Google Cloud 認定資格 – Professional Cloud Network Engineer – 模擬問題集(全 95問)
Question 001
エンド ユーザーは us-east1 と europe-west1 の近くにいます。
ワークロードは相互に通信する必要があります。コストを最小限に抑え、ネットワーク効率を高めたいと考えています。
このトポロジをどのように設計する必要がありますか?
- A. それぞれ独自のリージョンと個別のサブネットを持つ 2 つの VPC を作成します。2 つの VPN ゲートウェイを作成し、これらのリージョン間の接続を確立します。
- B. 2 つの VPC を作成し、それぞれに独自のリージョンと個別のサブネットを設定します。インスタンスで外部 IP アドレスを使用し、これらのリージョン間の接続を確立します。
- C. 2 つのリージョン サブネットを持つ 1 つの VPC を作成します。グローバル ロードバランサを作成し、リージョン間の接続を確立します。
- D. 2 つのリージョン サブネットを持つ 1 つの VPC を作成します。これらのサブネットにワークロードをデプロイし、プライベートの RFC1918 IP アドレスを使用して通信させます。
Correct Answer:D
VPC ネットワーク ピアリングを使用すると VPC ネットワークをピアリングして異なる VPC ネットワーク内のワークロードがプライベート RFC 1918 空間で通信できるようになります。トラフィックは Google のネットワーク内にとどまり、公共のインターネットを通過しません。
Reference:
– VPC ネットワーク ピアリング | Google Cloud
Question 002
2 つの Cloud Router を設定し、一方がアクティブなボーダー ゲートウェイ プロトコル (BGP) セッションを持ち、もう一方がスタンバイとして機能するようにします。
オンプレミス ルーターで使用する必要がある BGP 属性はどれですか?
- A. AS パス
- B. コミュニティ
- C. ローカル設定
- D. Multi-Exit Discriminator (MED)
Correct Answer:D
Reference:
– Cloud Router の概要 | Google Cloud
Question 003
リード エンジニアはレガシー データ センターに仮想マシンを展開するカスタム ツールを作成しました。
彼はカスタム ツールを新しいクラウド環境に移行したいと考えています。あなたは Google Cloud Deployment Manager の採用を支持したいと考えています。
Cloud Deployment Manager への移 行に伴う 2 つのビジネス リスクは何でしょうか? (回答は 2つ)
- A. Cloud Deployment Manager API は将来的に非推奨になる可能性があります。
- B. Cloud Deployment Manager を使用してクラウド リソースを完全に削除できます。
- C. Cloud Deployment Manager は Python を使用します。
- D. Cloud Deployment Manager は Google Cloud リソースの自動化のみをサポートしています。
- E. Cloud Deployment Manager は会社のエンジニアになじみがありません。
- F. Cloud Deployment Manager を実行するには Google API サービス アカウントが必要です。
Correct Answer:B、D
Question 004
あなたは Google Cloud で会社のファイアウォール ポリシーを構成する責任があります。
セキュリティ チームにはファイアウォール ルールを構成するために満たす必要がある一連の厳格な要件があります。会社の IP アドレスからの Secure Shell (SSH) を常に許可します。他のすべての IP アドレスからの SSH アクセスを制限します。Google Cloud 組織には複数のプロジェクトと VPC があります。他の VPC ファイアウォール ルールがセキュリティ チームの要件をバイパスできないようにする必要があります。
何をするべきでしょうか?
- A. 組織ノードに階層型ファイアウォール ポリシーを構成し、企業 IP アドレスの TCP ポート 22 を優先度 0 で許可します。優先度 1 のすべての IP アドレスに対して TCP ポート 22 を拒否するように組織ノードに階層型ファイアウォール ポリシーを構成します。
- B. VPC ファイアウォール ルールを構成し、企業 IP アドレスの TCP ポート 22 を優先度 1 で許可します。優先度 0 のすべての IP アドレスに対して TCP ポート 22 を拒否するように VPC ファイアウォール ルールを構成します。
- C. 優先度 1 の企業 IP アドレスに対し、TCP ポート 22 を許可するように組織ノードに階層型ファイアウォール ポリシーを構成します。優先度 0 の すべての IP アドレスに対して TCP ポート 22 を拒否するように組織ノードに階層型ファイアウォール ポリシーを構成します。
- D. VPC ファイアウォール ルールを構成し、企業 IP アドレスの TCP ポート 22 を優先度 0 で許可します。優先度 1 のすべての IP アドレスに対して TCP ポート 22 を拒否するように VPC ファイアウォール ルールを構成します。
Correct Answer:A
Question 005
あなたは組織の Google Kubernetes Engine (GKE) クラスタを設計しています。
現在のクラスタ サイズはノードあたり 20 の Pod と 150 のサービスで 10 のノードをホストすると予想されます。今後 2 年間での新しいサービスの移行により、100 ノード、ノードあたり 200 Pod、および 1500 サー ビスの拡張が計画されています。アドレスの消費を最小限に抑えながら、エイリアス IP 範囲を持つ VPC ネイティブ クラスタを使用したい。
このトポロジをどのように設計する必要がありますか?
- A. gcloud container clusters create [CLUSTER NAME] を使用し、VPC ネイティブ クラスタを作成します。
- B. サイズ/25 のサブネットを 2 つのセカンダリ範囲 (Pod 用の /17 とサービス用の /21) で作成します。VPC ネイティブ クラスタを作成し、それらの 範囲を指定します。
- C. サイズ/28 のサブネットを 2 つのセカンダリ範囲 (Pod 用の /24 とサービス用の /24) で作成します。VPC ネイティブ クラスタを作成し、それらの 範囲を指定します。サービスをデプロイする準備ができたら、サブネットのサイズを変更します。
- D. gcloud container clusters create [CLUSTER NAME]–enable-ip-alias を使用し、VPC ネイティブ クラスタを作成します。
Correct Answer:C
Question 006
Google Kubernetes Engine (GKE) にデプロイされたアプリケーションに新しい Cloud Armor ポリシーを適用したいと考えています。
Cloud Armor ポリ シーに使用するターゲットを見つけたいと考えています。
どの GKE リソースを使用する必要がありますか?
- A. GKE ノード
- B. GKE ポッド
- C. GKE クラスタ
- D. GKE Ingress
Correct Answer:D
Cloud Armor はロードバランサに適用されます。Ingress を介して Google Cloud Armor を構成します。
セキュリティ ポリシーの機能 Google Cloud Armor セキュリティ ポリシーには次のコア機能があります。
オプ ションで Google を使用するロードバランサで QUIC プロトコルを使用できます。
プレミアム ティアまたはスタンダード ティアの 外部 HTTP(S) ロードバランサで使用できます。
GKE とデフォルトの Ingress コントローラでセキュリティ ポリシーを使用できます。
Reference:
– Ingress configuration on Google Cloud | Google Kubernetes Engine(GKE)
– Ingress 機能の構成 | Google Kubernetes Engine(GKE) | Google Cloud
Question 007
セキュリティ チームは GCP の本番仮想マシンへの外部 SSH アクセスを無効にしました。
運用チームは VM やその他のリソースをリモートで管理する必要があります。
彼らは何ができますか?
- A. 運用エンジニアがタスクを実行する必要がある場合にクラウド VM への一時的な SSH アクセスを許可する新しいアクセス要求プロセスを開発します。
- B. Google Cloud Shell を使用するためのアクセス権を運用チームに付与します。
- C. 開発チームに運用チームが特定のリモート プロシージャ コールを実行してタスクを達成できるようにする API サービスを構築してもらいます。
- D. GCP への VPN 接続を構成してクラウド VM への SSH アクセスを許可します。
Correct Answer:B
Google Cloud Shell を使用するためのアクセス権を運用チームに付与します。
B (正解) – オペレーション エンジニアに Google Cloud Shell を使用するためのアクセス権を付与します。
エンジニアが求めたのは SSH を使用するのと同じように VM にリモート アクセスすることだけだったので、マシンがまだ外部 IP アドレスを持ってい る場合、エンジニアは Google Cloud Shell を使用して SSH 経由でそれらにアクセスできます。
これは要件を満たすための簡単で効果的な方法です。他のすべての回答はニーズに見合うよりも多くのセットアップを必要とする可能性のあるオプ ションです。
Question 008
Google Cloud プロジェクト XYZ に Cloud Storage バケットがあります。
バケットには機密データが含まれています。プロジェクト XYZ の VPC に属するインスタンスのみが Cloud Storage バケットに保存されているデータにアクセスできるようにするソリューションを設計する必要があります。
何をするべきでしょうか?
- A. プロジェクト XYZ の下のすべての VPC から Cloud Storage にプライベートにアクセスするように限定公開のサービス コネクトを構成します。
- B. ロールに基づいてプロジェクト チームに権限を付与する projectPrivate Access Control List (ACL) を使用して Cloud Storage を構成します。
- C. プロジェクト XYZ の周囲に VPC Service Controls 境界を構成し、制限付きサービスとして storage.googleapis.com をサービス境界に含めます。
- D. プライベート IP アドレスを使用して Cloud Storage サービスに非公開でアクセスするように限定公開の Google アクセスを構成します。
Correct Answer:B
Question 009
Google への 10 Gbps ダイレクト ピアリング接続と gsutil ツールを使用し、オンプレミス サーバーから Cloud Storage バケットにファイルをアップ ロードしています。
オンプレミス サーバーは Google ピアリング ポイントから 100 ミリ秒離れています。アップロードが利用可能な 10 Gbps 帯域幅をすべて使用していないことに気付きました。接続の帯域幅使用率を最適化したいと考えています。
オンプレミス サーバーで何をすべきか?
- A. オンプレミス サーバーで TCP パラメーターを調整します。
- B. tar などのユーティリティを使用し、ファイルを圧縮し、送信されるデータのサイズを減らします。
- C. gsutil コマンドから -m フラグを削除し、シングルスレッド転送を有効にします。
- D. gsutil コマンドで perfdiag パラメータを使用し、より高速なパフォーマンスを有効にします: gsutil perfdiag gs://[BUCKET NAME]
Correct Answer:D
Reference:
– Google Cloud への移行: 大規模なデータセットの転送 | Cloud アーキテクチャ センター
Question 010
あなたの会社は顧客にソリューションを提供するためにパートナーと協力しています。
あなたの会社とパートナー組織の両方が GCP を使用しています。パートナーのネットワークには会社の VPC 内の一部のリソースにアクセスする必要があるアプリケーションがあります。VPC 間に CIDR の重複 はありません。
セキュリティを損なうことなく目的の結果を達成するために実装できるソリューションを選択してください。(回答は 2つ)
- A. VPC ピアリング
- B. 共有 VPC
- C. Cloud VPN
- D. Dedicated Interconnect
- E. Cloud NAT
Correct Answer:C、D
Reference:
– VPC ネットワーク | Google Cloud
Question 011
2 つのオブジェクトを含むストレージ バケットがあります。
バケットで Cloud CDN が有効になっており、両方のオブジェクトが正常にキャッシュされています。ここで 2 つのオブジェクトのうちの 1 つがキャッシュされなくなり、常にオリジンから直接インターネットに提供されるようにする必要があります。
何をするべきでしょうか?
- A. もうキャッシュしたくないオブジェクトがパブリックに共有されていないことを確認してください。
- B. 新しいストレージ バケットを作成し、チェックしたくないオブジェクトをその中に移動します。次に、バケット設定を編集し、プライベート属性を有効にします。
- C. 2 つのオブジェクトを含むストレージ バケットに適切なライフサイクル ルールを追加します。
- D. もうキャッシュしたくないオブジェクトのメタデータに値 private を持つ Cache-Control エントリを追加します。以前にキャッシュされたすべてのコピーを無効にします。
Correct Answer:A
Reference:
– キャッシュ | web.dev
Question 012
次のオブジェクトを含むストレージ バケットがあります。
– folder-a/image-a-1.jpg
– folder-a/image-a-2.jpg
– folder-b/image-b-1.jpg
– folder-b/image-b-2.jpg
ストレージ バケットで Cloud CDN が有効になっており、4 つのオブジェクトすべてが正常にキャッシュされています。最小数のコマンドを使用し、プレフィックス folder-a を持つすべてのオブジェクトのキャッシュされたコピーを削除したいと考えています。
何をするべきでしょうか?
- A. ストレージ バケットに適切なライフサイクル ルールを追加します。
- B. パターン /folder-a/* でキャッシュ無効化コマンドを発行します。
- C. プレフィックスが folder-a のすべてのオブジェクトがパブリックに共有されていないことを確認します。
- D. ストレージ バケットで Cloud CDN を無効にします。90 秒待ちます。ストレージ バケットで Cloud CDN を再度有効にします。
Correct Answer:B
Reference:
– ファイルの無効化 – Amazon CloudFront
Question 013
最近、アプリケーションを Google Cloud にデプロイしました。
オンプレミス ワークロードをデプロイする前に Google Cloud ネットワーク構成を確認 する必要があります。Google Cloud ネットワーク構成でクラウド リソースからオンプレミス ネットワークへのトラフィックの流れが許可されていることを確認したいと考えています。この検証ではデータプレーン テスト トラフィックを送信せずに Google Cloud ネットワーク構成の潜在的な障害 点も分析および診断する必要があります。
何をするべきでしょうか?
- A. VPC フロー ログを有効にし、テスト トラフィックを送信します。
- B. Network Intelligence Center のネットワーク トポロジ ビジュアライゼーションを使用します。
- C. Network Intelligence Center の接続テストを使用します。
- D. アプリケーションでパケット ミラーリングを有効にし、テスト トラフィックを送信します。
Correct Answer:B
Question 014
あなたの会社は Altostrat (現在の GCP の顧客) の買収を完了しました。
各企業は GCP に個別の組織を持ち、カスタム DNS ソリューションを実装しています。各組織は 1 年以内に完全な移行とアーキテクチャのレビューが完了するまで、現在のドメインとホスト名を保持します。これらは両方の GCP 環境の前提です。
– 各組織は共有 VPC を使用し、すべてのプロジェクト間の完全な接続を有効にしています。
– どちらの組織もインスタンスに 10.0.0.0/8 アドレス空間を厳密に使用しています。ただし、踏み台ホスト (インスタンスにアクセスするため) と Web トラフィックを処理するためのロードバランサは除きます。
– 2 つの組織間でプレフィックスの重複はありません。
– どちらの組織も 10.0.0.0/8 アドレス空間からのすべてのインバウンドおよびアウトバウンド トラフィックを許可するファイアウォール ルールを既に持っています。
– どちらの組織もオンプレミス環境への相互接続を持っていません。
両方の組織のネットワークと DNS インフラストラクチャをできるだけ迅速に、最小限のダウンタイムで統合したいと考えています。
どの 2 つの手順を実行する必要がありますか? (回答は 2つ)
- A. Cloud Interconnect をプロビジョニングし、両方の組織を接続します。
- B. 各組織で DNS 転送とゾーン転送のバリアントを設定します。
- C. Cloud VPN と Cloud Router を併用し、両方の組織の VPC を接続します。
- D. Cloud DNS を使用し、両方の組織のすべてのプロジェクトにわたってすべての VM とリソースの A レコードを作成します。
- E. 新しいホスト プロジェクトで 3 番目の組織を作成し、共有 VPC を使用して会社と Altostrat のすべてのプロジェクトをそれに接続します。
Correct Answer:B、C
Reference:
– Cloud DNS のベスト プラクティス | Google Cloud
Question 015
オンプレミスと GCP の間で Cloud VPN の使用を増やしており、1 つのトンネルで処理できるよりも多くのトラフィックをサポートしたいと考えています。
Cloud VPN を使用して利用可能な帯域幅を増やしたいと考えています。
何をするべきでしょうか?
- A. オンプレミス VPN ゲートウェイの MTU を 1460 バイトから 2920 バイトに倍増します。
- B. 同じ Cloud VPN ゲートウェイ上に同じ宛先 VPN ゲートウェイの IP アドレスを指す 2 つの VPN トンネルを作成します。
- C. 別のパブリック IP アドレスを持つ 2 つ目のオンプレミス VPN ゲートウェイを追加します。同じ IP 範囲を転送する新しいオンプレミス ゲート ウェイ IP を指す既存の Cloud VPN ゲートウェイに 2 つ目のトンネルを作成します。
- D. 既存の VPN ゲートウェイとは異なるリージョンに 2 つ目の Cloud VPN ゲートウェイを追加します。同じ IP 範囲を転送する既存のオンプレミス VPN ゲートウェイの IP アドレスを指す 2 番目の Cloud VPN ゲートウェイに新しいトンネルを作成します。
Correct Answer:C
Reference:
– Classic VPN トポロジ #冗長性とフェイルオーバーのオプション | Google Cloud
Question 016
プロジェクト my-project では Virtual Private Cloud (VPC) に 2 つのサブネットがあります。
サブネット a の IP 範囲は 10.128.0.0/20 でサブネット b の IP 範囲は 172.16.0.0/24 です。サブネット a にデータベース サーバーをデプロイする必要があります。また、アプリケーション サーバーと Web サー バーをサブネット b に展開します。アプリケーション サーバーからデータベース サーバーへのデータベース トラフィックのみを許可するファイア ウォール ルールを構成したいと考えています。
何をするべきでしょうか?
- A. ネットワーク タグ app-server とサービス アカウント sa-db@my-project.iam.gserviceaccount.com を作成します。タグをアプリケーション サーバー に追加し、サービス アカウントをデータベース サーバーに関連付けます。
次のコマンドを実行します。
gcloud compute firewall-rules create app-db-firewall-rule \ –action allow \ –direction ingress \ –rules top:3306 \ –source-tags app-server \ –target-service-accounts sa-db@my-project.iam.gserviceaccount.com - B. サービス アカウント sa-app@my-project.iam.gserviceaccount.com および sa-db@my-project.iam.gserviceaccount.com を作成します。サービス ア カウント sa-app をアプリケーション サーバーに関連付け、サービス アカウント sa-db をデータベース サーバーに関連付けます。
次のコマンドを実行 します。
gcloud compute firewall-rules create app-db-firewall-ru –allow TCP:3306 \ –source-service-accounts sa-app@democloud-idp-demo.iam.gserviceaccount.com \ –target-service-accounts sa-db@my-project.iam.gserviceaccount.com - C. サービス アカウント sa-app@my-project.iam.gserviceaccount.com と sa-db@my-project.iam.gserviceaccount.com を作成します。サービス アカウ ント sa-app をアプリケーション サーバーに関連付け、サービス アカウント sa-db をデータベース サーバーに関連付けます。
次のコマンドを実行します。
gcloud compute firewall-rules create app-db-firewall-ru –allow TCP:3306 \ –source-ranges 10.128.0.0/20 \ –source-service-accounts sa-app@my-project.iam.gserviceaccount.com \ –target-service-accounts sa-db@my-project.iam.gserviceaccount.com - D. ネットワーク タグ app-server および db-server を作成します。アプリケーション サーバーに app-server タグを追加し、データベース サーバーに db-server タグを追加します。
次のコマンドを実行します。
gcloud compute firewall-rules create app-db-firewall-rule \ –action allow \ –direction ingress \ –rules tcp:3306 \ –source-ranges 10.128.0.0/20 \ –source-tags app-server \ –target-tags db-server
Correct Answer:D
Question 017
Partner Interconnect を使用してオンプレミス ネットワークを VPC に接続したいと考えています。
すでに Interconnect パートナーを持っています。
最初にすべきことは何でしょうか?
- A. パートナーのポータルにログインし、そこで VLAN アタッチメントをリクエストします。
- B. Interconnect パートナーに Google への物理接続をプロビジョニングするよう依頼します。
- C. GCP Console で Partner Interconnect タイプの VLAN アタッチメントを作成し、ペアリング キーを取得します。
- D. gcloud compute interconnect attachments partner update <attachment> / — region <region> –admin-enabled を実行します。
Correct Answer:B
サービス プロバイダとの Partner Interconnect 接続をプロビジョニングするにはオンプレミス ネットワークに接続することから始めますサービス プロバイダーと協力して接続を確立します。
Reference:
– Partner Interconnect の概要 #プロビジョニング | Google Cloud
Question 018
IPv6 を使用して GCP でサービスを作成したいと考えています。
何をするべきでしょうか?
- A. 指定された IPv6 アドレスで TCP プロキシを構成します。
- B. 指定された IPv6 アドレスでグローバル ロードバランサを構成します。
- C. IPv6 アドレスを指定してインスタンスを作成します。
- D. 指定された IPv6 アドレスで内部ロードバランサを構成します。
Correct Answer:A
Question 019
あなたの会社には Cloud Interconnect 接続を使用してオンプレミスの場所からアクセスできる GCP にデプロイされた単一の Virtual Private Cloud (VPC) ネットワークがあります。
あなたの会社はパブリック インターネット経由で他の Google API やサービスにアクセスしながら Interconnect リンクを介して Cloud Storage にトラフィックを送信できる必要があります。
何をするべきでしょうか?
- A. 限定公開の Google アクセスを使用します。Cloud Storage には private.googleapis.com 仮想 IP アドレスを使用し、他のすべての Google API およ びサービスには limited.googleapis.com 仮想 IP アドレスを使用します。
- B. すべての Google API とサービスにデフォルトのパブリック ドメインを使用します。
- C. 限定公開の Google アクセスを使用し、Cloud Storage には limited.googleapis.com 仮想 IP アドレスを使用し、他のすべての Google API とサービス には private.googleapis.com を使用します。
- D. Private Service Connect を使用して Cloud Storage にアクセスし、他のすべての Google API とサービスにはデフォルトのパブリック ドメインを使用します。
Correct Answer:D
Question 020
Cloud Interconnect を使用してオンプレミス ネットワークを GCP VPC に接続したいと考えています。
ポイント オブ プレゼンス (POP) の場所の 1 つ で Google に会うことができず、オンプレミス ルーターは Border Gateway Protocol (BGP) 構成を実行できません。
どの接続モデルを使用する必要がありますか?
- A. ダイレクト ピアリング
- B. Dedicated Interconnect
- C. レイヤ 2 パートナーとの Partner Interconnect
- D. レイヤ 3 パートナーとの Partner Interconnect
Correct Answer:D
レイヤー 3 接続の場合、サービス プロバイダは Cloud Router と各 VLAN アタッチメントのエッジ ルーターの間に BGP セッションを確立します。オンプレミス ルーターで BGP を構成する必要はありません。Google とサービス プロバイダによって正しい構成が自動的に設定されます。
Reference:
– Partner Interconnect の概要 #レイヤ 2 とレイヤ 3 の接続 | Google Cloud
Question 021
プロジェクト内のすべてのインスタンスで個人の SSH キーが機能することを確認する必要があります。
これをできるだけ効率的に達成したいと考えています。
何をするべきでしょうか?
- A. 公開 ssh キーをプロジェクトのメタデータにアップロードします。
- B. 公開 ssh キーを各インスタンスのメタデータにアップロードします。
- C. 公開 ssh キーが埋め込まれたカスタム Google Compute Engine イメージを作成します。
- D. gcloud compute ssh を使用し、ssh 公開鍵をインスタンスに自動的にコピーします。
Correct Answer:A
Reference:
– アクセス方法を選択する | Compute Engine ドキュメント | Google Cloud
Question 022
あなたは GCP に移行している多国籍企業で働いています。
クラウドの要件は次のとおりです。
– 米国のオレゴン州とニューヨーク州にあるオンプレミス データセンターでクラウド リージョン us-west1 (プライマリ HQ) と us-east4 (バックアッ プ) に接続された専用相互接続を備えています。
– ヨーロッパとアジア太平洋地域の複数の地域オフィス
– ヨーロッパ-西1とオーストラリアでは地域データ処理が必要です。
– 集中ネットワーク管理チーム
セキュリティおよびコンプライアンス チームは URL フィルタリングの L7 インスペクションを実行するために仮想インライン セキュリティ アプラ イアンスを必要としています。
– us-west1 にアプライアンスをデプロイします。
何をするべきでしょうか?
- A.
- 共有 VPC サービス プロジェクトに 1 つの VPC を作成します。
- サービス プロジェクトのゾーン us-west1-a で 2 NIC インスタンスを構成します。
- サービス プロジェクトの us-west1 サブネットに NIC0 を接続します。
- サービス プロジェクトの us-west1 サブネットに NIC1 を接続し、インスタンスをデプロイします。
- インスタンスを介してトラフィックを渡すために必要なルートとファイアウォール ルールを構成します。
- B.
- 共有 VPC ホスト プロジェクトに 1 つの VPC を作成します。
- ホスト プロジェクトのゾーン us-west1-a で 2 NIC インスタンスを構成します。
- ホスト プロジェクトの us-west1 サブネットに NIC0 を接続します。
- ホスト プロジェクトの us-west1 サブネットに NIC1 を接続します。
- インスタンスをデプロイします。
- インスタンスを介してトラフィックを渡すために必要なルートとファイアウォール ルールを構成します。
- C.
- 共有 VPC ホスト プロジェクトに 2 つの VPC を作成します。
- サービス プロジェクトのゾーン us-west1-a で 2 NIC インスタンスを構成します。
- ホスト プロジェクトの VPC #1 us-west1 サブネットに NIC0 をアタッチします。
- ホスト プロジェクトの VPC #2 us-west1 サブネットに NIC1 をアタッチします。
- インスタンスをデプロイします。
- インスタンスを介してトラフィックを渡すために必要なルートとファイアウォール ルールを構成します。
- D.
- 共有 VPC ホスト プロジェクトに 2 つの VPC を作成します。
- ホスト プロジェクトのゾーン us-west1-a で 2 NIC インスタンスを構成します。
- ホスト プロジェクトの VPC #1 us-west1 サブネットに NIC0 をアタッチします。
- ホスト プロジェクトの VPC #2 us-west1 サブネットに NIC1 をアタッチします。
- インスタンスをデプロイします。
- インスタンスを介してトラフィックを渡すために必要なルートとファイアウォール ルールを構成します。
Correct Answer:D
Question 023
単一の Compute Engine ゾーンにインスタンスを手動で配置し、概念実証アプリケーションをデプロイしました。
アプリケーションを本番環境に移行しているため、アプリケーションの可用性を高め、自動スケーリングできるようにする必要があります。
インスタンスをどのようにプロビジョニングする必要がありますか?
- A. マネージド インスタンス グループを 1 つ作成し、目的のリージョンを指定して場所として [複数のゾーン] を選択します。
- B. リージョンごとにマネージド インスタンス グループを作成し、場所に [単一ゾーン] を選択してそのリージョン内のゾーン全体にインスタンスを手動で分散します。
- C. 単一のゾーンに非マネージド インスタンス グループを作成し、インスタンス グループの HTTP ロードバランサを作成します。
- D. ゾーンごとに非マネージド インスタンス グループを作成し、目的のゾーンにインスタンスを手動で分散します。
Correct Answer:B
Reference:
– MIG で VM 構成の更新を自動的に適用する | Compute Engine ドキュメント | Google Cloud
Question 024
オンプレミス ネットワークに接続するように Google Cloud 環境を構成しています。
構成はプライベート Cloud Interconnect ネットワークを介して Cloud Storage API と Google Kubernetes Engine ノードに到達できる必要があります。Interconnect VLAN アタッチメントを使用して Cloud Router を 構成済みです。次に Cloud Router で適切なルーター アドバタイズ構成を設定する必要があります。
何をするべきでしょうか?
- A. ルート アドバタイズメントをカスタム設定に設定し、手動でプレフィックス 199.36.153.8/30 をアドバタイズ リストに追加します。すべての可視サブネットを Cloud Router にアドバタイズします。
- B. ルート アドバタイズメントをカスタム設定に構成し、アドバタイズメントのリストにプレフィックス 199.36.153.8/30 を手動で追加します。他のすべてのオプションはデフォルト設定のままにします。
- C. オンプレミス ルーターで Cloud Router のリンクローカル IP アドレスを指すストレージ API 仮想 IP アドレスの静的ルートを構成します。
- D. ルート広告をデフォルト設定に設定します。
Correct Answer:B
Reference:
– オンプレミス ホストの限定公開の Google アクセスを構成する #VPC ネットワークのカスタム ルーティング | VPC | Google Cloud
– ネットワーキング | Cloud アーキテクチャ センター | Google Cloud
– 限定公開の Google アクセスの仕組みと手順をきっちり解説 – G-gen Tech Blog
Question 025
あなたは最近、組織の ID およびアクセス管理の管理を担当するようになりました。
複数のプロジェクトがあり、可能な限りスクリプトと自動化を使用したいと考えています。プロジェクト メンバーに編集者の役割を付与したいと考えています。
これを達成するために使用できる方法はどれですか? (回答は 2つ)
- A. GetIamPolicy() via REST API
- B. setIamPolicy() via REST API
- C. gcloud pubsub add-iam-policy-binding Sprojectname –member user:Susername –role roles/editor
- D. gcloud projects add-iam-policy-binding Sprojectname –member user:Susername –role roles/editor
- E. [メンバーの追加] フィールドにメール アドレスを入力し、GCP コンソールのドロップダウン メニューから目的のロールを選択します。
Correct Answer:C、E
Reference:
– プロジェクト、フォルダ、組織へのアクセス権の管理 | IAM のドキュメント | Google Cloud
Question 026
Google Compute Engine 上のデータベース仮想マシンにはデータ ファイル用の ext4 形式の永続ディスクがあります。
データベースのストレージ容量 が不足しています。
どうすれば最小限のダウンタイムで問題を解決できますか?
- A. Cloud Platform Console で永続ディスクのサイズを増やし、Linux で resize2fs コマンドを使用します。
- B. 仮想マシンをシャットダウンし、Cloud Platform Console を使用して永続ディスクのサイズを増やしてから仮想マシンを再起動します。
- C. Cloud Platform Console で永続ディスクのサイズを増やし、Linux の fdisk コマンドで新しいスペースを使用する準備ができていることを確認します。
- D. Cloud Platform Console で仮想マシンにアタッチされた新しい永続ディスクを作成し、それをフォーマットしてマウントし、ファイルを新しいディスクに移動するようにデータベース サービスを構成します。
- E. Cloud Platform Console で永続ディスクのスナップショットを作成し、そのスナップショットを新しい大きなディスクに復元し、古いディスクをアンマウントし、新しいディスクをマウントしてデータベース サービスを再起動します。
Correct Answer:A
A (正解) – Cloud Platform Console で永続ディスクのサイズを増やし、Linux で resize2fs コマンドを使用します。
手順は次のとおりです。
Cloud Platform コンソールで永続ディスクのサイズを増やします。コンソールでサイズの増加を示した後、新しいサイズを有 効にするには VM を再起動するか、VM のオペレーティング システム (Windows または Linux) で構成するかの 2 つのオプションがあります。
Question 027
あなたのソフトウェア チームは RFC 1918 アドレス空間を使用して GCP の Compute Engine インスタンスに直接接続する必要があるオンプレミス Web アプリケーションを開発しています。次の仕様を考慮してオンプレミス環境から GCP への接続ソリューションを選択したいと考えています。
– ご利用の ISP は Google Partner Interconnect プロバイダです。
– オンプレミス VPN デバイスのインターネット アップリンクとダウンリンクの速度は 10 Gbps です。
– オンプレミス ゲートウェイと GCP 間のテスト VPN 接続は最大速度 パケット損失のため 500 Mbps。
– ほとんどのデータ転送は GCP からオンプレミス環境に行われます。
– アプリケーションはインターコネクトを介したピーク転送時に最大 1.5 Gbps までバーストできます。
– ソリューションのコストと複雑さは最小限に抑える必要があります。
接続ソリューションをどのようにプロビジョニングする必要がありますか?
- A. パケット損失を考慮して複数の VPN トンネルを作成し、ECMP を使用して帯域幅を増やします。
- B. ISP を介して Partner Interconnect をプロビジョニングします。
- C. VPN の代わりに Dedicated Interconnect をプロビジョニングします。
- D. VPN 経由でネットワーク圧縮を使用し、VPN 経由で送信できるデータの量を増やします。
Correct Answer:
Question 028
あなたは米国最大のデジタル メディア企業の 1 つで働いています。
会社の経営陣は 90 TB のバックアップとアーカイブ データを Google Cloud に移行することを決定しました。彼らは Google Cloud での障害復旧用に費用対効果の高い長期的なアーカイブ ストレージを探しています。
適切なソ リューションを選択してください。
- A. Storage Transfer と Nearline ストレージ
- B. Transfer Appliance と Coldline ストレージ
- C. gsutil とクラウド ストレージ
- D. Transfer Appliance と Nearline ストレージ
Correct Answer:B
B が正しい選択です。Transfer Appliance は大量のデータを移動するための最良の選択肢であり、長期的な費用対効果の高い災害復旧ソリューションを探しているため、coldline が最良の選択肢です。
A は不正解です。オンライン データを Cloud Storage にインポートするために Storage Transfer が使用されます。オンライン データ ソースは Amazon Simple Storage Service (Amazon S3) バケット、HTTP/HTTPS ロケーション、または Cloud Storage バケットに することができます。
C は不正解です。gsutil は大量のデータ転送には推奨されません。帯域幅によってはデータ転送に非常に長い時間が かかります。
D は不正解です。なぜなら Coldline は災害復旧用のより費用対効果の高いアーカイブ ストレージだからです。
Question 029
Cloud Interconnect VLAN アタッチメントを作成、変更、削除するにはネットワーク運用チームの各メンバーに最小限の権限を付与する必要があります。
何をするべきでしょうか?
- A. 各ユーザーに編集者の役割を割り当てます。
- B. 各ユーザーに compute.networkAdmin ロールを割り当てます。
- C. 各ユーザーに次のアクセス許可のみを付与します。
compute.interconnectAttachments.create, compute.interconnectAttachments.get - D. 各ユーザーに次のアクセス許可のみを付与します。
compute.interconnectAttachments.create, compute.interconnectAttachments.get, compute.routers.create, compute.routers.get, compute.routers.update
Correct Answer:D
Reference:
– VLAN アタッチメントを作成する | Cloud Interconnect | Google Cloud
Question 030
オンプレミス データセンターには各ルーターの VPN を介して GCP 環境に接続された 2 つのルーターがあります。
すべてのアプリケーションは正常に動作しています。ただし、必要に応じて 2 つの接続間で負荷分散されるのではなく、すべてのトラフィックが単一の VPN を通過します。トラブルシューティング中に次のことがわかります。
– 各オンプレミス ルーターは一意の ASN で構成されます。
– 各オンプレミス ルーターは同じルートと優先順位で構成されます。
– 両方のオンプレミス ルーターは単一の Cloud Router に接続された VPN で構成されています。
– BGP セッションはオンプレミス ルーターと Cloud Router の両方の間で確立されます。
– オンプレミス ルーターのルートの 1 つだけがルーティング テーブルに追加されます。
この問題の最も可能性の高い原因は何でしょうか?
- A. オンプレミス ルーターで使用されている ASN が異なります。
- B. オンプレミス ルーターは同じルートで構成されます。
- C. ファイアウォールが 2 番目の VPN 接続を通過するトラフィックをブロックしています。
- D. ネットワーク トラフィックを負荷分散するためのロードバランサがありません。
Correct Answer:A
Question 031
us-central1 リージョンで現在ホストされている Web アプリケーションがあります。
ユーザーはアジアを旅行するときに高い遅延を経験します。ネッ トワーク ロードバランサを構成しましたが、ユーザーはパフォーマンスの向上を経験していません。レイテンシーを減らしたい。
何をするべきでしょうか?
- A. ポリシー ベースのルート ルールを構成し、トラフィックに優先順位を付けます。
- B. HTTP ロードバランサを構成し、トラフィックをそこに転送します。
- C. アプリケーションをホストするサブネットの動的ルーティングを構成します。
- D. DNS ゾーンの TTL を構成し、更新間の時間を短縮します。
Correct Answer:B
Reference:
– ロード バランシングによるアプリケーション レイテンシの最適化 | 負荷分散 | Google Cloud
Question 032
あなたの会社は最近、EMEA ベースの業務を APAC に拡大しました。
グローバルに分散したユーザーは SMTP および IMAP サービスが遅いと報告して います。あなたの会社はエンドツーエンドの暗号化を必要としていますが SSL 証明書にアクセスできません。
どの Google Cloud ロードバランサを使用する必要がありますか?
- A. HTTPS ロードバランサ
- B. ネットワーク ロードバランサ
- C. SSL プロキシ ロードバランサ
- D. TCP プロキシ ロードバランサ
Correct Answer:C
Question 033
キャッシュ可能なコンテンツの送信元として HTTP(S) 負荷分散を使用して Cloud CDN を構成しました。
Web サーバーで圧縮が構成されています が Cloud CDN によって提供されるレスポンスは圧縮されていません。
問題の最も可能性の高い原因は何でしょうか?
- A. Cloud CDN で圧縮を構成していません。
- B. Web サーバーと Cloud CDN を異なる圧縮タイプで構成しました。
- C. ロードバランサの背後にある Web サーバーは、異なる圧縮タイプで構成されています。
- D. リクエストに Via ヘッダーがある場合でも、レスポンスを圧縮するように Web サーバーを構成する必要があります。
Correct Answer:D
Cloud CDN によって提供されるレスポンスが圧縮されていないのに圧縮されるべきである場合はインスタンスで実行されている Web サーバー ソフ トウェアがレスポンスを圧縮するように構成されていることを確認してください。デフォルトでは一部の Web サーバー ソフトウェアは Via ヘッ ダーを含む要求の圧縮を自動的に無効にします。Via ヘッダーの存在はリクエストがプロキシによって転送されたことを示します。HTTP(S) ロード バ ランシングなどの HTTP プロキシは HTTP 仕様の要求に従って各リクエストに Via ヘッダーを追加します。
圧縮を有効にするには Web サーバーの既定の構成をオーバーライドし、要求に Via ヘッダーが含まれていても応答を圧縮するように指示する必要 がある場合があります。
Reference:
– Cloud CDN のトラブルシューティング | Google Cloud
Question 034
サードパーティの次世代ファイアウォールを使用してトラフィックを検査しています。
下り (外向き) トラフィックをファイアウォールにルーティングする ために 0.0.0.0/0 のカスタム ルートを作成しました。トラフィックをファイアウォール経由で送信せずに、パブリック IP アドレスを持たない VPC インスタンスが BigQuery API と Cloud Pub/Sub API にアクセスできるようにしたいと考えています。
どのアクションを実行する必要がありますか? (回答は 2つ)
- A. デフォルトのインターネット ゲートウェイ経由で Google API とサービスの外部 IP アドレスにトラフィックを送信するカスタム静的ルートのセッ トを作成します。
- B. サブネット レベルで限定公開の Google アクセスをオンにします。
- C. カスタムの静的ルートのセットを作成し、デフォルトのインターネット ゲートウェイ経由で Google API とサービスの内部 IP アドレスにトラ フィックを送信します。
- D. VPC レベルで限定公開の Google アクセスを有効にします。
- E. VPC レベルで限定公開のサービス アクセスを有効にします。
Correct Answer:C、E
Question 035
あなたの会社のセキュリティ チームは可能な限りマネージド サービスを使用する傾向があります。
運用上のオーバーヘッドを増やすことなく、構成 されたファイアウォール ルールに対して発生した拒否ヒットの数を表示するダッシュボードを構築する必要があります。
何をするべきでしょうか?
- A. ファイアウォール ルールのログを構成します。Cloud Logging でログを表示し、Cloud Monitoring でカスタム ダッシュボードを作成してヒット数を 表示します。
- B. ファイアウォール ルールのログ記録を構成します。Firewall Insights を使用し、ヒット数を表示します。
- C. Google Cloud Marketplace からファイアウォール アプライアンスを構成します。このアプライアンスを介してすべてのトラフィックをルーティングし、このレイヤーでファイアウォール ルールを適用します。ファイアウォール アプライアンスを使用してヒット数を表示します。
- D. VPC でパケット ミラーリングを構成します。拒否されたファイアウォール ルールの IP アドレス リストでフィルタを適用します。侵入検知システム (IDS) アプライアンスをレシーバーとして構成し、ヒット数を表示します。
Correct Answer:B
Question 036
あなたの会社は、人気のあるゲーム サービスを提供しています。
インスタンスはプライベート IP アドレスでデプロイされ、グローバル ロード バラン サーを介して外部アクセスが許可されます。あなたは最近、トラフィック スクラビング サービスを利用しており、オリジンをトラフィック スクラビング (浄化)) サービスからの接続のみを許可するように制限したいと考えています。
何をするべきでしょうか?
- A. トラフィック スクラビング サービスを除くすべてのトラフィックをブロックする Cloud Armor セキュリティ ポリシーを作成します。
- B. トラフィック スクラビング サービスを除くすべてのトラフィックをブロックする VPC ファイアウォール ルールを作成します。
- C. トラフィック スクラビング サービスを除くすべてのトラフィックをブロックする VPC Service Control Perimeter を作成します。
- D. トラフィック スクラビング サービスを除くすべてのトラフィックをブロックする IP Tables ファイアウォール ルールを作成します。
Correct Answer:A
グローバル ロードバランサが接続をプロキシします。したがって、セッションの発信元 IP の痕跡はありません。Cloud Armor を使用してサービスを調整する必要があります。
Reference:
– 外部アプリケーション ロードバランサの概要 | 負荷分散 | Google Cloud
Question 037
サービス アカウントを使用して認証する作業自動化にステップを追加しています。
Cloud Storage バケットからファイルを取得する機能を自動化する 必要があります。組織では可能な限り最小限の特権を使用する必要があります。
何をするべきでしょうか?
- A. compute.instanceAdmin をユーザー アカウントに付与します。
- B. iam.serviceAccountUser をユーザー アカウントに付与します。
- C. Cloud Storage バケットのサービス アカウントに読み取り専用権限を付与します。
- D. Cloud Storage バケットのサービス アカウントに cloud-platformprivilege を付与します。
Correct Answer:B
Reference:
– Compute Engine IAM のロールと権限 | Compute Engine ドキュメント | Google Cloud
Question 038
Cloud DNS マネージド ゾーンの 1 つで DNSSEC を無効にしています。
ゾーン ファイルから DS レコードを削除し、それらがキャッシュから期限切れになるのを待ち、ゾーンの DNSSEC を無効にしました。DNSSEC 検証解決がゾーン内の名前を解決できないというレポートを受け取ります。
何をするべきでしょうか?
- A. ゾーンの TTL を更新します。
- B. ゾーンを TRANSFER 状態に設定します。
- C. ドメイン レジストラで DNSSEC を無効にします。
- D. ドメインの所有権を新しいレジストラに譲渡します。
Correct Answer:C
使用するマネージド ゾーンの DNSSEC を無効にする前にドメイン レジストラーで DNSSEC を無効にして DNSSEC 検証リゾルバーが引き続き ゾーン内の名前を解決できるようにする必要があります。
Question 039
データの流出を防ぐために境界内に 2 つの Google Cloud プロジェクトがあります。
3 番目のプロジェクトを境界内に移動する必要があります。ただし、この移動は既存の環境に悪影響を及ぼす可能性があります。変更の影響を検証する必要があります。
何をするべきでしょうか?
- A. 境界内の Resource Manager 監査ログを監視します。
- B. 3 番目のプロジェクト内で VPC フロー ログを有効にし、ログに悪影響がないか監視します。
- C. 3 番目のプロジェクト内でファイアウォール ルールのログ記録を有効にします。
- D. 既存の VPC Service Controls ポリシーを変更し、ドライラン モードの新しいプロジェクトを含めます。
Correct Answer:D
Question 040
会社のオンプレミス ネットワークは Cloud VPN トンネルを使用して VPC に接続されています。
VPC で定義されたネクスト ホップとして VPN トン ネルを持つ 0.0.0.0/0 の静的ルートがあります。現在、すべてのインターネット バウンド トラフィックはオンプレミス ネットワークを通過します。1 つ のリージョン内の Compute Engine インスタンスのプライマリ IP アドレスを変換するように Cloud NAT を構成しました。これらのインスタンスからのトラフィックはオンプレミス ネットワークからではなく、VPC から直接インターネットに到達するようになります。仮想マシン (VM) からのトラフィックが期待どおりにアドレスを変換していません。
何をするべきでしょうか?
- A. 外部 NAT IP アドレスの出入りを許可し、Compute Engine インスタンスにあるターゲット タグを持ち、VPN ゲートウェイへのデフォルト ルートの 優先値よりも高い優先値を持つファイアウォール ルールを追加します。
- B. デフォルトのインターネット ゲートウェイをネクスト ホップとして使用し、Compute Engine インスタンスに関連付けられたネットワーク タグを 使用し、デフォルトの静的ルートを VPC に追加し、VPN トンネルへのデフォルト ルートの優先度よりも高い優先度を追加します。
- C. NAT ゲートウェイの TCP 確立接続アイドル タイムアウトを下げます。
- D. Cloud NAT ゲートウェイのデフォルトの min-ports-per-vm 設定を増やします。
Correct Answer:C
Question 041
あなたの会社は写真を Google Cloud Storage バケットにアップロードするモバイル アプリケーションを立ち上げました。
アプリケーションは写真を Google Cloud Storage バケットに正常にアップロードしていましたが、最近アプリケーションの人気が高まり、429 エラーが表示されるようになりました。
何をするべきでしょうか? (回答は 2つ)
- A. クライアントのリクエストを抑制します。
- B. 切り捨て指数バックオフを使用します。
- C. OAuth アクセス トークンの有効期限が切れており、更新する必要があります。
- D. /upload または /download URL で正しい動詞を使用します。
Correct Answer:A、B
429 エラーは要求が多すぎるために発生するため、A と B が正しい選択です。アプリケーションが制限を超えて使用しようとすると、追加の要求は失敗します。クライアントのリクエストを抑制し、切り捨てられた指数バックオフを使用します。
C は不正解です。OAuth アクセス トークンの有効期限が切れると 401(無許可) エラーが発生するためです。
D は不正解です。/upload または /download の URL で間違った動詞を使用すると 405 (メソッドは許可されていないエラー)
Question 042
HTTP(s) ロードバランサをデプロイしましたが Compute Engine 仮想マシン インスタンスのポート 80 へのヘルス チェックが失敗し、インスタンスに トラフィックが送信されません。問題を解決したいと考えています。
どのコマンドを実行する必要がありますか?
- A. gcloud compute health-checks update http health-check –unhealthy-threshold 10
- B. gcloud compute instances add-access-config instance-1
- C. gcloud compute firewall-rules create allow-lb –network load-balancer –allow tcp –destination-ranges 130.211.0.0/22,35.191.0.0/16 –direction egress
- D. gcloud compute firewall-rules create allow-lb –network load-balancer –allow tcp –source-ranges 130.211.0.0/22,35.191.0.0/16 –direction ingress
Correct Answer:B
Question 043
次のプライベート Google Kubernetes Engine (GKE) クラスタのデプロイがあります。
gcloud container cluster describe customer-1-cluster --zone us-centrall-c
clusterIpv4Cidr; 192.168.36.0/24
endpoint: 192.168.38.2
ipAllocationPolicy:
clusterIpv4Cidr: 192.168.36.0/24
clusterIpv4CidrBlock: 192.168.36.0/24
clusterSecondaryRangeName: customer-1-pods
servicesIpCidr: 192.168.37.0/24
servicesSecondaryBlock:192.168.370/24
servicesSecondaryRangeName: customer-1-svc
useIpAliases: ture
masterAuthorizedNetworksConfig:
privareClusterConfig:
enablePrivateEndpoint: ture
enablePrivateNode: ture
masterIpv4CidrBlock: 192.168.38.0/28
privateEndpoint: 192.168.38.2
publicEndpoint: 35.224.37.17
servicesIpv4Cidr: 192.162.37.0/24
subnetwork: customer-1-nodes
zone: us-centrall-c
servicesIpv4Cidr: 192.162.37.0/24
内部 IP アドレス 192.168.40 2/24 と外部 IP アドレスが割り当てられていないサブネットワーク kubernetes-management の同じ VPC にデプロイされ た仮想マシン (VM) があります。kubectl を使用してクラスタ マスターと通信する必要があります。
何をするべきでしょうか?
- A. ネットワーク 192.168.38.0/28 を masterAuthorizedNetworksConfig に追加します。Endpoint 192.168.38.2 と通信するように kubectl を構成し ます。
- B. ネットワーク 192.168.40.0/24 を masterAuthorizedNetworksConfig に追加します。Endpoint 192.168.38.2 と通信するように kubectl を構成し ます。
- C. 外部 IP アドレスを VM に追加し、この IP アドレスを masterAuthorizedNetworksConfig に追加します。Endpoint 35.224.37.17 と通信するように kubectl を構成します。
- D. ネットワーク 192.168.36.0/24 を masterAuthorizedNetworksConfig に追加します。Endpoint 192.168.38.2 と通信するように kubectl を構成します。
Correct Answer:B
Question 044
ネットワーク管理者権限のみが割り当てられている共有 VPC でファイアウォール ルールを更新しようとしています。
ファイアウォール ルールは変更 できません。組織では必要最小限の特権を使用する必要があります。
どのレベルのアクセス許可を要求する必要がありますか?
A. 共有 VPC 管理者からのセキュリティ管理者権限。
B. 共有 VPC 管理者からのサービス プロジェクト管理者権限。
C. 組織管理者からの共有 VPC 管理者権限。
D. 組織管理者からの組織管理者権限。
Correct Answer:A
Question 045
あなたの組織にはデフォルトの VPC 構成を使用する us-east1、us-west4、europe-west4 のサブネットを持つ Google Cloud Virtual Private Cloud (VPC) があります。
ヨーロッパの支社の従業員は HA VPN を使用して VPC 内のリソースにアクセスする必要があります。europe-west4 にデプロイさ れた Cloud Router を使用し、組織の Google Cloud VPC に関連付けられた HA VPN を構成しました。ブランチ オフィスのユーザーが VPC 内のすべ てのリソースにすばやく簡単にアクセスできるようにする必要があります。
何をするべきでしょうか?
- A. サブネットごとにカスタムのアドバタイズ ルートを作成します。
- B. アドバタイズされたルートを Cloud Router のグローバルに設定します。
- C. Cloud VPN を使用してブランチ オフィスに接続するように各サブネットの VPN 接続を構成します。
- D. VPC 動的ルーティング モードをグローバルに構成します。
Correct Answer:D
Question 046
Virtual Private Cloud (VPC) 内の一部のサブネットで使用するには限定公開の Google アクセスを有効にする必要があります。
セキュリティ チーム は VPC をセットアップし、インターネットに向かうすべてのトラフィックをオンプレミスのデータ センターに送り返し、インターネットに出て行く前に検査を行います。また、API レベルのセキュリティ制御のために環境に VPC Service Controls を実装しています。限定公開の Google アクセスの サブネットは既に有効になっています。
セキュリティ チームの要件を遵守しながら限定公開の Google アクセスを有効にするには、どのような構成変更を行う必要がありますか?
- A.
- *.googleapis.com の CNAME レコードを使って private.googleapis.com にプライベート DNS ゾーンを作成し、A レコードを Google のプライベート AP アドレス範囲に描画します。
- デフォルト ルート (0/0) をネクスト ホップとしてデフォルト インターネット ゲートウェイにポイントするカスタム ルートを変更します。
- B.
- Google の制限された API アドレス範囲を指す A レコードを使用し、*.googleapis.com から limited.googleapis.com への CNAME レコードを持つ プライベート DNS ゾーンを作成します。
- デフォルト ルート (0/0) をネクスト ホップとしてデフォルト インターネット ゲートウェイにポイントするカスタム ルートを変更します。
- C.
- Google の制限付き API アドレス範囲を指す A レコードを使用し、*.googleapis.com から limited.googleapis.com への CNAME レコードを持つプ ライベート DNS ゾーンを作成します。
- Google の制限付き API アドレス範囲をネクスト ホップとしてデフォルトのインターネット ゲートウェイにポイントするカスタム ルートを作成します。
- D.
- *.googleapis.com から private.googleapis.com への CNAME レコードを使用してプライベート DNS ゾーンを作成し、A レコードが Google のプライ ベート API アドレス範囲を指すようにします。
- Google のプライベート API アドレス範囲をネクスト ホップとしてデフォルトのインターネット ゲートウェイにポイントするカスタム ルートを作成します。
Correct Answer:A
Question 047
開発チーム用に新しい VPC を作成しました。
この VPC 内のリソースへのアクセスを SSH のみで許可したいと考えています。
ファイアウォール ルールをどのように構成する必要がありますか?
- A. 優先度 1000 でポート 3389 を許可する単一のファイアウォール ルールを作成します。
- B. 2 つのファイアウォール ルールを作成します。1 つは優先度 65536 ですべてのトラフィックをブロックし、もう 1 つは優先度 1000 でポート 3389 を許可します。
- C. 優先度 1000 でポート 22 を許可する単一のファイアウォール ルールを作成します。
- D. 2 つのファイアウォール ルールを作成します。1 つは優先度 0 ですべてのトラフィックをブロックし、もう 1 つは優先度 1000 でポート 22 を許可し ます。
Correct Answer:C
Reference:
– How to Configure Firewall Rules in Google Cloud Platform(GCP)
Question 048
マネージド インスタンス グループで実行されているアプリケーションがあります。
あなたの開発チームはあまりテストされていない新機能を含む更新されたインスタンス テンプレートをリリースしました。新しいテンプレートにバグがあった場合、ユーザーへの影響を最小限に抑える必要があります。
インスタンスをどのように更新する必要がありますか?
- A. 一部のインスタンスに手動でパッチを適用し、インスタンス グループでローリング再起動を実行します。
- B. 新しいインスタンス グループをデプロイし、そのグループで更新されたテンプレートをカナリアします。新しい Canary インスタンス グループで新しい機能を確認し、元のインスタンス グループを更新します。
- C. ローリング更新を開始し、インスタンスが新しいテンプレートを受け取るターゲット サイズを指定し、カナリア更新を実行します。Canary インス タンスで新しい機能を確認してから残りのインスタンスにロールフォワードします。
- D. 新しいインスタンス テンプレートを使用し、インスタンス グループ内のすべてのインスタンスに対してローリング アップデートを実行します。ロールアウトが完了したら新しい機能を確認します。
Correct Answer:B
Question 049
Virtual Private Cloud (VPC) 内の仮想マシン (VM) インスタンスが Google API にアクセスできるように限定公開の Google アクセスを有効にする必 要があります。
すべての VM インスタンスにはプライベート IP アドレスしかなく、Cloud Storage にアクセスする必要があります。既存の Cloud Interconnect 接続を介したトラフィック スクラビングのために、すべての VM トラフィックがオンプレミス データセンターにルーティングされるようにする必要があります。ただし、Google API への VM トラフィックは VPC に残す必要があります。
何をするべきでしょうか?
- A.
- デフォルトの VPC ルートよりも低い優先度 (MED) で Border Gateway Protocol (BGP) 経由で 0.0.0.0/0 をアドバタイズするようにオンプレミス ルーターを構成します。
- googleapis.com のプライベート Cloud DNS ゾーンを作成し、* googieapis.com の CNAME を作成して googleapis com をプライベートにし、199 .36.153.8/30 のアドレスに解決される private.googleapis.com の A レコードを作成します。
- 範囲 199.36 の VPC に静的ルートを作成します。ネクスト ホップとしてデフォルトのインターネット ゲートウェイを使用する 153.8/30
- B.
- VPC のデフォルト ルートを削除し、Border Gateway Protocol (BGP) 経由で 0.0.0.0/0 をアドバタイズするようにオンプレミス ルーターを構成しま す。
- *.google.com からプライベート googleapis com への CNAME を持つパブリック クラウド DNS ゾーンを作成し、* googleapis.com からプライベート googleapis com への CNAME を作成し、199.36 のアドレスに解決されるプライベート googleapis.com の A レコードを作成します .153.8/30
- デフォルトのインターネットゲートウェイをネクストホップとして、範囲 199 .36.153.8/30 の VPC に静的ルートを作成します。
- C.
- VPC のデフォルト ルートを削除します。
googleapis.com のプライベート Cloud DNS ゾーンを作成し、*.googleapis.com の CNAME を制限された googleapis.com に作成し、199.36.153.4/30 の アドレスに解決される制限された googleapis com の A レコードを作成します。 - デフォルトのインターネットゲートウェイをネクストホップとして、範囲 199.36.153.4/30 の VPC に静的ルートを作成します。
- VPC のデフォルト ルートを削除します。
- D.
- VPC のデフォルト ルートを削除し、Border Gateway Protocol (BGP) 経由で 0.0.0.0/0 をアドバタイズするようにオンプレミス ルーターを構成します。
- googleapis.com のプライベート Cloud DNS ゾーンを作成し、* googieapis.com の CNAME をプライベート googleapis.com に作成し、199.36.153.8/30 のアドレスに解決される private.googleapis.com の A レコードを作成します。
- デフォルトのインターネットゲートウェイをネクストホップとして、範囲 199.36.153.8/30 の VPC に静的ルートを作成します。
Correct Answer:A
Question 050
サービス アカウントを使用して認証する作業自動化にステップを追加しています。
Cloud Storage バケットからファイルを取得する機能を自動化する必要があります。組織では可能な限り最小限の特権を使用する必要があります。
何をするべきでしょうか?
- A. compute.instanceAdmin をユーザー アカウントに付与します。
- B. iam.serviceAccountUser をユーザー アカウントに付与します。
- C. Cloud Storage バケットのサービス アカウントに読み取り専用権限を付与します。
- D. Cloud Storage バケットのサービス アカウントに cloud-platform 権限を付与します。
Correct Answer:B
Reference:
– Compute Engine IAM のロールと権限 | Compute Engine ドキュメント | Google Cloud
Question 051
あなたの会社はオンプレミス データ センターで重要なアプリケーションを実行するためのネットワーク容量を使い果たしています。
アプリケーションを GCP に移行したいと考えています。また、セキュリティ チームが Compute Engine インスタンスとの間のトラフィックを監視する能力を失わないようにする必要もあります。
ソリューションに組み込む必要があるプロダクトはどれですか? (回答は 2つ)
- A. VPC フロー ログ
- B. ファイアウォール ログ
- C. Cloud 監査ログ
- D. Stackdriver トレース
- E. Compute Engine インスタンスのシステム ログ
Correct Answer:A、B
A: VPC フロー ログの使用 VPC フロー ログは GKE ノードとして使用されるインスタンスを含む、VM インスタンスとの間で送受信されるネットワー ク フローのサンプルを記録します。これらのログは ネットワークの監視、フォレンジック、リアルタイムのセキュリティ分析、費用の最適化に 使用できます。
B: ファイアウォール ルール ロギングの概要 ファイアウォール ルール ロギングを使 用すると、ファイアウォール ルールの影響を監査、検証、分析できます。たとえば、トラフィックを拒否するように設計されたファイアウォール ルールが意図したとおりに機能しているかどうかを判断できます。ファイアウォール ルール ロギングは、特定のファイアウォール ルールによって影響 を受ける接続の数を特定する必要がある場合にも役立ちます。接続をログに記録する必要があるファイアウォール ルールごとにファイアウォール ルール ロギングを個別に有効にします。ファイアウォール ルール ロギングはすべてのファイアウォール ルールのオプションです。ルールのアクション (許可または拒否) または方向 (イングレスまたはイーグレス) に関係なく
Reference:
– VPC フローログを使用する | Google Cloud
– ファイアウォール ルールのロギング | VPC | Google Cloud
Question 052
マネージド インスタンス グループで実行されているアプリケーションがあります。
あなたの開発チームはあまりテストされていない新機能を含む更新されたインスタンス テンプレートをリリースしました。新しいテンプレートにバグがあった場合、ユーザーへの影響を最小限に抑える必要があります。
インスタンスをどのように更新する必要がありますか?
- A. 一部のインスタンスに手動でパッチを適用してから、インスタンス グループでローリング再起動を実行します。B. 新しいインスタンス テンプレートを使用し、インスタンス グループ内のすべてのインスタンスに対してローリング アップデートを実行します。ロールアウトが完了したら、新しい機能を確認します。
- C. 新しいインスタンス グループをデプロイし、そのグループで更新されたテンプレートをカナリアします。
- 新しい Canary インスタンス グループで新しい機能を確認してから、元のインスタンス グループを更新します。
- D. ローリング更新を開始し、インスタンスが新しいテンプレートを受け取るターゲット サイズを指定し、カナリア更新を実行します。Canary インスタンスで新しい機能を確認してから、残りのインスタンスにロールフォワードします。
Correct Answer:C
Reference:
マネージド インスタンス グループ(MIG)を作成するための基本的なシナリオ | Compute Engine ドキュメント | Google Cloud
Question 053
あなたの会社は最近、オンプレミス データセンターと Google Cloud Virtual Private Cloud (VPC) の間に Cloud VPN トンネルを設置しました。
オンプレ ミス サーバーの Cloud Functions API へのアクセスを構成する必要があります。構成は次の要件を満たす必要があります。特定のデータはそれが保存されているプロジェクトにとどまる必要があり、他のプロジェクトに持ち出されないようにする必要があります。RFC 1918 アドレスを持つデータセンター内のサーバーからのトラフィックはインターネットを使用して Google Cloud API にアクセスしません。すべての DNS 解決はオンプレミスで行う必要があります。ソリューションは VPC Service Controls と互換性のある API へのアクセスのみを提供する必要があります。
何をするべきでしょうか?
- A.
- 199.36.153.4/30 のアドレス範囲を使用し、restricted.googleapis.com の A レコードを作成します。
- A レコードを指す *.googleapis.com の CNAME レコードを作成します。
- A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミス ルーターを構成します。オンプレミスのファイアウォールを構成し、restricted.googleapis.com アドレスへのトラフィックを許可します。
- B.
- 199.36.153.8/30 のアドレス範囲を使用し、private.googleapis.com の A レコードを作成します。
- A レコードを指す *.googleapis.com の CNAME レコードを作成します。
- A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミス ルーターを構成します。Cloud VPN トンネルが終了する VPC からデフォルトのインターネット ゲートウェイを削除します。
- C.
- 199.36.153.8/30 のアドレス範囲を使用し、private.googleapis.com の A レコードを作成します。
- A レコードを指す *.googleapis.com の CNAME レコードを作成します。
- A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミス ルーターを構成します。private.googleapis.com アドレスへのトラフィックを許可するようにオンプレミスのファイアウォールを構成します。
- D.
- 199.36.153.4/30 のアドレス範囲を使用し、restricted.googleapis.com の A レコードを作成します。
- A レコードを指す *.googleapis.com の CNAME レコードを作成します。
- A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミス ルーターを構成します。Cloud VPN トンネルが終了する VPC からデフォルトのインターネット ゲートウェイを削除します。
Correct Answer:D
Question 054
Virtual Private Cloud (VPC) とオンプレミス ネットワークの間にアクティブ/パッシブ モードで実行されている 2 つのトンネルを使用した HA VPN 接 続があります。
最近、接続上のトラフィックが 1 ギガビット/秒 (Gbps) から 4 Gbps に増加し、パケットがドロップされていることに気付きました。4 Gbps をサポートするために Google Cloud への VPN 接続を構成する必要があります。
何をするべきでしょうか?
- A. 2 つ目の Cloud Router を構成し、VPC の帯域幅をスケーリングします。
- B. 最大転送単位 (MTU) をサポートされている最大値で構成します。
- C. リモート自律システム番号 (ASN) を 4096 に設定します。
- D. アクティブ/パッシブ VPN トンネルの 2 番目のセットを構成します。
Correct Answer:D
Question 055
Google Kubernetes Engine (GKE) にデプロイされたアプリケーションに新しい Cloud Armor ポリシーを適用したいと考えています。
Cloud Armor ポリシーに使用するターゲットを見つけたいと考えています。
どの GKE リソースを使用する必要がありますか?
- A. GKE ノード
- B. GKE Pod
- C. GKE クラスタ
- D. GKE Ingress
Correct Answer:B
Reference:
– Ingress 機能の構成 | Google Kubernetes Engine(GKE) | Google Cloud
Question 056
ストレージ バケット内のすべてのオブジェクトに対して Cloud CDN を有効にする必要があります。
ストレージ バケット内のすべてのオブジェクトが CDN によって提供されることを確認したいと考えています。
GCP Console で何をする必要がありますか?
- A. 新しいクラウド ストレージ バケットを作成し、Cloud CDN を有効にします。
- B. 新しい TCP ロードバランサを作成し、ストレージ バケットをバックエンドとして選択し、バックエンドで Cloud CDN を有効にします。
- C. 新しい SSL プロキシ ロードバランサを作成し、ストレージ バケットをバックエンドとして選択し、バックエンドで Cloud CDN を有効にします。
- D. 新しい HTTP ロードバランサを作成し、ストレージ バケットをバックエンドとして選択し、バックエンドで Cloud CDN を有効にし、ストレージ バケット内の各オブジェクトが公開されていることを確認します。
Correct Answer:D
Cloud CDN には HTTP(S) ロードバランサが必要で Cloud Storage バケットはパブリックに共有する必要があります。
Reference:
– Cloud Storage バケットを使用して従来のアプリケーション ロードバランサを設定する | 負荷分散 | Google Cloud
– バックエンド バケットを設定する | Cloud CDN | Google Cloud
Question 057
ネットワーク管理者権限のみが割り当てられている共有 VPC でファイアウォール ルールを更新しようとしています。ファイアウォール ルールは変更 できません。組織では必要最小限の特権を使用する必要があります。
どのレベルのアクセス許可を要求する必要がありますか?
- A. 共有 VPC 管理者からのセキュリティ管理者権限
- B. 共有 VPC 管理者からのサービス プロジェクト管理者権限
- C. 組織管理者からの共有 VPC 管理者権限
- D. 組織管理者からの組織管理者権限
Correct Answer:A
共有 VPC 管理者はホスト プロジェクトに対するセキュリティ管理者 (compute.securityAdmin) ロールを IAM メンバーに付与することでセキュリ ティ管理者を定義できます。セキュリティ管理者はファイアウォール ルールと SSL 証明書を管理します。
Question 058
あなたの組織はホスト プロジェクトと 3 つのサービス プロジェクトで共有 VPC アーキテクチャを使用しています。サービス プロジェクトに存在する Compute Engine インスタンスがあります。オンプレミス データ センターに重要なワークロードがあります。ハイブリッド接続を確立するためにデプロイした Dedicated Interconnect を介して GCP インスタンスがオンプレミスのホスト名を解決できることを確認する必要があります。
あなたは何をするべきですか?
- A.
- プライベート ゾーンをオンプレミス DNS サーバーに転送する共有 VPC のホスト プロジェクトに Cloud DNS プライベート転送ゾーンを作成します。
- Cloud Router で IP 169.254 169.254 のカスタム ルート アドバタイズをオンプレミス環境に追加します。
- B.
- 共有 VPC のホスト プロジェクトで Cloud DNS 限定公開ゾーンを構成します。
- ホスト プロジェクトのインバウンド フォワーダー IP アドレスを指すようにオンプレミス DNS サーバー上の GCP 限定公開ゾーンへの DNS 転送を 設定します。
- 共有 VPC で DNS ポリシーを構成し、オンプレミス DNS サーバーを代替 DNS サーバーとして使用するインバウンド クエリ転送を許可します。
- C.
- 共有 VPC のホスト プロジェクトで Cloud DNS 限定公開ゾーンを構成します。
- ホスト プロジェクトのインバウンド フォワーダー IP アドレスを指すようにオンプレミス DNS サーバーの Google Cloud プライベート ゾーンへの DNS 転送を設定します。
- Cloud Router で IP 169.254 169 254 のカスタム ルート アドバタイズメントをオンプレミス環境に追加します。
- D.
- プライベート ゾーンをオンプレミス DNS サーバーに転送する共有 VPC のホスト プロジェクトに Cloud DNS プライベート転送ゾーンを作成します。
- Cloud Router で IP 35.199.192.0/19 のカスタム ルート アドバタイズをオンプレミス環境に追加します。
Correct Answer:B
Question 059
データ インジェスト レイヤー、データ変換レイヤー、データ分析レイヤー、データ ストレージ レイヤーで構成されるデータ ワークフローがあります。
インフラストラクチャの管理に対処することなく、ワークフローの作成、スケジューリング、監視、管理のタスクを容易にするサービスを探しています。
要件を満たす適切なサービスを選択してください。
- A. Apache Airflow
- B. Cloud Composer
- C. Istio
- D. Stackdriver
Correct Answer:B
B は正しい選択です。Cloud Composer はワークフローの作成、スケジュール設定、監視、管理を支援するマネージド Apache Airflow サー ビスであるためです。
A は不正解です。VM インスタンスに Apache Airflow をインストールできますが、インフラストラクチャを管理する必要があるためです。
C は不正解です。Istio はマイクロサービスを接続、監視、保護するためのオープン プラットフォームだからです。
D は不正解です。Stackdriver はサービス、コンテナ、アプリケーション、インフラストラクチャのモニタリングと管理を行うためのものです。
Question 060
あなたの会社は収益を生み出す重要な新しい Web アプリケーションを立ち上げたところです。
マネージド インスタンス グループ、自動スケーリン グ、ネットワーク ロードバランサをフロントエンドとして使用し、スケーラビリティのためにアプリケーションをデプロイしました。ある日、自動スケーリングが原因でインスタンスの最大数に達し、アプリケーションのユーザーがトランザクションを完了できないという重大なバースト トラフィッ クに気付きました。調査の結果、DDOS 攻撃だと思います。アプリケーションへのユーザー アクセスを迅速に復元し、コストを最小限に抑えながらトラ ンザクションを成功させたいと考えています。
どの 2 つの手順を実行する必要がありますか? (回答は 2つ)
- A. グローバル HTTP(s) ロードバランサを作成し、アプリケーション バックエンドをこのロードバランサに移動します。
- B. 自動スケーリング バックエンドの最大値を増やし、深刻なバースト トラフィックに対応します。
- C. GCP でアプリケーション全体を数時間シャットダウンします。アプリケーションがオフラインになると、攻撃は停止します。
- D. Cloud Armor を使用し、攻撃者の IP アドレスをブラックリストに登録します。
- E. バックエンド コンピューティング エンジン インスタンスに SSH 接続し、認証ログと syslog を表示して攻撃の性質をさらに理解します。
Correct Answer:B、E
Question 061
単一のサブネットを持つ Dev という名前の新しい VPC ネットワークを作成しました。ネットワーク Dev のファイアウォール ルールを追加して HTTP トラフィックのみを許可し、ロギングを有効にしました。リモート デスクトップ プロトコル経由でサブネット内のインスタンスにログインしようとすると、ログインに失敗します。Stackdriver Logging でファイアウォール ルールのログを探しますが、ブロックされたトラフィックのエントリが ありません。ブロックされたトラフィックのログを表示したいと考えています。
何をするべきでしょうか?
- A. インスタンスの VPC フロー ログを確認します。
- B. SSH 経由でインスタンスに接続し、ログを確認します。
- C. 優先度 65500 の新しいファイアウォール ルールを作成し、すべてのトラフィックを拒否し、ログを有効にします。
- D. ポート 22 からのトラフィックを許可する新しいファイアウォール ルールを作成し、ログを有効にします。
Correct Answer:A
Question 062
オンプレミス データセンターには各ルーターの VPN を介して GCP に接続された 2 つのルーターがあります。すべてのアプリケーションは正常に動作しています。ただし、必要に応じて 2 つの接続間で負荷分散されるのではなく、すべてのトラフィックが単一の VPN を通過します。トラブルシューティング中に次のことがわかります。
– 各オンプレミス ルーターは同じ ASN で構成されます。
– 各オンプレミス ルーターは同じルートと優先順位で構成されます。
– 両方のオンプレミス ルーターは単一の Cloud Router に接続された VPN で構成されています。
– VPN が接続しているときに VPN ログに no-proposal-chosen の行があります。
– 1 つのオンプレミス ルーターと Cloud Router の間で BGP セッションが確立されていません。
この問題の最も可能性の高い原因は何でしょうか?
- A. VPN セッションの 1 つが正しく構成されていません。
- B. ファイアウォールが 2 番目の VPN 接続のトラフィックをブロックしています。
- C. ネットワーク トラフィックを負荷分散するためのロードバランサがありません。
- D. オンプレミス ルーターと Cloud Router の間で BGP セッションが確立されていません。
Correct Answer:A
VPN ログに no-proposal-chosen エラーが表示される場合、このエラーは Cloud VPN とピア VPN ゲートウェイが一連の暗号に同意できなかったこと を示しています。IKEv1 の場合、暗号のセットは正確に一致する必要があります。IKEv2 の場合、各ゲートウェイによって提案された共通の暗号が少なくとも 1 つ存在する必要があります。サポートされている暗号を使用し、ピア VPN ゲートウェイを構成していることを確認してください。
Reference:
– トラブルシューティング | Cloud VPN | Google Cloud
Question 063
サービス アカウントを使用して認証する作業自動化にステップを追加しています。
Cloud Storage バケットからファイルを取得する機能を自動化する必要があります。組織では可能な限り最小限の特権を使用する必要があります。
何をするべきでしょうか?
- A. Cloud Storage バケットのサービス アカウントに cloud-platform 権限を付与します。
- B. Cloud Storage バケットのサービス アカウントに読み取り専用権限を付与します。
- C. iam.serviceAccountUser をユーザー アカウントに付与します。
- D. compute.instanceAdmin をユーザー アカウントに付与します。
Correct Answer:B
Question 064
Compute Engine 仮想マシン インスタンスを NAT ゲートウェイとして構成しました。
次のコマンドを実行します。
gcloud compute routes create no-ip-internet-route \
--network custom-network1 \
--destination-range 0.0.0.0/0 \
--next-hop instance nat-gateway \
--next-hop instance-zone us-central1-a \
--tags no-ip --priority 800
既存のインスタンスで新しい NAT ゲートウェイを使用したい。
どのコマンドを実行する必要がありますか?
- A. sudo sysctl -w net.ipv4.ip_forward=1
- B. gcloud compute instances add-tags [existing-instance] –tags no-ip
- C. gcloud builds submit –config=cloudbuild.waml –substitutions=TAG_NAME=no-ip
- D. gcloud compute instances create example-instance –network custom-network1 \ –subnet subnet-us-central \ –no-address \ –zone us-central1-a \ –image-family debian-9 \ –image-project debian-cloud \ –tags no-ip
Correct Answer:D
Reference:
– ネットワーキング ユースケース用に VM を構成する | VPC | Google Cloud
Question 065
インスタンスが 10.1.1.0/24 ネットワークと 172.16.45.0/24 ネットワークの両方で IP アドレスを持つことを許可する新しい VPC ネットワークを作成 する必要があります。
何をするべきでしょうか?
- A. VPC ピアリングを使用し、10.1.0.0/24 ネットワークと 172.16.45.0/24 ネットワークの間でトラフィックをルーティングできるようにします。
- B. 10.1.1.0/24 の VPC サブネット内の仮想インスタンスで 172.16.45.0/24 のエイリアス IP 範囲を構成します。
- C. 172.16.45.0/24 が正しいインスタンスを指すようにグローバル負荷分散を構成します。
- D. 目的の IP アドレスにトラフィックを送信するサービスごとに一意の DNS レコードを作成します。
Correct Answer:D
Question 066
サービス アカウントを使用して認証する作業自動化にステップを追加しています。
Cloud Storage バケットからファイルを取得する機能を自動化する 必要があります。組織では可能な限り最小限の特権を使用する必要があります。
何をするべきでしょうか?
- A. compute.instanceAdmin をユーザー アカウントに付与します。
- B. Cloud Storage バケットのサービス アカウントに cloud-platform 権限を付与します。
- C. iam.serviceAccountUser をユーザー アカウントに付与します。
- D. Cloud Storage バケットのサービス アカウントに読み取り専用権限を付与します。
Correct Answer:C
Question 067
あなたの組織は 3 つの異なる部門に 1 つのプロジェクトを展開しています。
これらの部門のうち 2 つは相互にネットワーク接続を必要としますが 3 番目の部門は分離したままにする必要があります。設計ではこれらの部門間に個別のネットワーク管理ドメインを作成する必要があります。運用上の オーバーヘッドを最小限に抑えたい。
トポロジをどのように設計する必要がありますか?
- A. 共有 VPC ホスト プロジェクトと、3 つの部門それぞれに対応するサービス プロジェクトを作成します。
- B. 3 つの個別の VPC を作成し、Cloud VPN を使用して 2 つの適切な VPC 間の接続を確立します。
- C. 3 つの個別の VPC を作成し、VPC ピアリングを使用して 2 つの適切な VPC 間の接続を確立します。
- D. 単一のプロジェクトを作成し、特定のファイアウォール ルールを展開します。ネットワーク タグを使用し、部門間のアクセスを分離します。
Correct Answer:C
Reference:
– VPC ネットワーク ピアリング | Google Cloud
Question 068
インフラストラクチャを Google Cloud にデプロイしました。次の要件を満たすように DNS を構成する必要があります。オンプレミス リソースは Google Cloud ゾーンを解決する必要があります。Google Cloud リソースはオンプレミス ゾーンを解決する必要があります。Google Cloud によってプロビジョニングされた「.internal」ゾーンを解決する機能が必要です。
何をするべきでしょうか?
- A. 送信 DNS サーバー ポリシーを構成し、代替ネーム サーバーをオンプレミスの DNS リゾルバーに設定します。Google Cloud ゾーン クエリを Google Cloud の DNS リゾルバーに転送するように、オンプレミスの DNS リゾルバーを構成します。
- B. Cloud DNS to DNS ピアをオンプレミスの DNS リゾルバーで構成します。Google Cloud ゾーン クエリを Google のパブリック DNS 8.8.8.8 に転送 するようにオンプレミスの DNS リゾルバーを構成します。
- C. 送信サーバー ポリシーを構成し、代替ネーム サーバーをオンプレミスの DNS リゾルバーに設定します。Google Cloud ゾーン クエリを Google のパ ブリック DNS 8.8.8.8 に転送するようにオンプレミスの DNS リゾルバーを構成します。
- D. ターゲットをオンプレミス DNS リゾルバーとして、受信サーバー ポリシーと送信 DNS 転送ゾーンの両方を構成します。Google Cloud ゾーン クエ リを Google Cloud の DNS リゾルバーに転送するように、オンプレミスの DNS リゾルバーを構成します。
Correct Answer:C
Question 069
Cloud Storage に保存される結果を生成するために BigQuery を使用する Compute Engine で実行されているアプリケーションがあります。
どのアプリ ケーション インスタンスにも外部 IP アドレスがないことを確認したいと考えています。
これを達成するために使用できる方法はどれですか? (回答は 2つ)
- A. すべてのサブネットで限定公開の Google アクセスを有効にします。
- B. VPC で限定公開の Google アクセスを有効にします。
- C. VPC で限定公開の サービス アクセスを有効にします。
- D. VPC と BigQuery の間にネットワーク ピアリングを作成します。
- E. Cloud NAT を作成し、NAT ゲートウェイ経由でアプリケーション トラフィックをルーティングします。
Correct Answer:A、E
Reference:
– Cloud NAT の概要 | Google Cloud
– 限定公開の Google アクセスを構成する #仕様 | VPC | Google Cloud
Question 070
自動モードで Retail という名前の VPC ネットワークを作成しました。
Distribution という名前の VPC ネットワークを作成し、それを Retail VPC とピアリングします。
ディストリビューション VPC をどのように構成する必要がありますか?
- A. 自動モードでディストリビューション VPC を作成します。ネットワーク ピアリングを介して両方の VPC をピアリングします。
- B. カスタム モードでディストリビューション VPC を作成します。CIDR 範囲 10.0.0.0/9 を使用します。必要なサブネットを作成し、ネットワーク ピア リングを介してそれらをピアリングします。
- C. カスタム モードでディストリビューション VPC を作成します。CIDR 範囲 10.128.0.0/9 を使用します。必要なサブネットを作成し、ネットワーク ピ アリングを介してそれらをピアリングします。
- D. デフォルト VPC の名前を「ディストリビューション」に変更し、ネットワーク ピアリングを介してピアリングします。
Correct Answer:B
Reference:
– クイックスタート: VPC ネットワークを作成して使用する | Google Cloud
Question 071
Google Compute Engine を使用し、プリエンプティブルな Linux 仮想マシン インスタンスをいくつか作成しました。
仮想マシンがプリエンプトされる前にアプリケーションを適切にシャットダウンする必要があります。
何をするべきでしょうか?
- A. Linux で xinetd サービスとして登録されたシャットダウン スクリプトを作成し、StackDriver エンドポイント チェックを構成してサービスを呼び出 します。
- B. Linux で xinetd サービスとして登録されたシャットダウン スクリプトを作成し、gcloud compute instances add-metadata コマンドを使用し、キー shutdown-script-url を持つ新しいメタデータ エントリの値としてサービス URL を指定します。
- C. shutdown という名前のシャットダウン スクリプトを /etc/ ディレクトリに作成します。
- D. シャットダウン スクリプトを作成し、新しい仮想マシン インスタンスを作成するときに、Cloud Platform Console でキー shutdown-script を持つ新 しいメタデータ エントリの値として使用します。
Correct Answer:D
シャットダウン スクリプトの実行 「インスタンスが終了または再起動される直前にベスト エフォート ベースでコマンドを実行するシャットダウン ス クリプトを作成して実行します。これは自動化されたスクリプトを使用してインスタンスを起動およびシャットダウンし、インスタンスをクリーン アップする時間を確保する場合に役立ちます。ログのエクスポートや他のシステムとの同期などのタスクを起動または実行します。」
シャットダウン スクリプトを設定するには GCP コンソールに移動し、次の手順に従います。
Compute Engine -> VM インスタンス -> インスタンスの作成 -> (展開) 管理、ディスク、ネットワーク、SSH キー「shutdown-script」と適切な値を 入力します。
Reference:
– シャットダウン スクリプトの実行 | Compute Engine ドキュメント | Google Cloud
Question 072
IPv6 を使用して GCP でサービスを作成したいと考えています。
何をするべきでしょうか?
- A. IPv6 アドレスを指定してインスタンスを作成します。
- B. 指定された IPv6 アドレスで TCP プロキシを構成します。
- C. 指定された IPv6 アドレスでグローバル ロードバランサを構成します。
- D. 指定された IPv6 アドレスで内部ロードバランサを構成します。
Correct Answer:C
Reference:
– 外部 HTTP(S)、SSL プロキシ、外部プロキシ ネットワーク ロードバランサの IPv6 終端 | 負荷分散 | Google Cloud
Question 073
あなたは共有 VPC アーキテクチャを設計しています。
ネットワークおよびセキュリティ チームは部門間で公開されるルートを厳密に管理しています。生産部門とステージング部門は互いに通信できますが、特定のネットワークを介してのみ通信できます。Google が推奨する方法に従いたい。
このトポロジをどのように設計する必要がありますか?
- A. 共有 VPC ホスト プロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブル ルート アドバタイズ メント (FRA) を使用し、特定のネットワーク間のアクセスをフィルタリングします。
- B. 共有 VPC ホスト プロジェクト内に 1 つの VPC を作成し、個々のサブネットをサービス プロジェクトと共有し、特定のネットワーク間のアクセ スをフィルタリングします。
- C. 共有 VPC サービス プロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブル ルート アドバタイ ズメント (FRA) を使用し、特定のネットワーク間のアクセスをフィルタリングします。
- D. 共有 VPC ホスト プロジェクト内に 2 つの共有 VPC を作成し、それらの間で VPC ピアリングを有効にします。ファイアウォール ルールを使用し、特定のネットワーク間のアクセスをフィルタリングします。
Correct Answer:B
Question 074
IPv4 と IPv6 の両方のアドレスを持つ外部ロードバランサの背後に公開され、ポート 443 で TCP パススルーをサポートする新しいアプリケーショ ンを構成しています。
us-west1 と us-east1 の 2 つのリージョンにバックエンドがあります。高可用性と自動スケーリングを確保しながら、可能な限り 低いレイテンシでコンテンツを提供したいと考えています。
どの構成を使用する必要がありますか?
- A. 両方のリージョンでネットワーク負荷分散を使用し、DNS ベースの負荷分散を使用してトラフィックを最も近いリージョンに転送します。
- B. 両方のリージョンのバックエンドでグローバル SSL プロキシ負荷分散を使用します。
- C. 両方のリージョンのバックエンドでグローバル TCP プロキシ負荷分散を使用します。
- D. 両方のリージョンのバックエンドでグローバル外部 HTTP(S) 負荷分散を使用します。
Correct Answer:A
Question 075
オンプレミスと GCP の間で Cloud VPN の使用を増やしており、1 つのトンネルで処理できるよりも多くのトラフィックをサポートしたいと考えています。
Cloud VPN を使用して利用可能な帯域幅を増やしたいと考えています。
何をするべきでしょうか?
- A. 既存の VPN ゲートウェイとは異なるリージョンに 2 つ目の Cloud VPN ゲートウェイを追加します。同じ IP 範囲を転送しますが既存のオンプレミス VPN ゲートウェイの IP アドレスを指す 2 番目の Cloud VPN ゲートウェイに新しいトンネルを作成します。
- B. 別のパブリック IP アドレスを持つ 2 つ目のオンプレミス VPN ゲートウェイを追加します。同じ IP 範囲を転送するが、新しいオンプレミス ゲート ウェイ IP を指す既存の Cloud VPN ゲートウェイに 2 つ目のトンネルを作成します。
- C. オンプレミス VPN ゲートウェイの MTU を 1460 バイトから 2920 バイトに倍増します。
- D. 同じ Cloud VPN ゲートウェイ上に同じ宛先 VPN ゲートウェイの IP アドレスを指す 2 つの VPN トンネルを作成します。
Correct Answer:D
Question 076
オンプレミスからアクセスできる既存の VPC に GKE クラスタを作成する必要があります。
次の要件を満たす必要があります。
– Pod とサービスの IP 範囲はできるだけ小さくする必要があります。
– ノードとマスターはインターネットから到達可能であってはなりません。
– クラスタを管理するにはオンプレミスのサブネットから kubectl コマンドを使用できる必要があります。
GKE クラスタをどのように作成する必要がありますか?
- A.
- VPC の高度なルートを使用するプライベート クラスタを作成します。
- Pod とサービスの範囲を /24 に設定します。
- マスターにアクセスするためのネットワーク プロキシを設定します。
- B.
- GKE マネージド IP 範囲を使用し、VPC ネイティブ GKE クラスタを作成します。
- Pod IP 範囲を /21 として、サービス IP 範囲を /24 として設定します。
- マスターにアクセスするためのネットワーク プロキシを設定します。
- C.
- ユーザー管理の IP 範囲を使用し、VPC ネイティブの GKE クラスタを作成します。
- GKE クラスタ ネットワーク ポリシーを有効にし、Pod とサービスの範囲を /24 に設定します。
- マスターにアクセスするためのネットワーク プロキシを設定します。
- マスター承認済みネットワークを有効にします。
- D.
- ユーザー管理の IP 範囲を使用し、VPC ネイティブの GKE クラスタを作成します。
- クラスタ マスターで privateEndpoint を有効にします。
- Pod とサービスの範囲を /24 に設定します。
- マスターにアクセスするためのネットワーク プロキシを設定します。
- マスター承認済みネットワークを有効にします。
Correct Answer:D
コントローラ アクセス用のネットワーク プロキシを使用した GKE プライベート クラスタの作成 プライベート クラスタ コントローラ エンドポイン トを使用して GKE プライベート クラスタを作成する場合、クラスタのコントローラ ノードにはパブリック インターネットからアクセスできません が管理のためにアクセスできる必要があります。デフォルトではクラスタはプライベート エンドポイントを介してコントローラにアクセスでき、承 認済みネットワークは VPC ネットワーク内で定義できます。ただし、オンプレミスまたは別の VPC ネットワークからコントローラにアクセスするには追加の手順が必要です。これはコントローラをホストする VPC ネットワークが Google によって所有されており、別の VPC ネットワーク ピアリ ング接続、Cloud VPN または Cloud Interconnect を介して接続されたリソースからアクセスできないためです。
Reference:
– Creating GKE private clusters with network proxies for controller access | Kubernetes Engine | Google Cloud
Question 077
組織の Google Cloud 環境で Cloud Router の新しいインスタンスを構成して新しい Dedicated Interconnect を介してデータセンターに接続できるようにします。
営業、マーケティング、IT のそれぞれが組織のホスト プロジェクトに接続されたサービス プロジェクトを持っています。
Cloud Router インスタンスはどこに作成する必要がありますか?
- A. すべてのプロジェクトの VPC ネットワーク
- B. IT プロジェクトの VPC ネットワーク
- C. ホスト プロジェクトの VPC ネットワーク
- D. セールス、マーケティング、IT プロジェクトの VPC ネットワーク
Correct Answer:C
Reference:
– 他のプロジェクトでの接続の使用 | Cloud Interconnect | Google Cloud
Question 078
HTTP、HTTPS、SSH ポート経由のトラフィックのみを許可するルールでファイアウォールを作成しました。
テスト中、具体的には複数のポート とプロトコルを介してサーバーにアクセスしようとします。ただし、ファイアウォール ログに拒否された接続は表示されません。問題を解決したい。
何をするべきでしょうか?
- A. デフォルトの拒否ファイアウォール ルールでログを有効にします。
- B. トラフィックを受信する VM インスタンスのログを有効にします。
- C. フィルタなしですべてのファイアウォール ログを転送するロギング シンクを作成します。
- D. 明示的な Deny Any ルールを作成し、新しいルールのログを有効にします。
Correct Answer:D
Virtual Private Cloud (VPC) ネットワークのルールに対してのみファイ アウォール ルール ロギングを有効にできます。レガシー ネットワークはサポートされていません。ファイアウォール ルール ロギングは TCP および UDP 接続のみを記録します。他のプロトコルに適用可能なファイアウォール ルールを作成することはできますが、それらの接続をログに記録すること はできません。暗黙的な受信拒否ルールと暗黙的な送信許可ルールのファイアウォール ルール ログを有効にすることはできません。ログ エントリは仮想マシン (VM) インスタンスの観点から書き込まれます。ログ エントリが作成されるのはファイアウォール ルールでログ記録が有効になっており、そのルールが VM との間で送受信されるトラフィックに適用される場合のみです。エントリはベスト エフォート ベースの接続ログ制限に従って作成 されます。特定の間隔でログに記録できる接続の数は、マシンの種類に基づきます。ファイアウォール ルールへの変更は VPC 監査ログで確認できます。
Reference:
– ファイアウォール ルールのロギング #下り(外向き)拒否ルールの例 | VPC | Google Cloud
– ファイアウォール ルールのロギング #仕様 | VPC | Google Cloud
Question 079
パブリック IP アドレス経由で Cloud SQL にアクセスでき、サードパーティのサービス プロバイダを必要としない、Google への専用接続を確立したい と考えています。
どの接続タイプを選択する必要がありますか?
- A. キャリア ピアリング
- B. ダイレクト ピアリング
- C. Dedicated Interconnect
- D. Partner Interconnect
Correct Answer:B
Reference:
– ダイレクト ピアリングの概要 | Network Connectivity | Google Cloud
Question 080
2 つのオブジェクトを含むストレージ バケットがあります。
バケットで Cloud CDN が有効になっており、両方のオブジェクトが正常にキャッシュされています。ここで、2 つのオブジェクトのうちの 1 つがキャッシュされなくなり、常にオリジンから直接インターネットに提供されるようにする必要があります。
何をするべきでしょうか?
- A. もうキャッシュしたくないオブジェクトがパブリックに共有されていないことを確認してください。
- B. 新しいストレージ バケットを作成し、チェックしたくないオブジェクトをその中に移動します。次にバケット設定を編集し、プライベート属性を有効にします。
- C. 2 つのオブジェクトを含むストレージ バケットに適切なライフサイクル ルールを追加します。
- D. もうキャッシュしたくないオブジェクトのメタデータに値 private を持つ Cache-Control エントリを追加します。以前にキャッシュされたすべてのコピーを無効にします。
Correct Answer:D
Reference:
– キャッシュに保存されたコンテンツの無効化 | Cloud CDN | Google Cloud
Question 081
あなたの組織には複数の Virtual Private Cloud (VPC) を含む単一のプロジェクトがあります。
企業のパブリック ネットワーク内のリソースからのみ API アクセスを許可することで Cloud Storage バケットと BigQuery データセットへの API アクセスを保護する必要があります。
あなたは何をするべきですか?
- A. 企業のパブリック ネットワークの IP 範囲を許可するアクセス コンテキスト ポリシーを使用し、VPC ごとに VPC Service Controls 境界を作成します。
- B. VPC と企業のパブリック ネットワークの IP 範囲を許可するアクセス コンテキスト ポリシーを作成し、そのポリシーを Cloud Storage と BigQuery にアタッチします。
- C. 企業のパブリック ネットワークの IP 範囲を許可するアクセス コンテキスト ポリシーを使用し、プロジェクトの VPC Service Controls 境界を作成します。
- D. 承認されていないネットワークから Cloud Storage と BigQuery への API アクセスをブロックするファイアウォール ルールを作成します。
Correct Answer:C
Question 082
gcloud コマンドライン ツールを使用して定義済みの役割をコピーすることにより、プロジェクトに新しいカスタムの役割を作成しています。
次のエラー メッセージが表示されます。
INVALID_ARGUMENT: Permission resourcemanager.projects.list is not
どうすればいいでしょうか?
- A. resourcemanager.projects.getpermission を追加し、もう一度やり直してください。
- B. 新しい名前で同じ権限を持つ別の役割で再試行してください。
- C. resourcemanager.projects.list 権限を削除し、もう一度やり直してください。
- D. resourcemanager.projects.setIamPolicy 権限を追加し、再試行してください。
Correct Answer:C
Reference:
– ロールと権限 | IAM のドキュメント #カスタムロール | Google Cloud
Question 083
グローバルな外部 TCP 負荷分散ソリューションをデプロイしており、元のレイヤー 3 ペイロードの送信元 IP アドレスを保持したいと考えています。
どのタイプのロードバランサを使用する必要がありますか?
- A. HTTP(S) ロードバランサ
- B. ネットワーク ロードバランサ
- C. 内部ロードバランサ
- D. TCP/SSL プロキシ ロードバランサ
Correct Answer:B
Reference:
– 外部パススルー ネットワーク ロードバランサの概要 | 負荷分散 | Google Cloud
Question 084
VPC で将来の新しい GKE クラスタのアドレス プランを定義する必要があります。
これは VPC ネイティブ クラスタになり、デフォルトの Pod IP 範囲 の割り当てが使用されます。クラスタを作成する前に、必要なすべての VPC サブネットとそれぞれの IP アドレス範囲を事前にプロビジョニングする必要があります。クラスタには最初は 1 つのノードがありますが必要に応じて最大 3 つのノードにスケーリングされます。最小数の Pod IP アドレ スを割り当てたい。
Pod の IP アドレス範囲にはどのサブネット マスクを使用する必要がありますか?
- A. /21
- B. /22
- C. /23
- D. /25
Correct Answer:B
Reference:
– VPC ネイティブ クラスタを作成する | Google Kubernetes Engine(GKE) | Google Cloud
– ノードあたりの最大ポッド数を構成する | Google Kubernetes Engine(GKE) | Google Cloud
– VPC ネイティブ クラスタ | Google Kubernetes Engine(GKE)#IP アドレス範囲の計画 | Google Cloud
Question 085
Google への 10 Gbps ダイレクト ピアリング接続と gsutil ツールを使用し、オンプレミス サーバーから Cloud Storage バケットにファイルをアップ ロードしています。
オンプレミス サーバーは Google ピアリング ポイントから 100 ミリ秒離れています。アップロードが、利用可能な 10 Gbps 帯域幅 をすべて使用していないことに気付きました。接続の帯域幅使用率を最適化したい。
オンプレミス サーバーで何をすべきか?
- A. オンプレミス サーバーで TCP パラメーターを調整します。
- B. tar などのユーティリティを使用してファイルを圧縮し、送信されるデータのサイズを減らします。
- C. gsutil コマンドから -m フラグを削除し、シングルスレッド転送を有効にします。
- D. gsutil コマンドで perfdiag パラメータを使用し、より高速なパフォーマンスを有効にします: gsutil perfdiag gs://[BUCKET NAME]
Correct Answer:D
Reference:
– Google Cloud への移行: 大規模なデータセットの転送 | Cloud アーキテクチャ センター
Question 086
Google Kubernetes Engine プライベート クラスタを作成し、kubectl を使用してポッドのステータスを取得したいと考えています。
インスタンスの 1 つでクラスタが稼働しているにもかかわらず、マスターが応答していないことに気付きました。
問題を解決するために何をすべきですか?
- A. デフォルトのインターネット ゲートウェイを指し、マスターに到達するためのルートを作成します。
- B. VPC で適切なファイアウォール ポリシーを作成し、マスター ノードの IP アドレスからインスタンスへのトラフィックを許可します。
- C. 適切なマスター承認ネットワーク エントリを作成し、インスタンスがマスターと通信できるようにします。
- D. インスタンスにパブリック IP アドレスを割り当てます。
Correct Answer:B
Question 087
あなたの会社には GCP にデプロイされた単一の Virtual Private Cloud (VPC) ネットワークがあり、Cloud Interconnect を使用してオンプレミス ネットワークからアクセスできます。
サービス レベル アグリーメント (SLA) が適用されたハイブリッド接続を介して VPC Service Controls でサポートされている Google API およびサービスへのアクセスのみを構成する必要があります。
何をするべきでしょうか?
- A. 既存の Cloud Router を構成し、Google API のパブリック仮想 IP アドレスをアドバタイズします。
- B. デフォルト ルートをアドバタイズするように既存の Cloud Router を構成し、Cloud NAT を使用してオンプレミス ネットワークからのトラフィック を変換します。
- C. オンプレミス ホストには restricted.googleapis.com 仮想 IP アドレスを持つ限定公開の Google アクセスを使用します。
- D. ダイレクト ピアリング リンクを追加し、パブリック仮想 IP アドレスを使用する Google API への接続に使用します。
Correct Answer:C
Question 088
サブネット レベルの分離を提供するためにあるサブネットのインスタンス A が別のサブネットのインスタンス B と呼ばれるセキュリティ アプライ アンスを介してルーティングされるように強制します。
何をするべきでしょうか?
- A. システム生成のサブネット ルートよりも具体的なルートを作成し、ネクスト ホップをタグなしでインスタンス B にポイントします。
- B. インスタンス B を別の VPC に移動し、マルチ NIC を使用して、インスタンス B のインターフェイスをインスタンス A のネットワークに接続します。トラフィックがインスタンス A を通過するように適切なルートを構成します。
- C. インスタンス A にタグが適用されたインスタンス B へのネクスト ホップを指すシステム生成のサブネット ルートよりも具体的なルートを作成し ます。
- D. システム生成のサブネット ルートを削除し、インスタンス A にタグを適用してインスタンス B への特定のルートを作成します。
Correct Answer:C
Question 089
gcloud コマンドを使用してポリシーベースのルーティング用に構成された Cloud VPN ゲートウェイの背後にあるオンプレミス リソースへの静的ルートを構成する必要があります。
どのネクスト ホップを選択する必要がありますか?
- A. デフォルトのインターネット ゲートウェイ
- B. Cloud VPN ゲートウェイの IP アドレス
- C. Cloud VPN トンネルの名前とリージョン
- D. VPN トンネルのリモート側にあるインスタンスの IP アドレス
Correct Answer:C
Cloud Console を使用してルート ベースのトンネルを作成すると Classic VPN は次の両方のタスクを実行します。
トンネルのローカルおよびリモート トラフィック セレクターを任意の IP アドレス (0.0.0.0/0) に設定します。クラウドは、宛先 (プレフィックス) が範囲の CIDR であり、ネクスト ホップがトンネルであるカスタム静的ルートを作成します。
Reference:
– 静的ルーティングを使用する Classic VPN ゲートウェイを作成する | Google Cloud
Question 090
HTTP(S) 負荷分散サービスを作成しました。
バックエンド インスタンスが適切に応答していることを確認する必要があります。
ヘルスチェックをどのように構成する必要がありますか?
- A. request-path をヘルス チェックに使用する特定の URL に設定し、proxy-header を PROXY_V1 に設定します。
- B. request-path をヘルス チェックに使用する特定の URL に設定し、host を設定してヘルス チェックを識別するカスタム ホスト ヘッダーを含めます。
- C. request-path をヘルス チェックに使用する特定の URL に設定し、response をバックエンド サービスが常に応答本文で返す文字列に設定します。
- D. proxy-header をデフォルト値に設定し、host を設定してヘルス チェックを識別するカスタム ホスト ヘッダーを含めます。
Correct Answer:B
Reference:
– ヘルスチェックを作成する | 負荷分散 | Google Cloud
Question 091
Cloud DNS マネージド ゾーンの 1 つで DNSSEC を無効にしています。
ゾーン ファイルから DS レコードを削除し、それらがキャッシュから期限切れ になるのを待ち、ゾーンの DNSSEC を無効にしました。DNSSEC 検証解決がゾーン内の名前を解決できないというレポートを受け取ります。
何をするべきでしょうか?
- A. ゾーンの TTL を更新します。
- B. ゾーンを TRANSFER 状態に設定します。
- C. ドメイン レジストラで DNSSEC を無効にします。
- D. ドメインの所有権を新しいレジストラに譲渡します。
Correct Answer:C
使用するマネージド ゾーンの DNSSEC を無効にする前にドメイン レジストラーで DNSSEC を無効にし、DNSSEC 検証リゾルバーが引き続き ゾーン内の名前を解決できるようにする必要があります。
Reference:
– DNSSEC 構成の管理 | Google Cloud
Question 092
あなたは共有 VPC アーキテクチャを設計しています。
ネットワークおよびセキュリティ チームは部門間で公開されるルートを厳密に管理しています。生産部門とステージング部門は互いに通信できますが特定のネットワークを介してのみ通信できます。Google が推奨するプラクティスに従う必要があります。
このトポロジをどのように設計する必要がありますか?
- A. 共有 VPC ホスト プロジェクト内に 2 つの共有 VPC を作成し、それらの間で VPC ピアリングを有効にします。ファイアウォール ルールを使用し、特定のネットワーク間のアクセスをフィルタリングします。
- B. 共有 VPC ホスト プロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブル ルート アドバタイズメント (FRA) を使用し、特定のネットワーク間のアクセスをフィルタリングします。
- C. 共有 VPC サービス プロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブル ルート アドバタイズメント (FRA) を使用し、特定のネットワーク間のアクセスをフィルタリングします。
- D. 共有 VPC ホスト プロジェクト内に 1 つの VPC を作成し、個々のサブネットをサービス プロジェクトと共有し、特定のネットワーク間のアクセスをフィルタリングします。
Correct Answer:D
Reference:
– 共有 VPC | Google Cloud
Question 093
ユーザーが 3 つの VPC すべてのリソースにアクセスできるように 3 つの Virtual Private Cloud ネットワーク、Sales、Marketing、Finance 間の ネットワーク接続を確立する必要があります。
Sales VPC と Finance VPC の間に VPC ピアリングを設定します。また、Marketing VPC と Finance VPC の間の VPC ピアリングも構成します。設定を完了した後、一部のユーザーは Sales VPC と Marketing VPC のリソースに接続できません。問題を解決し たい。
何をするべきでしょうか?
- A. 3 つすべての VPC 間の接続を許可するネットワーク タグを作成します。
- B. フル メッシュで VPC ピアリングを構成します。
- C. レガシー ネットワークを削除して再作成し、推移的なピアリングを許可します。
- D. ルーティング テーブルを変更し、非対称ルートを解決します。
Correct Answer:B
Question 094
Cloud NAT を設定することにしました。
構成を完了した後、インスタンスの 1 つがアウトバウンド NAT に Cloud NAT を使用していないことがわかりました。
この問題の最も可能性の高い原因は何でしょうか?
- A. インスタンスは複数のインターフェースで構成されています。
- B. インスタンスに外部 IP アドレスが構成されています。
- C. RFC1918 範囲を使用する静的ルートを作成しました。
- D. インスタンスはロード バランサの外部 IP アドレスでアクセスできます。
Correct Answer:B
Question 095
オンプレミス ホストに HTTP および TFTP サービスを提供する新しい内部アプリケーションをデプロイしました。
複数の Compute Engine インスタンスにトラフィックを分散できるようにしたいと考えていますが、クライアントが両方のサービスで特定のインスタンスに固定されるようにする必要があります。
どのセッション アフィニティを選択する必要がありますか?
- A. クライアント IP、ポート、プロトコル
- B. クライアント IP とプロトコル
- C. なし
- D. クライアント IP
Correct Answer:D
Comments are closed