PCNE

核心服务

• Virtual Private Cloud (VPC)AWS 文档 ↗

  全球软件定义网络，包含区域子网、自定义路由、防火墙规则，以及用于集中式网络管理的共享 VPC 和用于非传递性私有连接的 VPC 对等互连。

  为什么会出现在考试中： 每个 PCNE Google Cloud VPC 网络设计与规划场景都从这里开始——CIDR 规模调整、自定义模式与自动模式、共享 VPC 主机/服务项目以及对等互连拓扑是反复出现的基础知识。

• Cloud Load BalancingAWS 文档 ↗

  提供单一任意广播 IP 的全球和区域 L4/L7 负载均衡器，涵盖应用、网络和内部变体，其后端服务可跨 MIG、NEG 和 Cloud Storage 存储桶。

  为什么会出现在考试中： 领域 3（配置托管网络服务）考察如何选择正确的负载均衡器层级——全球外部 HTTPS 与区域内部——以及配置后端服务和健康检查。

• Cloud CDNAWS 文档 ↗

  基于全球外部应用负载均衡器的边缘缓存，支持签名 URL/Cookie、缓存模式（CACHE_ALL_STATIC / USE_ORIGIN_HEADERS）和源站防护。

  为什么会出现在考试中： 领域 3 中关于降低延迟和源站卸载的问题，Cloud CDN 是标准答案；预期会考察其与第三方 CDN 的权衡以及缓存键配置。

• Cloud DNSAWS 文档 ↗

  权威托管 DNS 服务，提供公有和私有（水平分割）区域、DNSSEC、DNS 对等互连、转发区域以及基于策略的响应路由。

  为什么会出现在考试中： 领域 4 中的混合场景依赖 Cloud DNS 私有区域与 DNS 转发/对等互连，以实现在 VPC 之间一致解析本地和 Google Cloud 名称。

• Cloud RouterAWS 文档 ↗

  完全托管的 BGP 发言者，通过 VPN、互连网或 Network Connectivity Center 附件，在 Google Cloud VPC 与本地或其它云之间交换路由。

  为什么会出现在考试中： 领域 4（混合云和多云互连）考察 ASN 选择、自定义通告路由、路由优先级，以及 Cloud Router 与本地边缘设备之间的双向 BGP。

• Cloud InterconnectAWS 文档 ↗

  通过专用互连（10/100 Gbps 直连）或合作伙伴互连（通过服务提供商实现 50 Mbps–50 Gbps）提供到 Google Cloud 的私有物理连接。

  为什么会出现在考试中： 领域 4 中关于低延迟、高带宽混合链路的场景，会指出专用互连与合作伙伴互连之间的权衡、冗余 SKU（99.9% 与 99.99%）以及 VLAN 附件的规模调整。

• Cloud VPN (HA VPN)AWS 文档 ↗

  托管的 IPsec VPN 服务，其中 HA VPN 通过主动/主动对中的两个接口连接到对等网关，提供 99.99% 的 SLA，另有 Classic VPN 用于单隧道传统连接。

  为什么会出现在考试中： 领域 4 预期将 HA VPN 作为加密混合选项，适用于互连网带宽或预算不合理的情况，且每个隧道都通过 Cloud Router 启用 BGP。

• Network Connectivity CenterAWS 文档 ↗

  轮辐式拓扑管理器，通过单一传输中心将 VPC、VPN 隧道、互连网附件和 SD-WAN 路由器作为辐条互连。

  为什么会出现在考试中： 领域 4 的多区域/多云/本地网格设计将 NCC 指定为“如何在不进行 N×N 对等互连的情况下连接 10+ 网络”的 GCP 原生解决方案。

专用服务

• Cloud NATAWS 文档 ↗

  区域托管 NAT 服务，用于私有虚拟机/无服务器实例到互联网的仅出站流量，支持端口分配、动态 IP 分配和基于端点的 NAT 规则。

  为什么会出现在考试中： 领域 2（实施 VPC 网络）考察仅私有工作负载的出站流量；Cloud NAT 是指定的服务，其中端口耗尽的规模调整计算是一个常见问题。

• Private Google Access + Private Service ConnectAWS 文档 ↗

  到 Google API 和托管服务的私有路由——包括来自 VM 子网的 PGA、带有 VPC 范围 DNS 的 PSC 端点，以及用于跨组织消费者-生产者服务暴露的 PSC。

  为什么会出现在考试中： 领域 5（配置到 Azure 服务的私有访问——此处等同于 PCNE 领域 5）强调在不经过公共 IP 的情况下到 Google 服务的私有连接；PSC 消费者/生产者模型是一个常见场景。

• Cross-Cloud InterconnectAWS 文档 ↗

  第 2 层专用物理连接，从 Google Cloud 直连到 AWS、Azure、OCI 或阿里云，带宽层级从 10 到 100 Gbps。

  为什么会出现在考试中： 领域 4 的多云场景将 Cross-Cloud Interconnect 指定为 VPN 隧道式云间连接的低延迟、高带宽替代方案。

• Cloud ArmorAWS 文档 ↗

  附加到外部负载均衡器的全球边缘 WAF + DDoS 缓解策略，包含托管规则（OWASP Top 10）、速率限制、基于地理位置的访问和自适应保护。

  为什么会出现在考试中： 领域 5（网络安全）考察 Cloud Armor 安全策略和规则优先级，以保护面向公众的应用免受 L3-L7 攻击。

• Cloud IDSAWS 文档 ↗

  由 Palo Alto 威胁特征支持的托管入侵检测服务，作为区域服务部署，检查镜像的 VPC 流量。

  为什么会出现在考试中： 领域 5 中关于东西向和南北向威胁检测的问题，将 Cloud IDS 指定为与 Packet Mirroring 配对用于流量捕获的 GCP 原生解决方案。

• VPC Flow LogsAWS 文档 ↗

  每秒采样的虚拟机到虚拟机流量流记录，包含元数据（源/目标、RTT、字节/数据包），导出到 Cloud Logging 并在 BigQuery 中可查询。

  为什么会出现在考试中： 领域 3 和领域 5 预期使用流日志进行流量模式分析、故障排除连接失败以及对 VPC 流量进行安全取证。

• Packet MirroringAWS 文档 ↗

  将选定的虚拟机流量进行完整载荷复制，发送到由 ILB 前置的收集器后端服务，用于深度包检测、NDR 和合规性存档。

  为什么会出现在考试中： 领域 5 中只要问题要求完整的数据包可见性（例如 IDS/IPS 源、合规性捕获）并且超出采样流日志所能提供的数据时就会引用此服务。

• Network Intelligence CenterAWS 文档 ↗

  统一的网络可观测性界面，包含连接测试、性能仪表板、网络拓扑、防火墙洞察和用于错误配置检测的网络分析器。

  为什么会出现在考试中： 领域 3 和运维内容考察 NIC 模块，用于诊断可达性问题、延迟异常以及整个集群中未使用的/被遮蔽的防火墙规则。

安全与治理

• Identity and Access Management (IAM)AWS 文档 ↗

  跨组织、文件夹、项目和资源层级的层次化访问控制，包含预定义和自定义的网络管理员角色（networkAdmin、networkUser、securityAdmin）。

  为什么会出现在考试中： 领域 5 和跨领域治理考察共享 VPC 服务项目管理员、对等互连管理员和防火墙管理器的最小权限角色。

• VPC Service ControlsAWS 文档 ↗

  围绕 Google 托管 API（BigQuery、Cloud Storage、Pub/Sub 等）的身份感知服务边界，即使 IAM 身份被盗用也能防止数据渗漏。

  为什么会出现在考试中： 领域 5 的敏感数据场景将 VPC-SC 指定为解决方案，用于阻止从批准边界外部访问托管服务——这相当于 GCP 中的“数据平面防火墙”。

• Cloud Logging + Cloud MonitoringAWS 文档 ↗

  统一的遥测管道，用于 VPC 流日志、防火墙日志、LB 请求日志、VPN/互连网指标，以及网络 SLI 上的告警策略和仪表板。

  为什么会出现在考试中： 所有 PCNE 领域中的第二天网络运维都预期使用 Cloud Logging + Monitoring，用于隧道抖动告警、BGP 会话丢失、LB 5xx 错误激增以及配额阈值。

• Firewall InsightsAWS 文档 ↗

  基于机器学习的 VPC 防火墙规则分析，发现被遮蔽的规则、过于宽松的谓词以及用于规则修剪的最后命中时间戳。

  为什么会出现在考试中： 领域 5 中关于防火墙卫生的治理问题，将 Firewall Insights 指定为合理化规则集并识别未使用的/高风险规则的工具。

典型职位

• 云网络工程师
• 高级网络架构师（云）
• 混合连接架构师
• 网络可靠性工程师
• 高级平台工程师（网络方向）
• 售前网络解决方案架构师
• 首席网络工程师 (GCP)

薪资范围（美国，估算）

$145k–$195k–$285k USD 每年

此范围反映了以 GCP 为主要平台的美国高级网络工程师和架构师的薪资。FAANG L5 网络工程师的总薪酬超过 30 万美元。Google 和主要 Google Cloud 合作伙伴的专业深度网络职位趋向高端。由于相对于 AWS，GCP 的候选人池较小，因此 GCP 上的网络工程薪资更高。

来源：levels.fyi 2025–2026（Google L5 网络工程师，FAANG 和 GCP 商店高级网络架构师），美国 BLS OEWS 2024 年 5 月（15-1241 计算机网络架构师，15-1244 网络和计算机系统管理员）。数据为估算值；实际薪酬取决于职位、地区和经验。

市场需求

PCNE 是一项小众但高价值的证书——GCP 网络工程师的数量远少于 AWS 或 Azure 的同等职位，因此合格的候选人非常抢手。需求集中在具有混合连接实践的 Google Cloud 合作伙伴、拥有多云和本地到 GCP 集成项目的大型企业，以及 Google 本身（客户工程和合作伙伴工程晋升路径）。该证书也是 GCP 重点公司中高级平台工程师职位的有力信号。持有者经常报告他们在高级云网络职位的申请者池中是最小的一批，这意味着强大的议价能力。