network-engineer

网络工程师技能 (Network Engineer)

技能概述

专业的网络工程师技能，专注于云网络架构设计、安全防护和性能优化，帮助您解决 AWS、Azure、GCP 多云环境下的网络配置、负载均衡、服务网格和安全策略问题。

适用场景

1. 云网络架构设计与配置

当您需要设计或配置云平台网络时，本技能提供 AWS VPC、Azure 虚拟网络、GCP VPC 的架构设计方案。包括子网规划、路由表配置、NAT 网关、互联网网关设置，以及 VPC 对等连接和 Transit Gateway 的跨网络连通方案。

2. 网络性能优化与故障排查

遇到网络延迟、丢包或连接问题时，本技能提供从物理层到应用层的系统化排查方法。使用 tcpdump、Wireshark、VPC Flow Logs 等工具分析流量，定位瓶颈，并提供 CDN 优化、HTTP/2/3 升级、带宽规划等性能优化建议。

3. 现代网络服务部署

需要部署负载均衡、服务网格或容器网络时，本技能涵盖 Nginx、HAProxy、Envoy、Traefik 等负载均衡器配置，Istio、Linkerd 等服务网格部署，以及 Kubernetes CNI、Calico、Cilium 等容器网络方案的实现。

核心功能

1. 多云网络架构

提供跨 AWS、Azure、GCP 的网络连通方案，包括 VPC/VNet 对等连接、混合云架构设计、边缘网络集成。支持 Transit Gateway、Cloud Interconnect 等企业级互联方案，实现多云环境下的统一网络管理。

2. 负载均衡与流量管理

涵盖云原生负载均衡器（ALB/NLB、Azure Load Balancer、GCP Cloud Load Balancing）和软件负载均衡（Nginx、HAProxy、Envoy）的配置。支持 DNS 流量管理（Route 53、Consul）、服务发现、全局负载均衡和故障转移策略。

3. 网络安全与零信任架构

实现零信任网络安全模型，包括网络分段、身份认证、持续验证。涵盖 SSL/TLS 证书自动化、mTLS 双向认证、防火墙策略、Kubernetes 网络策略、VPN 方案（WireGuard、IPSec）以及 DDoS 防护配置。

4. 服务网格与容器网络

专门针对容器化环境，提供 Istio、Linkerd、Consul Connect 等服务网格的部署和配置。包括东西向流量管理、CNI 插件选择（Calico、Cilium、Flannel）、Ingress 控制器配置以及网络可观测性方案。

5. 网络自动化与运维

使用 Terraform、CloudFormation、Ansible 实现 Infrastructure as Code，通过 Python（Netmiko、NAPALM）进行网络自动化。支持网络策略即代码、合规检查、配置漂移检测以及 GitOps 工作流集成。

常见问题

云服务器之间网络不通如何排查？

网络排查需要分层进行：首先检查安全组和网络 ACL 规则是否放行相应端口；验证路由表配置是否正确；使用 ping/telnet 测试连通性；通过 VPC Flow Logs 分析流量是否被阻止；最后检查应用程序层监听状态。本技能可以提供系统化的排查流程。

如何设计高可用的负载均衡架构？

高可用负载均衡需要考虑多层冗余：使用多个可用区部署负载均衡器实例；配置健康检查实现故障自动转移；结合 DNS 实现跨区域流量分发；对于关键业务建议使用全球负载均衡（GSLB）。本技能可以根据业务需求设计具体的架构方案。

SSL/TLS 证书如何实现自动化管理？

可以使用 Let's Encrypt 配合 Cert-Manager 实现自动签发和续期，在 Kubernetes 环境中直接集成。对于云负载均衡器，可使用 ACM（AWS）或证书管理服务（Azure/GCP）。本技能提供从证书申请、部署到监控告警的完整自动化方案。

Kubernetes 网络策略如何配置安全？

使用 Network Policy 实现 Pod 级别的网络隔离，按命名空间或标签选择器控制流量流向。对于更复杂的需求，可使用 Cilium 实现 L7 策略，或结合服务网格实现 mTLS 加密。本技能提供基于零信任原则的安全策略设计。

多云环境下如何实现网络互通？

多云互联方案包括：使用 VPN 或专线连接各云 VPC；部署 Transit Gateway 类似组件实现集中路由；使用 SD-WAN 技术优化跨云性能。对于应用层，可考虑服务网格实现跨云服务通信。本技能可评估不同方案的适用场景和成本。