерно эквивалентная AWS ANS-C01 по сложности. Представляем 6-недельный план и информацию о зарплате на этой должности.
Сертификация Professional Cloud Network Engineer (PCNE) является сертификацией GCP по сетевым технологиям. Экзамен стоит $200, длится два часа, содержит около 50 вопросов с множественным выбором и множественным ответом, и является вторым по сложности экзаменом GCP после PCA или PCSE, в зависимости от того, кого вы спросите. Учебная программа схожа с эквивалентом CCNP для сетевых технологий, специфичных для GCP: проектирование VPC, гибридное подключение (Cloud VPN, Interconnect, Cloud Router), Cloud Armor, Network Connectivity Center и все многообразие балансировщиков нагрузки GCP.
Если вы сетевой инженер, переходящий в облако, PCNE — это подходящая сертификация. Если вы облачный инженер-универсал, который иногда занимается сетевыми технологиями, PCA охватывает то, что вам нужно, но с меньшей глубиной. Разделение довольно четкое.
Насколько сложен PCNE на самом деле
Примерно эквивалентен по сложности AWS Advanced Networking Specialty (ANS-C01), возможно, немного легче, потому что область сетевых технологий GCP меньше, чем у AWS. Оба экзамена вознаграждают тех, кто фактически строил гибридные топологии в продакшене. Оба наказывают тех, кто учился только по видео.
| GCP PCNE | AWS ANS-C01 | Azure AZ-700 | |
|---|---|---|---|
| Стоимость | $200 | $300 | $165 |
| Длительность | 2 ч, ~50 в | 170 мин, 65 в | 100 мин, 40-60 в |
| Действительность | 2 года | 3 года | 1 год, бесплатное продление |
| Сложность | Высокая | Высокая | Умеренно-высокая |
| Фокус на гибридных средах | Сильный | Сильный | Умеренный |
Модель маршрутизации GCP достаточно сильно отличается от AWS, поэтому опыт работы с сетями AWS не полностью применим. В частности: VPC в GCP являются глобальными ресурсами с региональными подсетями (VPC в AWS являются региональными с подсетями в зонах доступности). Маршрутизация в GCP по умолчанию использует динамические маршруты через Cloud Router с BGP, в то время как AWS опирается на таблицы маршрутизации для каждой подсети. Неправильное понимание ментальной модели на экзамене приведет к потере баллов по нескольким вопросам.
Что проверяется
Пять областей. Первые две имеют наибольший вес.
- Проектирование, планирование и прототипирование сети Google Cloud. Проектирование VPC (единичная, множественная или Shared VPC), планирование IP-адресов (частные RFC 1918, RFC 6598 для общих служб, IPv6 dual-stack), VPC Network Peering против Shared VPC против Network Connectivity Center, архитектура DNS (Cloud DNS, частные зоны, политики ответов, пересылка DNS).
- Внедрение экземпляров виртуального частного облака. Подсети, первичные и вторичные диапазоны IP-адресов, alias IPs (специфичный для GCP способ работы IP-адресов подов в GKE), правила брандмауэра и иерархические политики брандмауэра, сетевые теги, зеркалирование пакетов.
- Настройка сетевых служб. Балансировщики нагрузки — и их много. Global external Application LB, regional external ALB, global external proxy network LB, regional internal proxy NLB, passthrough NLB (regional internal and external), internal cross-region ALB. Знайте, какой выбрать для каждого типа трафика. Cloud CDN, Cloud Armor (WAF + DDoS), IAP для аутентификации на уровне приложений.
- Реализация гибридного взаимодействия. Cloud VPN (HA VPN против classic VPN — classic устарел, не выбирайте его), Cloud Interconnect (Dedicated против Partner против Cross-Cloud), Cloud Router с BGP, Network Connectivity Center для транзитной маршрутизации между гибридными площадками.
- Управление, мониторинг и устранение неполадок сетевых операций. VPC Flow Logs, Firewall Insights, Network Intelligence Center (Connectivity Tests, Performance Dashboard, Network Topology), Packet Mirroring для интеграции IDS / IPS, оповещения на основе Cloud Logging.
6-недельный план
Предполагается 10 часов в неделю и наличие практических знаний TCP/IP, основ BGP и сетевой модели хотя бы одного облака.
Недели 1-2 — Основы VPC
Освойте VPC в GCP досконально. Модель глобальной VPC с региональными подсетями — это единственное, что нужно усвоить в первую очередь.
Лабораторная работа: постройте хост-проект Shared VPC с двумя сервисными проектами. Создайте подсети в двух регионах. Настройте VPC Network Peering к третьему проекту. Проверьте подключение. Затем постройте VPC в пользовательском режиме и определите подсети вручную, в отличие от автоматического режима (который вы никогда не будете использовать в продакшене). Разверните кластер GKE в Shared VPC, используя alias IPs, и убедитесь, что IP-адреса подов поступают из вторичного диапазона.
Чтение: документация по сетям GCP, страницы "VPC overview" и "VPC network peering" полностью. Руководство "Best practices for IP address management" короткое и встречается в экзаменационных вопросах почти дословно.
Недели 3-4 — Гибридное подключение и балансировка нагрузки
Гибридное подключение — это половина PCNE. Постройте как минимум один туннель HA VPN из вашей домашней лаборатории или второго облачного аккаунта к GCP VPC, используя Cloud Router с BGP. Если вы не можете использовать реальный Interconnect (большинство людей не могут — Dedicated Interconnect требует колокации), то как минимум трижды прочитайте архитектурную документацию для Dedicated, Partner и Cross-Cloud Interconnect. Знайте SLA (99,9% с одним Interconnect, 99,99% с двумя в разных метрополиях), пропускную способность (10 Гбит/с и 100 Гбит/с для Dedicated; менее 10 Гбит/с для Partner) и разницу между партнерскими подключениями уровня 2 и уровня 3.
Cloud Router с BGP — практикуйте объявление маршрутов, пользовательские объявления, манипуляции с MED. PCNE будет предлагать вам сценарные вопросы, где ответ зависит от поведения BGP.
Балансировка нагрузки: это раздел с наибольшим количеством информации по службам. Создайте развертывание, которое использует как минимум глобальный внешний Application LB, региональный внутренний Application LB и passthrough NLB. Обратите внимание на URL maps, backend services, NEGs (zonal, internet, serverless, hybrid) и health checks. Cloud Armor поверх внешнего Application LB — напишите пользовательское правило, правило ограничения скорости, предустановленное правило WAF.
Недели 5-6 — Безопасность, устранение неполадок, практика
Иерархические политики брандмауэра на уровне организации / папки. Сетевые теги против сервисных аккаунтов в качестве целей брандмауэра (сервисные аккаунты — это современная рекомендация; сетевые теги — устаревший подход, но все еще присутствующий на экзамене). Cloud NAT (детерминированный против автоматического), Private Google Access против Private Service Connect — разница имеет значение и встречается на каждом экзамене.
VPC Service Controls — PCNE затрагивает эту тему лишь поверхностно (PCSE углубляется), но вы должны знать, что такое периметр службы, что он защищает, и основную форму правил ingress / egress.
Network Intelligence Center: Connectivity Tests, Performance Dashboard, Network Topology, Firewall Insights. Выполните Connectivity Test для реально неработающего соединения в вашей лаборатории и посмотрите, что он сообщит.
Практические экзамены: минимум три полных прогона на время. Все, что вы упустили, перечитайте на странице документации (а не в объяснении ответов к практике). Стремитесь к 80%+ перед записью на экзамен.
Сколько зарабатывают сетевые инженеры с PCNE
Сетевой инженер облачных систем (Cloud network engineer) — это отдельная карьерная лестница, отличающаяся от облачного инженера / облачного архитектора.
- Базовая зарплата в США для облачных сетевых инженеров: $145k-$190k для старших должностей в крупных мегаполисах, снижается до $115k-$150k на рынках, не являющихся технологическими центрами (BLS OEWS, май 2024 г., медиана для Computer Network Architects 15-1241 около $130k, 90-й процентиль около $190k; levels.fyi, роли с тегом network, 2025-2026 гг.).
- Сетевые инженерные команды FAANG / крупных облачных провайдеров (сам Google, Meta, Microsoft, AWS): $200k-$320k общего дохода (TC) на уровне L5-L6 эквивалента. Сетевой инженеринг оплачивается наравне со смежными инфраструктурными ролями в этих компаниях.
- За пределами США: Великобритания £75k-£120k, Германия €75k-€115k, Канада CAD $115k-$160k, Индия ₹20-50 лакхов. Те же множители, что и для более широких облачных ролей.
PCNE — одна из наиболее полезных одиночных сертификаций для сетевого специалиста. Количество кандидатов невелико (меньше, чем у PCA), спрос реален (каждому мультиоблачному предприятию требуется опыт в гибридных сетях), и сертификация соответствует четкой карьерной лестнице. Смежные сертификации, которые хорошо дополняют PCNE: PCSE (пересечение безопасности с сетями реально), CCNP для фундаментальных сетевых знаний, AWS ANS-C01, если вам нужно работать с несколькими облаками.
Итог
PCNE — это подходящая сертификация для сетевых инженеров в экосистеме GCP. Экзамен сложный, но справедливый, материал напрямую применим в производственной работе, а роль, которую он подтверждает, хорошо оплачивается на рынках, где это востребовано. Шесть недель целенаправленного обучения — это реалистичный период подготовки для человека, уже имеющего опыт работы с сетями.
Готовы к тренировке? Просмотрите практические вопросы PCNE на CertLabPro или начните экзамен на время. Если вы рассматриваете PCSE наряду с PCNE для роли инженера по облачной безопасности, подготовка к PCSE здесь.