Professional Cloud Network Engineer 模擬問題集（2023.10.17） : Cloud Smog

[GCP] Google Cloud Certified - Professional Cloud Network Engineer

Written by E.G -

on 10月 17, 2023

Google Cloud 認定資格 – Professional Cloud Network Engineer – 模擬問題集（全 95問）

Question 001

エンドユーザーは us-east1 と europe-west1 の近くにいます。
ワークロードは相互に通信する必要があります。コストを最小限に抑え、ネットワーク効率を高めたいと考えています。
このトポロジをどのように設計する必要がありますか？

A. それぞれ独自のリージョンと個別のサブネットを持つ 2 つの VPC を作成します。2 つの VPN ゲートウェイを作成し、これらのリージョン間の接続を確立します。
B. 2 つの VPC を作成し、それぞれに独自のリージョンと個別のサブネットを設定します。インスタンスで外部 IP アドレスを使用し、これらのリージョン間の接続を確立します。
C. 2 つのリージョンサブネットを持つ 1 つの VPC を作成します。グローバルロードバランサを作成し、リージョン間の接続を確立します。
D. 2 つのリージョンサブネットを持つ 1 つの VPC を作成します。これらのサブネットにワークロードをデプロイし、プライベートの RFC1918 IP アドレスを使用して通信させます。

Correct Answer：D

VPC ネットワークピアリングを使用すると VPC ネットワークをピアリングして異なる VPC ネットワーク内のワークロードがプライベート RFC 1918 空間で通信できるようになります。トラフィックは Google のネットワーク内にとどまり、公共のインターネットを通過しません。

Reference：
– VPC ネットワークピアリング | Google Cloud

Question 002

2 つの Cloud Router を設定し、一方がアクティブなボーダーゲートウェイプロトコル (BGP) セッションを持ち、もう一方がスタンバイとして機能するようにします。
オンプレミスルーターで使用する必要がある BGP 属性はどれですか？

A. AS パス
B. コミュニティ
C. ローカル設定
D. Multi-Exit Discriminator (MED)

Correct Answer：D

Reference：
– Cloud Router の概要 | Google Cloud

Question 003

リードエンジニアはレガシーデータセンターに仮想マシンを展開するカスタムツールを作成しました。
彼はカスタムツールを新しいクラウド環境に移行したいと考えています。あなたは Google Cloud Deployment Manager の採用を支持したいと考えています。
Cloud Deployment Manager への移行に伴う 2 つのビジネスリスクは何でしょうか？ (回答は 2つ)

A. Cloud Deployment Manager API は将来的に非推奨になる可能性があります。
B. Cloud Deployment Manager を使用してクラウドリソースを完全に削除できます。
C. Cloud Deployment Manager は Python を使用します。
D. Cloud Deployment Manager は Google Cloud リソースの自動化のみをサポートしています。
E. Cloud Deployment Manager は会社のエンジニアになじみがありません。
F. Cloud Deployment Manager を実行するには Google API サービスアカウントが必要です。

Correct Answer：B、D

Question 004

あなたは Google Cloud で会社のファイアウォールポリシーを構成する責任があります。
セキュリティチームにはファイアウォールルールを構成するために満たす必要がある一連の厳格な要件があります。会社の IP アドレスからの Secure Shell (SSH) を常に許可します。他のすべての IP アドレスからの SSH アクセスを制限します。Google Cloud 組織には複数のプロジェクトと VPC があります。他の VPC ファイアウォールルールがセキュリティチームの要件をバイパスできないようにする必要があります。
何をするべきでしょうか？

A. 組織ノードに階層型ファイアウォールポリシーを構成し、企業 IP アドレスの TCP ポート 22 を優先度 0 で許可します。優先度 1 のすべての IP アドレスに対して TCP ポート 22 を拒否するように組織ノードに階層型ファイアウォールポリシーを構成します。
B. VPC ファイアウォールルールを構成し、企業 IP アドレスの TCP ポート 22 を優先度 1 で許可します。優先度 0 のすべての IP アドレスに対して TCP ポート 22 を拒否するように VPC ファイアウォールルールを構成します。
C. 優先度 1 の企業 IP アドレスに対し、TCP ポート 22 を許可するように組織ノードに階層型ファイアウォールポリシーを構成します。優先度 0 のすべての IP アドレスに対して TCP ポート 22 を拒否するように組織ノードに階層型ファイアウォールポリシーを構成します。
D. VPC ファイアウォールルールを構成し、企業 IP アドレスの TCP ポート 22 を優先度 0 で許可します。優先度 1 のすべての IP アドレスに対して TCP ポート 22 を拒否するように VPC ファイアウォールルールを構成します。

Correct Answer：A

Question 005

あなたは組織の Google Kubernetes Engine (GKE) クラスタを設計しています。
現在のクラスタサイズはノードあたり 20 の Pod と 150 のサービスで 10 のノードをホストすると予想されます。今後 2 年間での新しいサービスの移行により、100 ノード、ノードあたり 200 Pod、および 1500 サービスの拡張が計画されています。アドレスの消費を最小限に抑えながら、エイリアス IP 範囲を持つ VPC ネイティブクラスタを使用したい。
このトポロジをどのように設計する必要がありますか？

A. gcloud container clusters create [CLUSTER NAME] を使用し、VPC ネイティブクラスタを作成します。
B. サイズ/25 のサブネットを 2 つのセカンダリ範囲 (Pod 用の /17 とサービス用の /21) で作成します。VPC ネイティブクラスタを作成し、それらの範囲を指定します。
C. サイズ/28 のサブネットを 2 つのセカンダリ範囲 (Pod 用の /24 とサービス用の /24) で作成します。VPC ネイティブクラスタを作成し、それらの範囲を指定します。サービスをデプロイする準備ができたら、サブネットのサイズを変更します。
D. gcloud container clusters create [CLUSTER NAME]–enable-ip-alias を使用し、VPC ネイティブクラスタを作成します。

Correct Answer：C

Question 006

Google Kubernetes Engine (GKE) にデプロイされたアプリケーションに新しい Cloud Armor ポリシーを適用したいと考えています。
Cloud Armor ポリシーに使用するターゲットを見つけたいと考えています。
どの GKE リソースを使用する必要がありますか？

A. GKE ノード
B. GKE ポッド
C. GKE クラスタ
D. GKE Ingress

Correct Answer：D

Cloud Armor はロードバランサに適用されます。Ingress を介して Google Cloud Armor を構成します。
セキュリティポリシーの機能 Google Cloud Armor セキュリティポリシーには次のコア機能があります。
オプションで Google を使用するロードバランサで QUIC プロトコルを使用できます。
プレミアムティアまたはスタンダードティアの外部 HTTP(S) ロードバランサで使用できます。
GKE とデフォルトの Ingress コントローラでセキュリティポリシーを使用できます。

Reference：
– Ingress configuration on Google Cloud | Google Kubernetes Engine（GKE）
– Ingress 機能の構成 | Google Kubernetes Engine（GKE） | Google Cloud

Question 007

セキュリティチームは GCP の本番仮想マシンへの外部 SSH アクセスを無効にしました。
運用チームは VM やその他のリソースをリモートで管理する必要があります。
彼らは何ができますか？

A. 運用エンジニアがタスクを実行する必要がある場合にクラウド VM への一時的な SSH アクセスを許可する新しいアクセス要求プロセスを開発します。
B. Google Cloud Shell を使用するためのアクセス権を運用チームに付与します。
C. 開発チームに運用チームが特定のリモートプロシージャコールを実行してタスクを達成できるようにする API サービスを構築してもらいます。
D. GCP への VPN 接続を構成してクラウド VM への SSH アクセスを許可します。

Correct Answer：B

Google Cloud Shell を使用するためのアクセス権を運用チームに付与します。
B (正解) – オペレーションエンジニアに Google Cloud Shell を使用するためのアクセス権を付与します。
エンジニアが求めたのは SSH を使用するのと同じように VM にリモートアクセスすることだけだったので、マシンがまだ外部 IP アドレスを持っている場合、エンジニアは Google Cloud Shell を使用して SSH 経由でそれらにアクセスできます。
これは要件を満たすための簡単で効果的な方法です。他のすべての回答はニーズに見合うよりも多くのセットアップを必要とする可能性のあるオプションです。

Question 008

Google Cloud プロジェクト XYZ に Cloud Storage バケットがあります。
バケットには機密データが含まれています。プロジェクト XYZ の VPC に属するインスタンスのみが Cloud Storage バケットに保存されているデータにアクセスできるようにするソリューションを設計する必要があります。
何をするべきでしょうか？

A. プロジェクト XYZ の下のすべての VPC から Cloud Storage にプライベートにアクセスするように限定公開のサービスコネクトを構成します。
B. ロールに基づいてプロジェクトチームに権限を付与する projectPrivate Access Control List (ACL) を使用して Cloud Storage を構成します。
C. プロジェクト XYZ の周囲に VPC Service Controls 境界を構成し、制限付きサービスとして storage.googleapis.com をサービス境界に含めます。
D. プライベート IP アドレスを使用して Cloud Storage サービスに非公開でアクセスするように限定公開の Google アクセスを構成します。

Correct Answer：B

Question 009

Google への 10 Gbps ダイレクトピアリング接続と gsutil ツールを使用し、オンプレミスサーバーから Cloud Storage バケットにファイルをアップロードしています。
オンプレミスサーバーは Google ピアリングポイントから 100 ミリ秒離れています。アップロードが利用可能な 10 Gbps 帯域幅をすべて使用していないことに気付きました。接続の帯域幅使用率を最適化したいと考えています。
オンプレミスサーバーで何をすべきか？

A. オンプレミスサーバーで TCP パラメーターを調整します。
B. tar などのユーティリティを使用し、ファイルを圧縮し、送信されるデータのサイズを減らします。
C. gsutil コマンドから -m フラグを削除し、シングルスレッド転送を有効にします。
D. gsutil コマンドで perfdiag パラメータを使用し、より高速なパフォーマンスを有効にします: gsutil perfdiag gs://[BUCKET NAME]

Correct Answer：D

Reference：
– Google Cloud への移行: 大規模なデータセットの転送 | Cloud アーキテクチャセンター

Question 010

あなたの会社は顧客にソリューションを提供するためにパートナーと協力しています。
あなたの会社とパートナー組織の両方が GCP を使用しています。パートナーのネットワークには会社の VPC 内の一部のリソースにアクセスする必要があるアプリケーションがあります。VPC 間に CIDR の重複はありません。
セキュリティを損なうことなく目的の結果を達成するために実装できるソリューションを選択してください。(回答は 2つ)

A. VPC ピアリング
B. 共有 VPC
C. Cloud VPN
D. Dedicated Interconnect
E. Cloud NAT

Correct Answer：C、D

Reference：
– VPC ネットワーク | Google Cloud

Question 011

2 つのオブジェクトを含むストレージバケットがあります。
バケットで Cloud CDN が有効になっており、両方のオブジェクトが正常にキャッシュされています。ここで 2 つのオブジェクトのうちの 1 つがキャッシュされなくなり、常にオリジンから直接インターネットに提供されるようにする必要があります。
何をするべきでしょうか？

A. もうキャッシュしたくないオブジェクトがパブリックに共有されていないことを確認してください。
B. 新しいストレージバケットを作成し、チェックしたくないオブジェクトをその中に移動します。次に、バケット設定を編集し、プライベート属性を有効にします。
C. 2 つのオブジェクトを含むストレージバケットに適切なライフサイクルルールを追加します。
D. もうキャッシュしたくないオブジェクトのメタデータに値 private を持つ Cache-Control エントリを追加します。以前にキャッシュされたすべてのコピーを無効にします。

Correct Answer：A

Reference：
– キャッシュ | web.dev

Question 012

次のオブジェクトを含むストレージバケットがあります。
– folder-a/image-a-1.jpg
– folder-a/image-a-2.jpg
– folder-b/image-b-1.jpg
– folder-b/image-b-2.jpg
ストレージバケットで Cloud CDN が有効になっており、4 つのオブジェクトすべてが正常にキャッシュされています。最小数のコマンドを使用し、プレフィックス folder-a を持つすべてのオブジェクトのキャッシュされたコピーを削除したいと考えています。
何をするべきでしょうか？

A. ストレージバケットに適切なライフサイクルルールを追加します。
B. パターン /folder-a/* でキャッシュ無効化コマンドを発行します。
C. プレフィックスが folder-a のすべてのオブジェクトがパブリックに共有されていないことを確認します。
D. ストレージバケットで Cloud CDN を無効にします。90 秒待ちます。ストレージバケットで Cloud CDN を再度有効にします。

Correct Answer：B

Reference：
– ファイルの無効化 – Amazon CloudFront

Question 013

最近、アプリケーションを Google Cloud にデプロイしました。
オンプレミスワークロードをデプロイする前に Google Cloud ネットワーク構成を確認する必要があります。Google Cloud ネットワーク構成でクラウドリソースからオンプレミスネットワークへのトラフィックの流れが許可されていることを確認したいと考えています。この検証ではデータプレーンテストトラフィックを送信せずに Google Cloud ネットワーク構成の潜在的な障害点も分析および診断する必要があります。
何をするべきでしょうか？

A. VPC フローログを有効にし、テストトラフィックを送信します。
B. Network Intelligence Center のネットワークトポロジビジュアライゼーションを使用します。
C. Network Intelligence Center の接続テストを使用します。
D. アプリケーションでパケットミラーリングを有効にし、テストトラフィックを送信します。

Correct Answer：B

Question 014

あなたの会社は Altostrat (現在の GCP の顧客) の買収を完了しました。
各企業は GCP に個別の組織を持ち、カスタム DNS ソリューションを実装しています。各組織は 1 年以内に完全な移行とアーキテクチャのレビューが完了するまで、現在のドメインとホスト名を保持します。これらは両方の GCP 環境の前提です。
– 各組織は共有 VPC を使用し、すべてのプロジェクト間の完全な接続を有効にしています。
– どちらの組織もインスタンスに 10.0.0.0/8 アドレス空間を厳密に使用しています。ただし、踏み台ホスト (インスタンスにアクセスするため) と Web トラフィックを処理するためのロードバランサは除きます。
– 2 つの組織間でプレフィックスの重複はありません。
– どちらの組織も 10.0.0.0/8 アドレス空間からのすべてのインバウンドおよびアウトバウンドトラフィックを許可するファイアウォールルールを既に持っています。
– どちらの組織もオンプレミス環境への相互接続を持っていません。
両方の組織のネットワークと DNS インフラストラクチャをできるだけ迅速に、最小限のダウンタイムで統合したいと考えています。
どの 2 つの手順を実行する必要がありますか？ (回答は 2つ)

A. Cloud Interconnect をプロビジョニングし、両方の組織を接続します。
B. 各組織で DNS 転送とゾーン転送のバリアントを設定します。
C. Cloud VPN と Cloud Router を併用し、両方の組織の VPC を接続します。
D. Cloud DNS を使用し、両方の組織のすべてのプロジェクトにわたってすべての VM とリソースの A レコードを作成します。
E. 新しいホストプロジェクトで 3 番目の組織を作成し、共有 VPC を使用して会社と Altostrat のすべてのプロジェクトをそれに接続します。

Correct Answer：B、C

Reference：
– Cloud DNS のベストプラクティス | Google Cloud

Question 015

オンプレミスと GCP の間で Cloud VPN の使用を増やしており、1 つのトンネルで処理できるよりも多くのトラフィックをサポートしたいと考えています。
Cloud VPN を使用して利用可能な帯域幅を増やしたいと考えています。
何をするべきでしょうか？

A. オンプレミス VPN ゲートウェイの MTU を 1460 バイトから 2920 バイトに倍増します。
B. 同じ Cloud VPN ゲートウェイ上に同じ宛先 VPN ゲートウェイの IP アドレスを指す 2 つの VPN トンネルを作成します。
C. 別のパブリック IP アドレスを持つ 2 つ目のオンプレミス VPN ゲートウェイを追加します。同じ IP 範囲を転送する新しいオンプレミスゲートウェイ IP を指す既存の Cloud VPN ゲートウェイに 2 つ目のトンネルを作成します。
D. 既存の VPN ゲートウェイとは異なるリージョンに 2 つ目の Cloud VPN ゲートウェイを追加します。同じ IP 範囲を転送する既存のオンプレミス VPN ゲートウェイの IP アドレスを指す 2 番目の Cloud VPN ゲートウェイに新しいトンネルを作成します。

Correct Answer：C

Reference：
– Classic VPN トポロジ #冗長性とフェイルオーバーのオプション | Google Cloud

Question 016

プロジェクト my-project では Virtual Private Cloud (VPC) に 2 つのサブネットがあります。
サブネット a の IP 範囲は 10.128.0.0/20 でサブネット b の IP 範囲は 172.16.0.0/24 です。サブネット a にデータベースサーバーをデプロイする必要があります。また、アプリケーションサーバーと Web サーバーをサブネット b に展開します。アプリケーションサーバーからデータベースサーバーへのデータベーストラフィックのみを許可するファイアウォールルールを構成したいと考えています。
何をするべきでしょうか？

A. ネットワークタグ app-server とサービスアカウント sa-db@my-project.iam.gserviceaccount.com を作成します。タグをアプリケーションサーバーに追加し、サービスアカウントをデータベースサーバーに関連付けます。
次のコマンドを実行します。
gcloud compute firewall-rules create app-db-firewall-rule \ –action allow \ –direction ingress \ –rules top:3306 \ –source-tags app-server \ –target-service-accounts sa-db@my-project.iam.gserviceaccount.com
B. サービスアカウント sa-app@my-project.iam.gserviceaccount.com および sa-db@my-project.iam.gserviceaccount.com を作成します。サービスアカウント sa-app をアプリケーションサーバーに関連付け、サービスアカウント sa-db をデータベースサーバーに関連付けます。
次のコマンドを実行します。
gcloud compute firewall-rules create app-db-firewall-ru –allow TCP:3306 \ –source-service-accounts sa-app@democloud-idp-demo.iam.gserviceaccount.com \ –target-service-accounts sa-db@my-project.iam.gserviceaccount.com
C. サービスアカウント sa-app@my-project.iam.gserviceaccount.com と sa-db@my-project.iam.gserviceaccount.com を作成します。サービスアカウント sa-app をアプリケーションサーバーに関連付け、サービスアカウント sa-db をデータベースサーバーに関連付けます。
次のコマンドを実行します。
gcloud compute firewall-rules create app-db-firewall-ru –allow TCP:3306 \ –source-ranges 10.128.0.0/20 \ –source-service-accounts sa-app@my-project.iam.gserviceaccount.com \ –target-service-accounts sa-db@my-project.iam.gserviceaccount.com
D. ネットワークタグ app-server および db-server を作成します。アプリケーションサーバーに app-server タグを追加し、データベースサーバーに db-server タグを追加します。
次のコマンドを実行します。
gcloud compute firewall-rules create app-db-firewall-rule \ –action allow \ –direction ingress \ –rules tcp:3306 \ –source-ranges 10.128.0.0/20 \ –source-tags app-server \ –target-tags db-server

Correct Answer：D

Question 017

Partner Interconnect を使用してオンプレミスネットワークを VPC に接続したいと考えています。
すでに Interconnect パートナーを持っています。
最初にすべきことは何でしょうか？

A. パートナーのポータルにログインし、そこで VLAN アタッチメントをリクエストします。
B. Interconnect パートナーに Google への物理接続をプロビジョニングするよう依頼します。
C. GCP Console で Partner Interconnect タイプの VLAN アタッチメントを作成し、ペアリングキーを取得します。
D. gcloud compute interconnect attachments partner update <attachment> / — region <region> –admin-enabled を実行します。

Correct Answer：B

サービスプロバイダとの Partner Interconnect 接続をプロビジョニングするにはオンプレミスネットワークに接続することから始めますサービスプロバイダーと協力して接続を確立します。

Reference：
– Partner Interconnect の概要 #プロビジョニング | Google Cloud

Question 018

IPv6 を使用して GCP でサービスを作成したいと考えています。
何をするべきでしょうか？

A. 指定された IPv6 アドレスで TCP プロキシを構成します。
B. 指定された IPv6 アドレスでグローバルロードバランサを構成します。
C. IPv6 アドレスを指定してインスタンスを作成します。
D. 指定された IPv6 アドレスで内部ロードバランサを構成します。

Correct Answer：A

Question 019

あなたの会社には Cloud Interconnect 接続を使用してオンプレミスの場所からアクセスできる GCP にデプロイされた単一の Virtual Private Cloud (VPC) ネットワークがあります。
あなたの会社はパブリックインターネット経由で他の Google API やサービスにアクセスしながら Interconnect リンクを介して Cloud Storage にトラフィックを送信できる必要があります。
何をするべきでしょうか？

A. 限定公開の Google アクセスを使用します。Cloud Storage には private.googleapis.com 仮想 IP アドレスを使用し、他のすべての Google API およびサービスには limited.googleapis.com 仮想 IP アドレスを使用します。
B. すべての Google API とサービスにデフォルトのパブリックドメインを使用します。
C. 限定公開の Google アクセスを使用し、Cloud Storage には limited.googleapis.com 仮想 IP アドレスを使用し、他のすべての Google API とサービスには private.googleapis.com を使用します。
D. Private Service Connect を使用して Cloud Storage にアクセスし、他のすべての Google API とサービスにはデフォルトのパブリックドメインを使用します。

Correct Answer：D

Question 020

Cloud Interconnect を使用してオンプレミスネットワークを GCP VPC に接続したいと考えています。
ポイントオブプレゼンス (POP) の場所の 1 つで Google に会うことができず、オンプレミスルーターは Border Gateway Protocol (BGP) 構成を実行できません。
どの接続モデルを使用する必要がありますか？

A. ダイレクトピアリング
B. Dedicated Interconnect
C. レイヤ 2 パートナーとの Partner Interconnect
D. レイヤ 3 パートナーとの Partner Interconnect

Correct Answer：D

レイヤー 3 接続の場合、サービスプロバイダは Cloud Router と各 VLAN アタッチメントのエッジルーターの間に BGP セッションを確立します。オンプレミスルーターで BGP を構成する必要はありません。Google とサービスプロバイダによって正しい構成が自動的に設定されます。

Reference：
– Partner Interconnect の概要 #レイヤ 2 とレイヤ 3 の接続 | Google Cloud

Question 021

プロジェクト内のすべてのインスタンスで個人の SSH キーが機能することを確認する必要があります。
これをできるだけ効率的に達成したいと考えています。
何をするべきでしょうか？

A. 公開 ssh キーをプロジェクトのメタデータにアップロードします。
B. 公開 ssh キーを各インスタンスのメタデータにアップロードします。
C. 公開 ssh キーが埋め込まれたカスタム Google Compute Engine イメージを作成します。
D. gcloud compute ssh を使用し、ssh 公開鍵をインスタンスに自動的にコピーします。

Correct Answer：A

Reference：
– アクセス方法を選択する | Compute Engine ドキュメント | Google Cloud

Question 022

あなたは GCP に移行している多国籍企業で働いています。
クラウドの要件は次のとおりです。
– 米国のオレゴン州とニューヨーク州にあるオンプレミスデータセンターでクラウドリージョン us-west1 (プライマリ HQ) と us-east4 (バックアップ) に接続された専用相互接続を備えています。
– ヨーロッパとアジア太平洋地域の複数の地域オフィス
– ヨーロッパ-西1とオーストラリアでは地域データ処理が必要です。
– 集中ネットワーク管理チーム
セキュリティおよびコンプライアンスチームは URL フィルタリングの L7 インスペクションを実行するために仮想インラインセキュリティアプライアンスを必要としています。
– us-west1 にアプライアンスをデプロイします。
何をするべきでしょうか？

A.
- 共有 VPC サービスプロジェクトに 1 つの VPC を作成します。
- サービスプロジェクトのゾーン us-west1-a で 2 NIC インスタンスを構成します。
- サービスプロジェクトの us-west1 サブネットに NIC0 を接続します。
- サービスプロジェクトの us-west1 サブネットに NIC1 を接続し、インスタンスをデプロイします。
- インスタンスを介してトラフィックを渡すために必要なルートとファイアウォールルールを構成します。
B.
- 共有 VPC ホストプロジェクトに 1 つの VPC を作成します。
- ホストプロジェクトのゾーン us-west1-a で 2 NIC インスタンスを構成します。
- ホストプロジェクトの us-west1 サブネットに NIC0 を接続します。
- ホストプロジェクトの us-west1 サブネットに NIC1 を接続します。
- インスタンスをデプロイします。
- インスタンスを介してトラフィックを渡すために必要なルートとファイアウォールルールを構成します。
C.
- 共有 VPC ホストプロジェクトに 2 つの VPC を作成します。
- サービスプロジェクトのゾーン us-west1-a で 2 NIC インスタンスを構成します。
- ホストプロジェクトの VPC #1 us-west1 サブネットに NIC0 をアタッチします。
- ホストプロジェクトの VPC #2 us-west1 サブネットに NIC1 をアタッチします。
- インスタンスをデプロイします。
- インスタンスを介してトラフィックを渡すために必要なルートとファイアウォールルールを構成します。
D.
- 共有 VPC ホストプロジェクトに 2 つの VPC を作成します。
- ホストプロジェクトのゾーン us-west1-a で 2 NIC インスタンスを構成します。
- ホストプロジェクトの VPC #1 us-west1 サブネットに NIC0 をアタッチします。
- ホストプロジェクトの VPC #2 us-west1 サブネットに NIC1 をアタッチします。
- インスタンスをデプロイします。
- インスタンスを介してトラフィックを渡すために必要なルートとファイアウォールルールを構成します。

Correct Answer：D

Question 023

単一の Compute Engine ゾーンにインスタンスを手動で配置し、概念実証アプリケーションをデプロイしました。
アプリケーションを本番環境に移行しているため、アプリケーションの可用性を高め、自動スケーリングできるようにする必要があります。
インスタンスをどのようにプロビジョニングする必要がありますか？

A. マネージドインスタンスグループを 1 つ作成し、目的のリージョンを指定して場所として [複数のゾーン] を選択します。
B. リージョンごとにマネージドインスタンスグループを作成し、場所に [単一ゾーン] を選択してそのリージョン内のゾーン全体にインスタンスを手動で分散します。
C. 単一のゾーンに非マネージドインスタンスグループを作成し、インスタンスグループの HTTP ロードバランサを作成します。
D. ゾーンごとに非マネージドインスタンスグループを作成し、目的のゾーンにインスタンスを手動で分散します。

Correct Answer：B

Reference：
– MIG で VM 構成の更新を自動的に適用する | Compute Engine ドキュメント | Google Cloud

Question 024

オンプレミスネットワークに接続するように Google Cloud 環境を構成しています。
構成はプライベート Cloud Interconnect ネットワークを介して Cloud Storage API と Google Kubernetes Engine ノードに到達できる必要があります。Interconnect VLAN アタッチメントを使用して Cloud Router を構成済みです。次に Cloud Router で適切なルーターアドバタイズ構成を設定する必要があります。
何をするべきでしょうか？

A. ルートアドバタイズメントをカスタム設定に設定し、手動でプレフィックス 199.36.153.8/30 をアドバタイズリストに追加します。すべての可視サブネットを Cloud Router にアドバタイズします。
B. ルートアドバタイズメントをカスタム設定に構成し、アドバタイズメントのリストにプレフィックス 199.36.153.8/30 を手動で追加します。他のすべてのオプションはデフォルト設定のままにします。
C. オンプレミスルーターで Cloud Router のリンクローカル IP アドレスを指すストレージ API 仮想 IP アドレスの静的ルートを構成します。
D. ルート広告をデフォルト設定に設定します。

Correct Answer：B

Reference：
– オンプレミスホストの限定公開の Google アクセスを構成する #VPC ネットワークのカスタムルーティング | VPC | Google Cloud
– ネットワーキング | Cloud アーキテクチャセンター | Google Cloud
– 限定公開の Google アクセスの仕組みと手順をきっちり解説 – G-gen Tech Blog

Question 025

あなたは最近、組織の ID およびアクセス管理の管理を担当するようになりました。
複数のプロジェクトがあり、可能な限りスクリプトと自動化を使用したいと考えています。プロジェクトメンバーに編集者の役割を付与したいと考えています。
これを達成するために使用できる方法はどれですか？ (回答は 2つ)

A. GetIamPolicy() via REST API
B. setIamPolicy() via REST API
C. gcloud pubsub add-iam-policy-binding Sprojectname –member user:Susername –role roles/editor
D. gcloud projects add-iam-policy-binding Sprojectname –member user:Susername –role roles/editor
E. [メンバーの追加] フィールドにメールアドレスを入力し、GCP コンソールのドロップダウンメニューから目的のロールを選択します。

Correct Answer：C、E

Reference：
– プロジェクト、フォルダ、組織へのアクセス権の管理 | IAM のドキュメント | Google Cloud

Question 026

Google Compute Engine 上のデータベース仮想マシンにはデータファイル用の ext4 形式の永続ディスクがあります。
データベースのストレージ容量が不足しています。
どうすれば最小限のダウンタイムで問題を解決できますか？

A. Cloud Platform Console で永続ディスクのサイズを増やし、Linux で resize2fs コマンドを使用します。
B. 仮想マシンをシャットダウンし、Cloud Platform Console を使用して永続ディスクのサイズを増やしてから仮想マシンを再起動します。
C. Cloud Platform Console で永続ディスクのサイズを増やし、Linux の fdisk コマンドで新しいスペースを使用する準備ができていることを確認します。
D. Cloud Platform Console で仮想マシンにアタッチされた新しい永続ディスクを作成し、それをフォーマットしてマウントし、ファイルを新しいディスクに移動するようにデータベースサービスを構成します。
E. Cloud Platform Console で永続ディスクのスナップショットを作成し、そのスナップショットを新しい大きなディスクに復元し、古いディスクをアンマウントし、新しいディスクをマウントしてデータベースサービスを再起動します。

Correct Answer：A

A (正解) – Cloud Platform Console で永続ディスクのサイズを増やし、Linux で resize2fs コマンドを使用します。
手順は次のとおりです。
Cloud Platform コンソールで永続ディスクのサイズを増やします。コンソールでサイズの増加を示した後、新しいサイズを有効にするには VM を再起動するか、VM のオペレーティングシステム (Windows または Linux) で構成するかの 2 つのオプションがあります。

Question 027

あなたのソフトウェアチームは RFC 1918 アドレス空間を使用して GCP の Compute Engine インスタンスに直接接続する必要があるオンプレミス Web アプリケーションを開発しています。次の仕様を考慮してオンプレミス環境から GCP への接続ソリューションを選択したいと考えています。
– ご利用の ISP は Google Partner Interconnect プロバイダです。
– オンプレミス VPN デバイスのインターネットアップリンクとダウンリンクの速度は 10 Gbps です。
– オンプレミスゲートウェイと GCP 間のテスト VPN 接続は最大速度パケット損失のため 500 Mbps。
– ほとんどのデータ転送は GCP からオンプレミス環境に行われます。
– アプリケーションはインターコネクトを介したピーク転送時に最大 1.5 Gbps までバーストできます。
– ソリューションのコストと複雑さは最小限に抑える必要があります。
接続ソリューションをどのようにプロビジョニングする必要がありますか？

A. パケット損失を考慮して複数の VPN トンネルを作成し、ECMP を使用して帯域幅を増やします。
B. ISP を介して Partner Interconnect をプロビジョニングします。
C. VPN の代わりに Dedicated Interconnect をプロビジョニングします。
D. VPN 経由でネットワーク圧縮を使用し、VPN 経由で送信できるデータの量を増やします。

Correct Answer：

Question 028

あなたは米国最大のデジタルメディア企業の 1 つで働いています。
会社の経営陣は 90 TB のバックアップとアーカイブデータを Google Cloud に移行することを決定しました。彼らは Google Cloud での障害復旧用に費用対効果の高い長期的なアーカイブストレージを探しています。
適切なソリューションを選択してください。

A. Storage Transfer と Nearline ストレージ
B. Transfer Appliance と Coldline ストレージ
C. gsutil とクラウドストレージ
D. Transfer Appliance と Nearline ストレージ

Correct Answer：B

B が正しい選択です。Transfer Appliance は大量のデータを移動するための最良の選択肢であり、長期的な費用対効果の高い災害復旧ソリューションを探しているため、coldline が最良の選択肢です。
A は不正解です。オンラインデータを Cloud Storage にインポートするために Storage Transfer が使用されます。オンラインデータソースは Amazon Simple Storage Service (Amazon S3) バケット、HTTP/HTTPS ロケーション、または Cloud Storage バケットにすることができます。
C は不正解です。gsutil は大量のデータ転送には推奨されません。帯域幅によってはデータ転送に非常に長い時間がかかります。
D は不正解です。なぜなら Coldline は災害復旧用のより費用対効果の高いアーカイブストレージだからです。

Question 029

Cloud Interconnect VLAN アタッチメントを作成、変更、削除するにはネットワーク運用チームの各メンバーに最小限の権限を付与する必要があります。
何をするべきでしょうか？

A. 各ユーザーに編集者の役割を割り当てます。
B. 各ユーザーに compute.networkAdmin ロールを割り当てます。
C. 各ユーザーに次のアクセス許可のみを付与します。
compute.interconnectAttachments.create, compute.interconnectAttachments.get
D. 各ユーザーに次のアクセス許可のみを付与します。
compute.interconnectAttachments.create, compute.interconnectAttachments.get, compute.routers.create, compute.routers.get, compute.routers.update

Correct Answer：D

Reference：
– VLAN アタッチメントを作成する | Cloud Interconnect | Google Cloud

Question 030

オンプレミスデータセンターには各ルーターの VPN を介して GCP 環境に接続された 2 つのルーターがあります。
すべてのアプリケーションは正常に動作しています。ただし、必要に応じて 2 つの接続間で負荷分散されるのではなく、すべてのトラフィックが単一の VPN を通過します。トラブルシューティング中に次のことがわかります。
– 各オンプレミスルーターは一意の ASN で構成されます。
– 各オンプレミスルーターは同じルートと優先順位で構成されます。
– 両方のオンプレミスルーターは単一の Cloud Router に接続された VPN で構成されています。
– BGP セッションはオンプレミスルーターと Cloud Router の両方の間で確立されます。
– オンプレミスルーターのルートの 1 つだけがルーティングテーブルに追加されます。
この問題の最も可能性の高い原因は何でしょうか？

A. オンプレミスルーターで使用されている ASN が異なります。
B. オンプレミスルーターは同じルートで構成されます。
C. ファイアウォールが 2 番目の VPN 接続を通過するトラフィックをブロックしています。
D. ネットワークトラフィックを負荷分散するためのロードバランサがありません。

Correct Answer：A

Question 031

us-central1 リージョンで現在ホストされている Web アプリケーションがあります。
ユーザーはアジアを旅行するときに高い遅延を経験します。ネットワークロードバランサを構成しましたが、ユーザーはパフォーマンスの向上を経験していません。レイテンシーを減らしたい。
何をするべきでしょうか？

A. ポリシーベースのルートルールを構成し、トラフィックに優先順位を付けます。
B. HTTP ロードバランサを構成し、トラフィックをそこに転送します。
C. アプリケーションをホストするサブネットの動的ルーティングを構成します。
D. DNS ゾーンの TTL を構成し、更新間の時間を短縮します。

Correct Answer：B

Reference：
– ロードバランシングによるアプリケーションレイテンシの最適化 | 負荷分散 | Google Cloud

Question 032

あなたの会社は最近、EMEA ベースの業務を APAC に拡大しました。
グローバルに分散したユーザーは SMTP および IMAP サービスが遅いと報告しています。あなたの会社はエンドツーエンドの暗号化を必要としていますが SSL 証明書にアクセスできません。
どの Google Cloud ロードバランサを使用する必要がありますか？

A. HTTPS ロードバランサ
B. ネットワークロードバランサ
C. SSL プロキシロードバランサ
D. TCP プロキシロードバランサ

Correct Answer：C

Question 033

キャッシュ可能なコンテンツの送信元として HTTP(S) 負荷分散を使用して Cloud CDN を構成しました。
Web サーバーで圧縮が構成されていますが Cloud CDN によって提供されるレスポンスは圧縮されていません。
問題の最も可能性の高い原因は何でしょうか？

A. Cloud CDN で圧縮を構成していません。
B. Web サーバーと Cloud CDN を異なる圧縮タイプで構成しました。
C. ロードバランサの背後にある Web サーバーは、異なる圧縮タイプで構成されています。
D. リクエストに Via ヘッダーがある場合でも、レスポンスを圧縮するように Web サーバーを構成する必要があります。

Correct Answer：D

Cloud CDN によって提供されるレスポンスが圧縮されていないのに圧縮されるべきである場合はインスタンスで実行されている Web サーバーソフトウェアがレスポンスを圧縮するように構成されていることを確認してください。デフォルトでは一部の Web サーバーソフトウェアは Via ヘッダーを含む要求の圧縮を自動的に無効にします。Via ヘッダーの存在はリクエストがプロキシによって転送されたことを示します。HTTP(S) ロードバランシングなどの HTTP プロキシは HTTP 仕様の要求に従って各リクエストに Via ヘッダーを追加します。
圧縮を有効にするには Web サーバーの既定の構成をオーバーライドし、要求に Via ヘッダーが含まれていても応答を圧縮するように指示する必要がある場合があります。

Reference：
– Cloud CDN のトラブルシューティング | Google Cloud

Question 034

サードパーティの次世代ファイアウォールを使用してトラフィックを検査しています。
下り (外向き) トラフィックをファイアウォールにルーティングするために 0.0.0.0/0 のカスタムルートを作成しました。トラフィックをファイアウォール経由で送信せずに、パブリック IP アドレスを持たない VPC インスタンスが BigQuery API と Cloud Pub/Sub API にアクセスできるようにしたいと考えています。
どのアクションを実行する必要がありますか？ (回答は 2つ)

A. デフォルトのインターネットゲートウェイ経由で Google API とサービスの外部 IP アドレスにトラフィックを送信するカスタム静的ルートのセットを作成します。
B. サブネットレベルで限定公開の Google アクセスをオンにします。
C. カスタムの静的ルートのセットを作成し、デフォルトのインターネットゲートウェイ経由で Google API とサービスの内部 IP アドレスにトラフィックを送信します。
D. VPC レベルで限定公開の Google アクセスを有効にします。
E. VPC レベルで限定公開のサービスアクセスを有効にします。

Correct Answer：C、E

Question 035

あなたの会社のセキュリティチームは可能な限りマネージドサービスを使用する傾向があります。
運用上のオーバーヘッドを増やすことなく、構成されたファイアウォールルールに対して発生した拒否ヒットの数を表示するダッシュボードを構築する必要があります。
何をするべきでしょうか？

A. ファイアウォールルールのログを構成します。Cloud Logging でログを表示し、Cloud Monitoring でカスタムダッシュボードを作成してヒット数を表示します。
B. ファイアウォールルールのログ記録を構成します。Firewall Insights を使用し、ヒット数を表示します。
C. Google Cloud Marketplace からファイアウォールアプライアンスを構成します。このアプライアンスを介してすべてのトラフィックをルーティングし、このレイヤーでファイアウォールルールを適用します。ファイアウォールアプライアンスを使用してヒット数を表示します。
D. VPC でパケットミラーリングを構成します。拒否されたファイアウォールルールの IP アドレスリストでフィルタを適用します。侵入検知システム (IDS) アプライアンスをレシーバーとして構成し、ヒット数を表示します。

Correct Answer：B

Question 036

あなたの会社は、人気のあるゲームサービスを提供しています。
インスタンスはプライベート IP アドレスでデプロイされ、グローバルロードバランサーを介して外部アクセスが許可されます。あなたは最近、トラフィックスクラビングサービスを利用しており、オリジンをトラフィックスクラビング (浄化)) サービスからの接続のみを許可するように制限したいと考えています。
何をするべきでしょうか？

A. トラフィックスクラビングサービスを除くすべてのトラフィックをブロックする Cloud Armor セキュリティポリシーを作成します。
B. トラフィックスクラビングサービスを除くすべてのトラフィックをブロックする VPC ファイアウォールルールを作成します。
C. トラフィックスクラビングサービスを除くすべてのトラフィックをブロックする VPC Service Control Perimeter を作成します。
D. トラフィックスクラビングサービスを除くすべてのトラフィックをブロックする IP Tables ファイアウォールルールを作成します。

Correct Answer：A

グローバルロードバランサが接続をプロキシします。したがって、セッションの発信元 IP の痕跡はありません。Cloud Armor を使用してサービスを調整する必要があります。

Reference：
– 外部アプリケーションロードバランサの概要 | 負荷分散 | Google Cloud

Question 037

サービスアカウントを使用して認証する作業自動化にステップを追加しています。
Cloud Storage バケットからファイルを取得する機能を自動化する必要があります。組織では可能な限り最小限の特権を使用する必要があります。
何をするべきでしょうか？

A. compute.instanceAdmin をユーザーアカウントに付与します。
B. iam.serviceAccountUser をユーザーアカウントに付与します。
C. Cloud Storage バケットのサービスアカウントに読み取り専用権限を付与します。
D. Cloud Storage バケットのサービスアカウントに cloud-platformprivilege を付与します。

Correct Answer：B

Reference：
– Compute Engine IAM のロールと権限 | Compute Engine ドキュメント | Google Cloud

Question 038

Cloud DNS マネージドゾーンの 1 つで DNSSEC を無効にしています。
ゾーンファイルから DS レコードを削除し、それらがキャッシュから期限切れになるのを待ち、ゾーンの DNSSEC を無効にしました。DNSSEC 検証解決がゾーン内の名前を解決できないというレポートを受け取ります。
何をするべきでしょうか？

A. ゾーンの TTL を更新します。
B. ゾーンを TRANSFER 状態に設定します。
C. ドメインレジストラで DNSSEC を無効にします。
D. ドメインの所有権を新しいレジストラに譲渡します。

Correct Answer：C

使用するマネージドゾーンの DNSSEC を無効にする前にドメインレジストラーで DNSSEC を無効にして DNSSEC 検証リゾルバーが引き続きゾーン内の名前を解決できるようにする必要があります。

Question 039

データの流出を防ぐために境界内に 2 つの Google Cloud プロジェクトがあります。
3 番目のプロジェクトを境界内に移動する必要があります。ただし、この移動は既存の環境に悪影響を及ぼす可能性があります。変更の影響を検証する必要があります。
何をするべきでしょうか？

A. 境界内の Resource Manager 監査ログを監視します。
B. 3 番目のプロジェクト内で VPC フローログを有効にし、ログに悪影響がないか監視します。
C. 3 番目のプロジェクト内でファイアウォールルールのログ記録を有効にします。
D. 既存の VPC Service Controls ポリシーを変更し、ドライランモードの新しいプロジェクトを含めます。

Correct Answer：D

Question 040

会社のオンプレミスネットワークは Cloud VPN トンネルを使用して VPC に接続されています。
VPC で定義されたネクストホップとして VPN トンネルを持つ 0.0.0.0/0 の静的ルートがあります。現在、すべてのインターネットバウンドトラフィックはオンプレミスネットワークを通過します。1 つのリージョン内の Compute Engine インスタンスのプライマリ IP アドレスを変換するように Cloud NAT を構成しました。これらのインスタンスからのトラフィックはオンプレミスネットワークからではなく、VPC から直接インターネットに到達するようになります。仮想マシン (VM) からのトラフィックが期待どおりにアドレスを変換していません。
何をするべきでしょうか？

A. 外部 NAT IP アドレスの出入りを許可し、Compute Engine インスタンスにあるターゲットタグを持ち、VPN ゲートウェイへのデフォルトルートの優先値よりも高い優先値を持つファイアウォールルールを追加します。
B. デフォルトのインターネットゲートウェイをネクストホップとして使用し、Compute Engine インスタンスに関連付けられたネットワークタグを使用し、デフォルトの静的ルートを VPC に追加し、VPN トンネルへのデフォルトルートの優先度よりも高い優先度を追加します。
C. NAT ゲートウェイの TCP 確立接続アイドルタイムアウトを下げます。
D. Cloud NAT ゲートウェイのデフォルトの min-ports-per-vm 設定を増やします。

Correct Answer：C

Question 041

あなたの会社は写真を Google Cloud Storage バケットにアップロードするモバイルアプリケーションを立ち上げました。
アプリケーションは写真を Google Cloud Storage バケットに正常にアップロードしていましたが、最近アプリケーションの人気が高まり、429 エラーが表示されるようになりました。
何をするべきでしょうか？ (回答は 2つ)

A. クライアントのリクエストを抑制します。
B. 切り捨て指数バックオフを使用します。
C. OAuth アクセストークンの有効期限が切れており、更新する必要があります。
D. /upload または /download URL で正しい動詞を使用します。

Correct Answer：A、B

429 エラーは要求が多すぎるために発生するため、A と B が正しい選択です。アプリケーションが制限を超えて使用しようとすると、追加の要求は失敗します。クライアントのリクエストを抑制し、切り捨てられた指数バックオフを使用します。
C は不正解です。OAuth アクセストークンの有効期限が切れると 401(無許可) エラーが発生するためです。
D は不正解です。/upload または /download の URL で間違った動詞を使用すると 405 (メソッドは許可されていないエラー)

Question 042

HTTP(s) ロードバランサをデプロイしましたが Compute Engine 仮想マシンインスタンスのポート 80 へのヘルスチェックが失敗し、インスタンスにトラフィックが送信されません。問題を解決したいと考えています。
どのコマンドを実行する必要がありますか？

A. gcloud compute health-checks update http health-check –unhealthy-threshold 10
B. gcloud compute instances add-access-config instance-1
C. gcloud compute firewall-rules create allow-lb –network load-balancer –allow tcp –destination-ranges 130.211.0.0/22,35.191.0.0/16 –direction egress
D. gcloud compute firewall-rules create allow-lb –network load-balancer –allow tcp –source-ranges 130.211.0.0/22,35.191.0.0/16 –direction ingress

Correct Answer：B

Question 043

次のプライベート Google Kubernetes Engine (GKE) クラスタのデプロイがあります。

gcloud container cluster describe customer-1-cluster --zone us-centrall-c

clusterIpv4Cidr; 192.168.36.0/24
endpoint: 192.168.38.2
ipAllocationPolicy:
  clusterIpv4Cidr: 192.168.36.0/24
  clusterIpv4CidrBlock: 192.168.36.0/24
  clusterSecondaryRangeName: customer-1-pods
  servicesIpCidr: 192.168.37.0/24
  servicesSecondaryBlock:192.168.370/24
  servicesSecondaryRangeName: customer-1-svc
  useIpAliases: ture

masterAuthorizedNetworksConfig:
privareClusterConfig:
  enablePrivateEndpoint: ture
  enablePrivateNode: ture
  masterIpv4CidrBlock: 192.168.38.0/28
  privateEndpoint: 192.168.38.2
  publicEndpoint: 35.224.37.17

servicesIpv4Cidr: 192.162.37.0/24

subnetwork: customer-1-nodes
zone: us-centrall-c
servicesIpv4Cidr: 192.162.37.0/24

内部 IP アドレス 192.168.40 2/24 と外部 IP アドレスが割り当てられていないサブネットワーク kubernetes-management の同じ VPC にデプロイされた仮想マシン (VM) があります。kubectl を使用してクラスタマスターと通信する必要があります。
何をするべきでしょうか？

A. ネットワーク 192.168.38.0/28 を masterAuthorizedNetworksConfig に追加します。Endpoint 192.168.38.2 と通信するように kubectl を構成します。
B. ネットワーク 192.168.40.0/24 を masterAuthorizedNetworksConfig に追加します。Endpoint 192.168.38.2 と通信するように kubectl を構成します。
C. 外部 IP アドレスを VM に追加し、この IP アドレスを masterAuthorizedNetworksConfig に追加します。Endpoint 35.224.37.17 と通信するように kubectl を構成します。
D. ネットワーク 192.168.36.0/24 を masterAuthorizedNetworksConfig に追加します。Endpoint 192.168.38.2 と通信するように kubectl を構成します。

Correct Answer：B

Question 044

ネットワーク管理者権限のみが割り当てられている共有 VPC でファイアウォールルールを更新しようとしています。
ファイアウォールルールは変更できません。組織では必要最小限の特権を使用する必要があります。
どのレベルのアクセス許可を要求する必要がありますか？

A. 共有 VPC 管理者からのセキュリティ管理者権限。

B. 共有 VPC 管理者からのサービスプロジェクト管理者権限。

C. 組織管理者からの共有 VPC 管理者権限。

D. 組織管理者からの組織管理者権限。

Correct Answer：A

Question 045

あなたの組織にはデフォルトの VPC 構成を使用する us-east1、us-west4、europe-west4 のサブネットを持つ Google Cloud Virtual Private Cloud (VPC) があります。
ヨーロッパの支社の従業員は HA VPN を使用して VPC 内のリソースにアクセスする必要があります。europe-west4 にデプロイされた Cloud Router を使用し、組織の Google Cloud VPC に関連付けられた HA VPN を構成しました。ブランチオフィスのユーザーが VPC 内のすべてのリソースにすばやく簡単にアクセスできるようにする必要があります。
何をするべきでしょうか？

A. サブネットごとにカスタムのアドバタイズルートを作成します。
B. アドバタイズされたルートを Cloud Router のグローバルに設定します。
C. Cloud VPN を使用してブランチオフィスに接続するように各サブネットの VPN 接続を構成します。
D. VPC 動的ルーティングモードをグローバルに構成します。

Correct Answer：D

Question 046

Virtual Private Cloud (VPC) 内の一部のサブネットで使用するには限定公開の Google アクセスを有効にする必要があります。
セキュリティチームは VPC をセットアップし、インターネットに向かうすべてのトラフィックをオンプレミスのデータセンターに送り返し、インターネットに出て行く前に検査を行います。また、API レベルのセキュリティ制御のために環境に VPC Service Controls を実装しています。限定公開の Google アクセスのサブネットは既に有効になっています。
セキュリティチームの要件を遵守しながら限定公開の Google アクセスを有効にするには、どのような構成変更を行う必要がありますか？

A.
- *.googleapis.com の CNAME レコードを使って private.googleapis.com にプライベート DNS ゾーンを作成し、A レコードを Google のプライベート AP アドレス範囲に描画します。
- デフォルトルート (0/0) をネクストホップとしてデフォルトインターネットゲートウェイにポイントするカスタムルートを変更します。
B.
- Google の制限された API アドレス範囲を指す A レコードを使用し、*.googleapis.com から limited.googleapis.com への CNAME レコードを持つプライベート DNS ゾーンを作成します。
- デフォルトルート (0/0) をネクストホップとしてデフォルトインターネットゲートウェイにポイントするカスタムルートを変更します。
C.
- Google の制限付き API アドレス範囲を指す A レコードを使用し、*.googleapis.com から limited.googleapis.com への CNAME レコードを持つプライベート DNS ゾーンを作成します。
- Google の制限付き API アドレス範囲をネクストホップとしてデフォルトのインターネットゲートウェイにポイントするカスタムルートを作成します。
D.
- *.googleapis.com から private.googleapis.com への CNAME レコードを使用してプライベート DNS ゾーンを作成し、A レコードが Google のプライベート API アドレス範囲を指すようにします。
- Google のプライベート API アドレス範囲をネクストホップとしてデフォルトのインターネットゲートウェイにポイントするカスタムルートを作成します。

Correct Answer：A

Question 047

開発チーム用に新しい VPC を作成しました。
この VPC 内のリソースへのアクセスを SSH のみで許可したいと考えています。
ファイアウォールルールをどのように構成する必要がありますか？

A. 優先度 1000 でポート 3389 を許可する単一のファイアウォールルールを作成します。
B. 2 つのファイアウォールルールを作成します。1 つは優先度 65536 ですべてのトラフィックをブロックし、もう 1 つは優先度 1000 でポート 3389 を許可します。
C. 優先度 1000 でポート 22 を許可する単一のファイアウォールルールを作成します。
D. 2 つのファイアウォールルールを作成します。1 つは優先度 0 ですべてのトラフィックをブロックし、もう 1 つは優先度 1000 でポート 22 を許可します。

Correct Answer：C

Reference：
– How to Configure Firewall Rules in Google Cloud Platform(GCP)

Question 048

マネージドインスタンスグループで実行されているアプリケーションがあります。
あなたの開発チームはあまりテストされていない新機能を含む更新されたインスタンステンプレートをリリースしました。新しいテンプレートにバグがあった場合、ユーザーへの影響を最小限に抑える必要があります。
インスタンスをどのように更新する必要がありますか？

A. 一部のインスタンスに手動でパッチを適用し、インスタンスグループでローリング再起動を実行します。
B. 新しいインスタンスグループをデプロイし、そのグループで更新されたテンプレートをカナリアします。新しい Canary インスタンスグループで新しい機能を確認し、元のインスタンスグループを更新します。
C. ローリング更新を開始し、インスタンスが新しいテンプレートを受け取るターゲットサイズを指定し、カナリア更新を実行します。Canary インスタンスで新しい機能を確認してから残りのインスタンスにロールフォワードします。
D. 新しいインスタンステンプレートを使用し、インスタンスグループ内のすべてのインスタンスに対してローリングアップデートを実行します。ロールアウトが完了したら新しい機能を確認します。

Correct Answer：B

Question 049

Virtual Private Cloud (VPC) 内の仮想マシン (VM) インスタンスが Google API にアクセスできるように限定公開の Google アクセスを有効にする必要があります。
すべての VM インスタンスにはプライベート IP アドレスしかなく、Cloud Storage にアクセスする必要があります。既存の Cloud Interconnect 接続を介したトラフィックスクラビングのために、すべての VM トラフィックがオンプレミスデータセンターにルーティングされるようにする必要があります。ただし、Google API への VM トラフィックは VPC に残す必要があります。
何をするべきでしょうか？

A.
- デフォルトの VPC ルートよりも低い優先度 (MED) で Border Gateway Protocol (BGP) 経由で 0.0.0.0/0 をアドバタイズするようにオンプレミスルーターを構成します。
- googleapis.com のプライベート Cloud DNS ゾーンを作成し、* googieapis.com の CNAME を作成して googleapis com をプライベートにし、199 .36.153.8/30 のアドレスに解決される private.googleapis.com の A レコードを作成します。
- 範囲 199.36 の VPC に静的ルートを作成します。ネクストホップとしてデフォルトのインターネットゲートウェイを使用する 153.8/30
B.
- VPC のデフォルトルートを削除し、Border Gateway Protocol (BGP) 経由で 0.0.0.0/0 をアドバタイズするようにオンプレミスルーターを構成します。
- *.google.com からプライベート googleapis com への CNAME を持つパブリッククラウド DNS ゾーンを作成し、* googleapis.com からプライベート googleapis com への CNAME を作成し、199.36 のアドレスに解決されるプライベート googleapis.com の A レコードを作成します .153.8/30
- デフォルトのインターネットゲートウェイをネクストホップとして、範囲 199 .36.153.8/30 の VPC に静的ルートを作成します。
C.
- VPC のデフォルトルートを削除します。
  googleapis.com のプライベート Cloud DNS ゾーンを作成し、*.googleapis.com の CNAME を制限された googleapis.com に作成し、199.36.153.4/30 のアドレスに解決される制限された googleapis com の A レコードを作成します。
- デフォルトのインターネットゲートウェイをネクストホップとして、範囲 199.36.153.4/30 の VPC に静的ルートを作成します。
D.
- VPC のデフォルトルートを削除し、Border Gateway Protocol (BGP) 経由で 0.0.0.0/0 をアドバタイズするようにオンプレミスルーターを構成します。
- googleapis.com のプライベート Cloud DNS ゾーンを作成し、* googieapis.com の CNAME をプライベート googleapis.com に作成し、199.36.153.8/30 のアドレスに解決される private.googleapis.com の A レコードを作成します。
- デフォルトのインターネットゲートウェイをネクストホップとして、範囲 199.36.153.8/30 の VPC に静的ルートを作成します。

Correct Answer：A

Question 050

A. compute.instanceAdmin をユーザーアカウントに付与します。
B. iam.serviceAccountUser をユーザーアカウントに付与します。
C. Cloud Storage バケットのサービスアカウントに読み取り専用権限を付与します。
D. Cloud Storage バケットのサービスアカウントに cloud-platform 権限を付与します。

Correct Answer：B

Reference：
– Compute Engine IAM のロールと権限 | Compute Engine ドキュメント | Google Cloud

Question 051

あなたの会社はオンプレミスデータセンターで重要なアプリケーションを実行するためのネットワーク容量を使い果たしています。
アプリケーションを GCP に移行したいと考えています。また、セキュリティチームが Compute Engine インスタンスとの間のトラフィックを監視する能力を失わないようにする必要もあります。
ソリューションに組み込む必要があるプロダクトはどれですか？ (回答は 2つ)

A. VPC フローログ
B. ファイアウォールログ
C. Cloud 監査ログ
D. Stackdriver トレース
E. Compute Engine インスタンスのシステムログ

Correct Answer：A、B

A: VPC フローログの使用 VPC フローログは GKE ノードとして使用されるインスタンスを含む、VM インスタンスとの間で送受信されるネットワークフローのサンプルを記録します。これらのログはネットワークの監視、フォレンジック、リアルタイムのセキュリティ分析、費用の最適化に使用できます。
B: ファイアウォールルールロギングの概要ファイアウォールルールロギングを使用すると、ファイアウォールルールの影響を監査、検証、分析できます。たとえば、トラフィックを拒否するように設計されたファイアウォールルールが意図したとおりに機能しているかどうかを判断できます。ファイアウォールルールロギングは、特定のファイアウォールルールによって影響を受ける接続の数を特定する必要がある場合にも役立ちます。接続をログに記録する必要があるファイアウォールルールごとにファイアウォールルールロギングを個別に有効にします。ファイアウォールルールロギングはすべてのファイアウォールルールのオプションです。ルールのアクション (許可または拒否) または方向 (イングレスまたはイーグレス) に関係なく

Reference：
– VPC フローログを使用する | Google Cloud
– ファイアウォールルールのロギング | VPC | Google Cloud

Question 052

A. 一部のインスタンスに手動でパッチを適用してから、インスタンスグループでローリング再起動を実行します。B. 新しいインスタンステンプレートを使用し、インスタンスグループ内のすべてのインスタンスに対してローリングアップデートを実行します。ロールアウトが完了したら、新しい機能を確認します。
C. 新しいインスタンスグループをデプロイし、そのグループで更新されたテンプレートをカナリアします。
新しい Canary インスタンスグループで新しい機能を確認してから、元のインスタンスグループを更新します。
D. ローリング更新を開始し、インスタンスが新しいテンプレートを受け取るターゲットサイズを指定し、カナリア更新を実行します。Canary インスタンスで新しい機能を確認してから、残りのインスタンスにロールフォワードします。

Correct Answer：C

Reference：
マネージドインスタンスグループ（MIG）を作成するための基本的なシナリオ | Compute Engine ドキュメント | Google Cloud

Question 053

あなたの会社は最近、オンプレミスデータセンターと Google Cloud Virtual Private Cloud (VPC) の間に Cloud VPN トンネルを設置しました。
オンプレミスサーバーの Cloud Functions API へのアクセスを構成する必要があります。構成は次の要件を満たす必要があります。特定のデータはそれが保存されているプロジェクトにとどまる必要があり、他のプロジェクトに持ち出されないようにする必要があります。RFC 1918 アドレスを持つデータセンター内のサーバーからのトラフィックはインターネットを使用して Google Cloud API にアクセスしません。すべての DNS 解決はオンプレミスで行う必要があります。ソリューションは VPC Service Controls と互換性のある API へのアクセスのみを提供する必要があります。
何をするべきでしょうか？

A.
- 199.36.153.4/30 のアドレス範囲を使用し、restricted.googleapis.com の A レコードを作成します。
- A レコードを指す *.googleapis.com の CNAME レコードを作成します。
- A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミスルーターを構成します。オンプレミスのファイアウォールを構成し、restricted.googleapis.com アドレスへのトラフィックを許可します。
B.
- 199.36.153.8/30 のアドレス範囲を使用し、private.googleapis.com の A レコードを作成します。
- A レコードを指す *.googleapis.com の CNAME レコードを作成します。
- A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミスルーターを構成します。Cloud VPN トンネルが終了する VPC からデフォルトのインターネットゲートウェイを削除します。
C.
- 199.36.153.8/30 のアドレス範囲を使用し、private.googleapis.com の A レコードを作成します。
- A レコードを指す *.googleapis.com の CNAME レコードを作成します。
- A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミスルーターを構成します。private.googleapis.com アドレスへのトラフィックを許可するようにオンプレミスのファイアウォールを構成します。
D.
- 199.36.153.4/30 のアドレス範囲を使用し、restricted.googleapis.com の A レコードを作成します。
- A レコードを指す *.googleapis.com の CNAME レコードを作成します。
- A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミスルーターを構成します。Cloud VPN トンネルが終了する VPC からデフォルトのインターネットゲートウェイを削除します。

Correct Answer：D

Question 054

Virtual Private Cloud (VPC) とオンプレミスネットワークの間にアクティブ/パッシブモードで実行されている 2 つのトンネルを使用した HA VPN 接続があります。
最近、接続上のトラフィックが 1 ギガビット/秒 (Gbps) から 4 Gbps に増加し、パケットがドロップされていることに気付きました。4 Gbps をサポートするために Google Cloud への VPN 接続を構成する必要があります。
何をするべきでしょうか？

A. 2 つ目の Cloud Router を構成し、VPC の帯域幅をスケーリングします。
B. 最大転送単位 (MTU) をサポートされている最大値で構成します。
C. リモート自律システム番号 (ASN) を 4096 に設定します。
D. アクティブ/パッシブ VPN トンネルの 2 番目のセットを構成します。

Correct Answer：D

Question 055

A. GKE ノード
B. GKE Pod
C. GKE クラスタ
D. GKE Ingress

Correct Answer：B

Reference：
– Ingress 機能の構成 | Google Kubernetes Engine（GKE） | Google Cloud

Question 056

ストレージバケット内のすべてのオブジェクトに対して Cloud CDN を有効にする必要があります。
ストレージバケット内のすべてのオブジェクトが CDN によって提供されることを確認したいと考えています。
GCP Console で何をする必要がありますか？

A. 新しいクラウドストレージバケットを作成し、Cloud CDN を有効にします。
B. 新しい TCP ロードバランサを作成し、ストレージバケットをバックエンドとして選択し、バックエンドで Cloud CDN を有効にします。
C. 新しい SSL プロキシロードバランサを作成し、ストレージバケットをバックエンドとして選択し、バックエンドで Cloud CDN を有効にします。
D. 新しい HTTP ロードバランサを作成し、ストレージバケットをバックエンドとして選択し、バックエンドで Cloud CDN を有効にし、ストレージバケット内の各オブジェクトが公開されていることを確認します。

Correct Answer：D

Cloud CDN には HTTP(S) ロードバランサが必要で Cloud Storage バケットはパブリックに共有する必要があります。

Reference：
– Cloud Storage バケットを使用して従来のアプリケーションロードバランサを設定する | 負荷分散 | Google Cloud
– バックエンドバケットを設定する | Cloud CDN | Google Cloud

Question 057

ネットワーク管理者権限のみが割り当てられている共有 VPC でファイアウォールルールを更新しようとしています。ファイアウォールルールは変更できません。組織では必要最小限の特権を使用する必要があります。
どのレベルのアクセス許可を要求する必要がありますか？

A. 共有 VPC 管理者からのセキュリティ管理者権限
B. 共有 VPC 管理者からのサービスプロジェクト管理者権限
C. 組織管理者からの共有 VPC 管理者権限
D. 組織管理者からの組織管理者権限

Correct Answer：A

共有 VPC 管理者はホストプロジェクトに対するセキュリティ管理者 (compute.securityAdmin) ロールを IAM メンバーに付与することでセキュリティ管理者を定義できます。セキュリティ管理者はファイアウォールルールと SSL 証明書を管理します。

Question 058

あなたの組織はホストプロジェクトと 3 つのサービスプロジェクトで共有 VPC アーキテクチャを使用しています。サービスプロジェクトに存在する Compute Engine インスタンスがあります。オンプレミスデータセンターに重要なワークロードがあります。ハイブリッド接続を確立するためにデプロイした Dedicated Interconnect を介して GCP インスタンスがオンプレミスのホスト名を解決できることを確認する必要があります。
あなたは何をするべきですか？

A.
- プライベートゾーンをオンプレミス DNS サーバーに転送する共有 VPC のホストプロジェクトに Cloud DNS プライベート転送ゾーンを作成します。
- Cloud Router で IP 169.254 169.254 のカスタムルートアドバタイズをオンプレミス環境に追加します。
B.
- 共有 VPC のホストプロジェクトで Cloud DNS 限定公開ゾーンを構成します。
- ホストプロジェクトのインバウンドフォワーダー IP アドレスを指すようにオンプレミス DNS サーバー上の GCP 限定公開ゾーンへの DNS 転送を設定します。
- 共有 VPC で DNS ポリシーを構成し、オンプレミス DNS サーバーを代替 DNS サーバーとして使用するインバウンドクエリ転送を許可します。
C.
- 共有 VPC のホストプロジェクトで Cloud DNS 限定公開ゾーンを構成します。
- ホストプロジェクトのインバウンドフォワーダー IP アドレスを指すようにオンプレミス DNS サーバーの Google Cloud プライベートゾーンへの DNS 転送を設定します。
- Cloud Router で IP 169.254 169 254 のカスタムルートアドバタイズメントをオンプレミス環境に追加します。
D.
- プライベートゾーンをオンプレミス DNS サーバーに転送する共有 VPC のホストプロジェクトに Cloud DNS プライベート転送ゾーンを作成します。
- Cloud Router で IP 35.199.192.0/19 のカスタムルートアドバタイズをオンプレミス環境に追加します。

Correct Answer：B

Question 059

データインジェストレイヤー、データ変換レイヤー、データ分析レイヤー、データストレージレイヤーで構成されるデータワークフローがあります。
インフラストラクチャの管理に対処することなく、ワークフローの作成、スケジューリング、監視、管理のタスクを容易にするサービスを探しています。
要件を満たす適切なサービスを選択してください。

A. Apache Airflow
B. Cloud Composer
C. Istio
D. Stackdriver

Correct Answer：B

B は正しい選択です。Cloud Composer はワークフローの作成、スケジュール設定、監視、管理を支援するマネージド Apache Airflow サービスであるためです。
A は不正解です。VM インスタンスに Apache Airflow をインストールできますが、インフラストラクチャを管理する必要があるためです。
C は不正解です。Istio はマイクロサービスを接続、監視、保護するためのオープンプラットフォームだからです。
D は不正解です。Stackdriver はサービス、コンテナ、アプリケーション、インフラストラクチャのモニタリングと管理を行うためのものです。

Question 060

あなたの会社は収益を生み出す重要な新しい Web アプリケーションを立ち上げたところです。
マネージドインスタンスグループ、自動スケーリング、ネットワークロードバランサをフロントエンドとして使用し、スケーラビリティのためにアプリケーションをデプロイしました。ある日、自動スケーリングが原因でインスタンスの最大数に達し、アプリケーションのユーザーがトランザクションを完了できないという重大なバーストトラフィックに気付きました。調査の結果、DDOS 攻撃だと思います。アプリケーションへのユーザーアクセスを迅速に復元し、コストを最小限に抑えながらトランザクションを成功させたいと考えています。
どの 2 つの手順を実行する必要がありますか？ (回答は 2つ)

A. グローバル HTTP(s) ロードバランサを作成し、アプリケーションバックエンドをこのロードバランサに移動します。
B. 自動スケーリングバックエンドの最大値を増やし、深刻なバーストトラフィックに対応します。
C. GCP でアプリケーション全体を数時間シャットダウンします。アプリケーションがオフラインになると、攻撃は停止します。
D. Cloud Armor を使用し、攻撃者の IP アドレスをブラックリストに登録します。
E. バックエンドコンピューティングエンジンインスタンスに SSH 接続し、認証ログと syslog を表示して攻撃の性質をさらに理解します。

Correct Answer：B、E

Question 061

単一のサブネットを持つ Dev という名前の新しい VPC ネットワークを作成しました。ネットワーク Dev のファイアウォールルールを追加して HTTP トラフィックのみを許可し、ロギングを有効にしました。リモートデスクトッププロトコル経由でサブネット内のインスタンスにログインしようとすると、ログインに失敗します。Stackdriver Logging でファイアウォールルールのログを探しますが、ブロックされたトラフィックのエントリがありません。ブロックされたトラフィックのログを表示したいと考えています。
何をするべきでしょうか？

A. インスタンスの VPC フローログを確認します。
B. SSH 経由でインスタンスに接続し、ログを確認します。
C. 優先度 65500 の新しいファイアウォールルールを作成し、すべてのトラフィックを拒否し、ログを有効にします。
D. ポート 22 からのトラフィックを許可する新しいファイアウォールルールを作成し、ログを有効にします。

Correct Answer：A

Question 062

オンプレミスデータセンターには各ルーターの VPN を介して GCP に接続された 2 つのルーターがあります。すべてのアプリケーションは正常に動作しています。ただし、必要に応じて 2 つの接続間で負荷分散されるのではなく、すべてのトラフィックが単一の VPN を通過します。トラブルシューティング中に次のことがわかります。
– 各オンプレミスルーターは同じ ASN で構成されます。
– 各オンプレミスルーターは同じルートと優先順位で構成されます。
– 両方のオンプレミスルーターは単一の Cloud Router に接続された VPN で構成されています。
– VPN が接続しているときに VPN ログに no-proposal-chosen の行があります。
– 1 つのオンプレミスルーターと Cloud Router の間で BGP セッションが確立されていません。
この問題の最も可能性の高い原因は何でしょうか？

A. VPN セッションの 1 つが正しく構成されていません。
B. ファイアウォールが 2 番目の VPN 接続のトラフィックをブロックしています。
C. ネットワークトラフィックを負荷分散するためのロードバランサがありません。
D. オンプレミスルーターと Cloud Router の間で BGP セッションが確立されていません。

Correct Answer：A

VPN ログに no-proposal-chosen エラーが表示される場合、このエラーは Cloud VPN とピア VPN ゲートウェイが一連の暗号に同意できなかったことを示しています。IKEv1 の場合、暗号のセットは正確に一致する必要があります。IKEv2 の場合、各ゲートウェイによって提案された共通の暗号が少なくとも 1 つ存在する必要があります。サポートされている暗号を使用し、ピア VPN ゲートウェイを構成していることを確認してください。

Reference：
– トラブルシューティング | Cloud VPN | Google Cloud

Question 063

A. Cloud Storage バケットのサービスアカウントに cloud-platform 権限を付与します。
B. Cloud Storage バケットのサービスアカウントに読み取り専用権限を付与します。
C. iam.serviceAccountUser をユーザーアカウントに付与します。
D. compute.instanceAdmin をユーザーアカウントに付与します。

Correct Answer：B

Question 064

Compute Engine 仮想マシンインスタンスを NAT ゲートウェイとして構成しました。
次のコマンドを実行します。

gcloud compute routes create no-ip-internet-route \
--network custom-network1 \
--destination-range 0.0.0.0/0 \
--next-hop instance nat-gateway \
--next-hop instance-zone us-central1-a \
--tags no-ip --priority 800

既存のインスタンスで新しい NAT ゲートウェイを使用したい。
どのコマンドを実行する必要がありますか？

A. sudo sysctl -w net.ipv4.ip_forward=1
B. gcloud compute instances add-tags [existing-instance] –tags no-ip
C. gcloud builds submit –config=cloudbuild.waml –substitutions=TAG_NAME=no-ip
D. gcloud compute instances create example-instance –network custom-network1 \ –subnet subnet-us-central \ –no-address \ –zone us-central1-a \ –image-family debian-9 \ –image-project debian-cloud \ –tags no-ip

Correct Answer：D

Reference：
– ネットワーキングユースケース用に VM を構成する | VPC | Google Cloud

Question 065

インスタンスが 10.1.1.0/24 ネットワークと 172.16.45.0/24 ネットワークの両方で IP アドレスを持つことを許可する新しい VPC ネットワークを作成する必要があります。
何をするべきでしょうか？

A. VPC ピアリングを使用し、10.1.0.0/24 ネットワークと 172.16.45.0/24 ネットワークの間でトラフィックをルーティングできるようにします。
B. 10.1.1.0/24 の VPC サブネット内の仮想インスタンスで 172.16.45.0/24 のエイリアス IP 範囲を構成します。
C. 172.16.45.0/24 が正しいインスタンスを指すようにグローバル負荷分散を構成します。
D. 目的の IP アドレスにトラフィックを送信するサービスごとに一意の DNS レコードを作成します。

Correct Answer：D

Question 066

A. compute.instanceAdmin をユーザーアカウントに付与します。
B. Cloud Storage バケットのサービスアカウントに cloud-platform 権限を付与します。
C. iam.serviceAccountUser をユーザーアカウントに付与します。
D. Cloud Storage バケットのサービスアカウントに読み取り専用権限を付与します。

Correct Answer：C

Question 067

あなたの組織は 3 つの異なる部門に 1 つのプロジェクトを展開しています。
これらの部門のうち 2 つは相互にネットワーク接続を必要としますが 3 番目の部門は分離したままにする必要があります。設計ではこれらの部門間に個別のネットワーク管理ドメインを作成する必要があります。運用上のオーバーヘッドを最小限に抑えたい。
トポロジをどのように設計する必要がありますか？

A. 共有 VPC ホストプロジェクトと、3 つの部門それぞれに対応するサービスプロジェクトを作成します。
B. 3 つの個別の VPC を作成し、Cloud VPN を使用して 2 つの適切な VPC 間の接続を確立します。
C. 3 つの個別の VPC を作成し、VPC ピアリングを使用して 2 つの適切な VPC 間の接続を確立します。
D. 単一のプロジェクトを作成し、特定のファイアウォールルールを展開します。ネットワークタグを使用し、部門間のアクセスを分離します。

Correct Answer：C

Reference：
– VPC ネットワークピアリング | Google Cloud

Question 068

インフラストラクチャを Google Cloud にデプロイしました。次の要件を満たすように DNS を構成する必要があります。オンプレミスリソースは Google Cloud ゾーンを解決する必要があります。Google Cloud リソースはオンプレミスゾーンを解決する必要があります。Google Cloud によってプロビジョニングされた「.internal」ゾーンを解決する機能が必要です。
何をするべきでしょうか？

A. 送信 DNS サーバーポリシーを構成し、代替ネームサーバーをオンプレミスの DNS リゾルバーに設定します。Google Cloud ゾーンクエリを Google Cloud の DNS リゾルバーに転送するように、オンプレミスの DNS リゾルバーを構成します。
B. Cloud DNS to DNS ピアをオンプレミスの DNS リゾルバーで構成します。Google Cloud ゾーンクエリを Google のパブリック DNS 8.8.8.8 に転送するようにオンプレミスの DNS リゾルバーを構成します。
C. 送信サーバーポリシーを構成し、代替ネームサーバーをオンプレミスの DNS リゾルバーに設定します。Google Cloud ゾーンクエリを Google のパブリック DNS 8.8.8.8 に転送するようにオンプレミスの DNS リゾルバーを構成します。
D. ターゲットをオンプレミス DNS リゾルバーとして、受信サーバーポリシーと送信 DNS 転送ゾーンの両方を構成します。Google Cloud ゾーンクエリを Google Cloud の DNS リゾルバーに転送するように、オンプレミスの DNS リゾルバーを構成します。

Correct Answer：C

Question 069

Cloud Storage に保存される結果を生成するために BigQuery を使用する Compute Engine で実行されているアプリケーションがあります。
どのアプリケーションインスタンスにも外部 IP アドレスがないことを確認したいと考えています。
これを達成するために使用できる方法はどれですか？ (回答は 2つ)

A. すべてのサブネットで限定公開の Google アクセスを有効にします。
B. VPC で限定公開の Google アクセスを有効にします。
C. VPC で限定公開のサービスアクセスを有効にします。
D. VPC と BigQuery の間にネットワークピアリングを作成します。
E. Cloud NAT を作成し、NAT ゲートウェイ経由でアプリケーショントラフィックをルーティングします。

Correct Answer：A、E

Reference：
– Cloud NAT の概要 | Google Cloud
– 限定公開の Google アクセスを構成する #仕様 | VPC | Google Cloud

Question 070

自動モードで Retail という名前の VPC ネットワークを作成しました。
Distribution という名前の VPC ネットワークを作成し、それを Retail VPC とピアリングします。
ディストリビューション VPC をどのように構成する必要がありますか？

A. 自動モードでディストリビューション VPC を作成します。ネットワークピアリングを介して両方の VPC をピアリングします。
B. カスタムモードでディストリビューション VPC を作成します。CIDR 範囲 10.0.0.0/9 を使用します。必要なサブネットを作成し、ネットワークピアリングを介してそれらをピアリングします。
C. カスタムモードでディストリビューション VPC を作成します。CIDR 範囲 10.128.0.0/9 を使用します。必要なサブネットを作成し、ネットワークピアリングを介してそれらをピアリングします。
D. デフォルト VPC の名前を「ディストリビューション」に変更し、ネットワークピアリングを介してピアリングします。

Correct Answer：B

Reference：
– クイックスタート: VPC ネットワークを作成して使用する | Google Cloud

Question 071

Google Compute Engine を使用し、プリエンプティブルな Linux 仮想マシンインスタンスをいくつか作成しました。
仮想マシンがプリエンプトされる前にアプリケーションを適切にシャットダウンする必要があります。
何をするべきでしょうか？

A. Linux で xinetd サービスとして登録されたシャットダウンスクリプトを作成し、StackDriver エンドポイントチェックを構成してサービスを呼び出します。
B. Linux で xinetd サービスとして登録されたシャットダウンスクリプトを作成し、gcloud compute instances add-metadata コマンドを使用し、キー shutdown-script-url を持つ新しいメタデータエントリの値としてサービス URL を指定します。
C. shutdown という名前のシャットダウンスクリプトを /etc/ ディレクトリに作成します。
D. シャットダウンスクリプトを作成し、新しい仮想マシンインスタンスを作成するときに、Cloud Platform Console でキー shutdown-script を持つ新しいメタデータエントリの値として使用します。

Correct Answer：D

シャットダウンスクリプトの実行「インスタンスが終了または再起動される直前にベストエフォートベースでコマンドを実行するシャットダウンスクリプトを作成して実行します。これは自動化されたスクリプトを使用してインスタンスを起動およびシャットダウンし、インスタンスをクリーンアップする時間を確保する場合に役立ちます。ログのエクスポートや他のシステムとの同期などのタスクを起動または実行します。」
シャットダウンスクリプトを設定するには GCP コンソールに移動し、次の手順に従います。
Compute Engine -> VM インスタンス -> インスタンスの作成 -> (展開) 管理、ディスク、ネットワーク、SSH キー「shutdown-script」と適切な値を入力します。

Reference：
– シャットダウンスクリプトの実行 | Compute Engine ドキュメント | Google Cloud

Question 072

IPv6 を使用して GCP でサービスを作成したいと考えています。
何をするべきでしょうか？

A. IPv6 アドレスを指定してインスタンスを作成します。
B. 指定された IPv6 アドレスで TCP プロキシを構成します。
C. 指定された IPv6 アドレスでグローバルロードバランサを構成します。
D. 指定された IPv6 アドレスで内部ロードバランサを構成します。

Correct Answer：C

Reference：
– 外部 HTTP(S)、SSL プロキシ、外部プロキシネットワークロードバランサの IPv6 終端 | 負荷分散 | Google Cloud

Question 073

あなたは共有 VPC アーキテクチャを設計しています。
ネットワークおよびセキュリティチームは部門間で公開されるルートを厳密に管理しています。生産部門とステージング部門は互いに通信できますが、特定のネットワークを介してのみ通信できます。Google が推奨する方法に従いたい。
このトポロジをどのように設計する必要がありますか？

A. 共有 VPC ホストプロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブルルートアドバタイズメント (FRA) を使用し、特定のネットワーク間のアクセスをフィルタリングします。
B. 共有 VPC ホストプロジェクト内に 1 つの VPC を作成し、個々のサブネットをサービスプロジェクトと共有し、特定のネットワーク間のアクセスをフィルタリングします。
C. 共有 VPC サービスプロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブルルートアドバタイズメント (FRA) を使用し、特定のネットワーク間のアクセスをフィルタリングします。
D. 共有 VPC ホストプロジェクト内に 2 つの共有 VPC を作成し、それらの間で VPC ピアリングを有効にします。ファイアウォールルールを使用し、特定のネットワーク間のアクセスをフィルタリングします。

Correct Answer：B

Question 074

IPv4 と IPv6 の両方のアドレスを持つ外部ロードバランサの背後に公開され、ポート 443 で TCP パススルーをサポートする新しいアプリケーションを構成しています。
us-west1 と us-east1 の 2 つのリージョンにバックエンドがあります。高可用性と自動スケーリングを確保しながら、可能な限り低いレイテンシでコンテンツを提供したいと考えています。
どの構成を使用する必要がありますか？

A. 両方のリージョンでネットワーク負荷分散を使用し、DNS ベースの負荷分散を使用してトラフィックを最も近いリージョンに転送します。
B. 両方のリージョンのバックエンドでグローバル SSL プロキシ負荷分散を使用します。
C. 両方のリージョンのバックエンドでグローバル TCP プロキシ負荷分散を使用します。
D. 両方のリージョンのバックエンドでグローバル外部 HTTP(S) 負荷分散を使用します。

Correct Answer：A

Question 075

A. 既存の VPN ゲートウェイとは異なるリージョンに 2 つ目の Cloud VPN ゲートウェイを追加します。同じ IP 範囲を転送しますが既存のオンプレミス VPN ゲートウェイの IP アドレスを指す 2 番目の Cloud VPN ゲートウェイに新しいトンネルを作成します。
B. 別のパブリック IP アドレスを持つ 2 つ目のオンプレミス VPN ゲートウェイを追加します。同じ IP 範囲を転送するが、新しいオンプレミスゲートウェイ IP を指す既存の Cloud VPN ゲートウェイに 2 つ目のトンネルを作成します。
C. オンプレミス VPN ゲートウェイの MTU を 1460 バイトから 2920 バイトに倍増します。
D. 同じ Cloud VPN ゲートウェイ上に同じ宛先 VPN ゲートウェイの IP アドレスを指す 2 つの VPN トンネルを作成します。

Correct Answer：D

Question 076

オンプレミスからアクセスできる既存の VPC に GKE クラスタを作成する必要があります。
次の要件を満たす必要があります。
– Pod とサービスの IP 範囲はできるだけ小さくする必要があります。
– ノードとマスターはインターネットから到達可能であってはなりません。
– クラスタを管理するにはオンプレミスのサブネットから kubectl コマンドを使用できる必要があります。
GKE クラスタをどのように作成する必要がありますか？

A.
- VPC の高度なルートを使用するプライベートクラスタを作成します。
- Pod とサービスの範囲を /24 に設定します。
- マスターにアクセスするためのネットワークプロキシを設定します。
B.
- GKE マネージド IP 範囲を使用し、VPC ネイティブ GKE クラスタを作成します。
- Pod IP 範囲を /21 として、サービス IP 範囲を /24 として設定します。
- マスターにアクセスするためのネットワークプロキシを設定します。
C.
- ユーザー管理の IP 範囲を使用し、VPC ネイティブの GKE クラスタを作成します。
- GKE クラスタネットワークポリシーを有効にし、Pod とサービスの範囲を /24 に設定します。
- マスターにアクセスするためのネットワークプロキシを設定します。
- マスター承認済みネットワークを有効にします。
D.
- ユーザー管理の IP 範囲を使用し、VPC ネイティブの GKE クラスタを作成します。
- クラスタマスターで privateEndpoint を有効にします。
- Pod とサービスの範囲を /24 に設定します。
- マスターにアクセスするためのネットワークプロキシを設定します。
- マスター承認済みネットワークを有効にします。

Correct Answer：D

コントローラアクセス用のネットワークプロキシを使用した GKE プライベートクラスタの作成プライベートクラスタコントローラエンドポイントを使用して GKE プライベートクラスタを作成する場合、クラスタのコントローラノードにはパブリックインターネットからアクセスできませんが管理のためにアクセスできる必要があります。デフォルトではクラスタはプライベートエンドポイントを介してコントローラにアクセスでき、承認済みネットワークは VPC ネットワーク内で定義できます。ただし、オンプレミスまたは別の VPC ネットワークからコントローラにアクセスするには追加の手順が必要です。これはコントローラをホストする VPC ネットワークが Google によって所有されており、別の VPC ネットワークピアリング接続、Cloud VPN または Cloud Interconnect を介して接続されたリソースからアクセスできないためです。

Reference：
– Creating GKE private clusters with network proxies for controller access | Kubernetes Engine | Google Cloud

Question 077

組織の Google Cloud 環境で Cloud Router の新しいインスタンスを構成して新しい Dedicated Interconnect を介してデータセンターに接続できるようにします。
営業、マーケティング、IT のそれぞれが組織のホストプロジェクトに接続されたサービスプロジェクトを持っています。
Cloud Router インスタンスはどこに作成する必要がありますか？

A. すべてのプロジェクトの VPC ネットワーク
B. IT プロジェクトの VPC ネットワーク
C. ホストプロジェクトの VPC ネットワーク
D. セールス、マーケティング、IT プロジェクトの VPC ネットワーク

Correct Answer：C

Reference：
– 他のプロジェクトでの接続の使用 | Cloud Interconnect | Google Cloud

Question 078

HTTP、HTTPS、SSH ポート経由のトラフィックのみを許可するルールでファイアウォールを作成しました。
テスト中、具体的には複数のポートとプロトコルを介してサーバーにアクセスしようとします。ただし、ファイアウォールログに拒否された接続は表示されません。問題を解決したい。
何をするべきでしょうか？

A. デフォルトの拒否ファイアウォールルールでログを有効にします。
B. トラフィックを受信する VM インスタンスのログを有効にします。
C. フィルタなしですべてのファイアウォールログを転送するロギングシンクを作成します。
D. 明示的な Deny Any ルールを作成し、新しいルールのログを有効にします。

Correct Answer：D

Virtual Private Cloud (VPC) ネットワークのルールに対してのみファイアウォールルールロギングを有効にできます。レガシーネットワークはサポートされていません。ファイアウォールルールロギングは TCP および UDP 接続のみを記録します。他のプロトコルに適用可能なファイアウォールルールを作成することはできますが、それらの接続をログに記録することはできません。暗黙的な受信拒否ルールと暗黙的な送信許可ルールのファイアウォールルールログを有効にすることはできません。ログエントリは仮想マシン (VM) インスタンスの観点から書き込まれます。ログエントリが作成されるのはファイアウォールルールでログ記録が有効になっており、そのルールが VM との間で送受信されるトラフィックに適用される場合のみです。エントリはベストエフォートベースの接続ログ制限に従って作成されます。特定の間隔でログに記録できる接続の数は、マシンの種類に基づきます。ファイアウォールルールへの変更は VPC 監査ログで確認できます。

Reference：
– ファイアウォールルールのロギング #下り（外向き）拒否ルールの例 | VPC | Google Cloud
– ファイアウォールルールのロギング #仕様 | VPC | Google Cloud

Question 079

パブリック IP アドレス経由で Cloud SQL にアクセスでき、サードパーティのサービスプロバイダを必要としない、Google への専用接続を確立したいと考えています。
どの接続タイプを選択する必要がありますか？

A. キャリアピアリング
B. ダイレクトピアリング
C. Dedicated Interconnect
D. Partner Interconnect

Correct Answer：B

Reference：
– ダイレクトピアリングの概要 | Network Connectivity | Google Cloud

Question 080

2 つのオブジェクトを含むストレージバケットがあります。
バケットで Cloud CDN が有効になっており、両方のオブジェクトが正常にキャッシュされています。ここで、2 つのオブジェクトのうちの 1 つがキャッシュされなくなり、常にオリジンから直接インターネットに提供されるようにする必要があります。
何をするべきでしょうか？

A. もうキャッシュしたくないオブジェクトがパブリックに共有されていないことを確認してください。
B. 新しいストレージバケットを作成し、チェックしたくないオブジェクトをその中に移動します。次にバケット設定を編集し、プライベート属性を有効にします。
C. 2 つのオブジェクトを含むストレージバケットに適切なライフサイクルルールを追加します。
D. もうキャッシュしたくないオブジェクトのメタデータに値 private を持つ Cache-Control エントリを追加します。以前にキャッシュされたすべてのコピーを無効にします。

Correct Answer：D

Reference：
– キャッシュに保存されたコンテンツの無効化 | Cloud CDN | Google Cloud

Question 081

あなたの組織には複数の Virtual Private Cloud (VPC) を含む単一のプロジェクトがあります。
企業のパブリックネットワーク内のリソースからのみ API アクセスを許可することで Cloud Storage バケットと BigQuery データセットへの API アクセスを保護する必要があります。
あなたは何をするべきですか？

A. 企業のパブリックネットワークの IP 範囲を許可するアクセスコンテキストポリシーを使用し、VPC ごとに VPC Service Controls 境界を作成します。
B. VPC と企業のパブリックネットワークの IP 範囲を許可するアクセスコンテキストポリシーを作成し、そのポリシーを Cloud Storage と BigQuery にアタッチします。
C. 企業のパブリックネットワークの IP 範囲を許可するアクセスコンテキストポリシーを使用し、プロジェクトの VPC Service Controls 境界を作成します。
D. 承認されていないネットワークから Cloud Storage と BigQuery への API アクセスをブロックするファイアウォールルールを作成します。

Correct Answer：C

Question 082

gcloud コマンドラインツールを使用して定義済みの役割をコピーすることにより、プロジェクトに新しいカスタムの役割を作成しています。
次のエラーメッセージが表示されます。

INVALID_ARGUMENT: Permission resourcemanager.projects.list is not

どうすればいいでしょうか？

A. resourcemanager.projects.getpermission を追加し、もう一度やり直してください。
B. 新しい名前で同じ権限を持つ別の役割で再試行してください。
C. resourcemanager.projects.list 権限を削除し、もう一度やり直してください。
D. resourcemanager.projects.setIamPolicy 権限を追加し、再試行してください。

Correct Answer：C

Reference：
– ロールと権限 | IAM のドキュメント #カスタムロール | Google Cloud

Question 083

グローバルな外部 TCP 負荷分散ソリューションをデプロイしており、元のレイヤー 3 ペイロードの送信元 IP アドレスを保持したいと考えています。
どのタイプのロードバランサを使用する必要がありますか？

A. HTTP(S) ロードバランサ
B. ネットワークロードバランサ
C. 内部ロードバランサ
D. TCP/SSL プロキシロードバランサ

Correct Answer：B

Reference：
– 外部パススルーネットワークロードバランサの概要 | 負荷分散 | Google Cloud

Question 084

VPC で将来の新しい GKE クラスタのアドレスプランを定義する必要があります。
これは VPC ネイティブクラスタになり、デフォルトの Pod IP 範囲の割り当てが使用されます。クラスタを作成する前に、必要なすべての VPC サブネットとそれぞれの IP アドレス範囲を事前にプロビジョニングする必要があります。クラスタには最初は 1 つのノードがありますが必要に応じて最大 3 つのノードにスケーリングされます。最小数の Pod IP アドレスを割り当てたい。
Pod の IP アドレス範囲にはどのサブネットマスクを使用する必要がありますか？

A. /21
B. /22
C. /23
D. /25

Correct Answer：B

Question 085

Google への 10 Gbps ダイレクトピアリング接続と gsutil ツールを使用し、オンプレミスサーバーから Cloud Storage バケットにファイルをアップロードしています。
オンプレミスサーバーは Google ピアリングポイントから 100 ミリ秒離れています。アップロードが、利用可能な 10 Gbps 帯域幅をすべて使用していないことに気付きました。接続の帯域幅使用率を最適化したい。
オンプレミスサーバーで何をすべきか？

A. オンプレミスサーバーで TCP パラメーターを調整します。
B. tar などのユーティリティを使用してファイルを圧縮し、送信されるデータのサイズを減らします。
C. gsutil コマンドから -m フラグを削除し、シングルスレッド転送を有効にします。
D. gsutil コマンドで perfdiag パラメータを使用し、より高速なパフォーマンスを有効にします: gsutil perfdiag gs://[BUCKET NAME]

Correct Answer：D

Reference：
– Google Cloud への移行: 大規模なデータセットの転送 | Cloud アーキテクチャセンター

Question 086

Google Kubernetes Engine プライベートクラスタを作成し、kubectl を使用してポッドのステータスを取得したいと考えています。
インスタンスの 1 つでクラスタが稼働しているにもかかわらず、マスターが応答していないことに気付きました。
問題を解決するために何をすべきですか？

A. デフォルトのインターネットゲートウェイを指し、マスターに到達するためのルートを作成します。
B. VPC で適切なファイアウォールポリシーを作成し、マスターノードの IP アドレスからインスタンスへのトラフィックを許可します。
C. 適切なマスター承認ネットワークエントリを作成し、インスタンスがマスターと通信できるようにします。
D. インスタンスにパブリック IP アドレスを割り当てます。

Correct Answer：B

Question 087

あなたの会社には GCP にデプロイされた単一の Virtual Private Cloud (VPC) ネットワークがあり、Cloud Interconnect を使用してオンプレミスネットワークからアクセスできます。
サービスレベルアグリーメント (SLA) が適用されたハイブリッド接続を介して VPC Service Controls でサポートされている Google API およびサービスへのアクセスのみを構成する必要があります。
何をするべきでしょうか？

A. 既存の Cloud Router を構成し、Google API のパブリック仮想 IP アドレスをアドバタイズします。
B. デフォルトルートをアドバタイズするように既存の Cloud Router を構成し、Cloud NAT を使用してオンプレミスネットワークからのトラフィックを変換します。
C. オンプレミスホストには restricted.googleapis.com 仮想 IP アドレスを持つ限定公開の Google アクセスを使用します。
D. ダイレクトピアリングリンクを追加し、パブリック仮想 IP アドレスを使用する Google API への接続に使用します。

Correct Answer：C

Question 088

サブネットレベルの分離を提供するためにあるサブネットのインスタンス A が別のサブネットのインスタンス B と呼ばれるセキュリティアプライアンスを介してルーティングされるように強制します。
何をするべきでしょうか？

A. システム生成のサブネットルートよりも具体的なルートを作成し、ネクストホップをタグなしでインスタンス B にポイントします。
B. インスタンス B を別の VPC に移動し、マルチ NIC を使用して、インスタンス B のインターフェイスをインスタンス A のネットワークに接続します。トラフィックがインスタンス A を通過するように適切なルートを構成します。
C. インスタンス A にタグが適用されたインスタンス B へのネクストホップを指すシステム生成のサブネットルートよりも具体的なルートを作成します。
D. システム生成のサブネットルートを削除し、インスタンス A にタグを適用してインスタンス B への特定のルートを作成します。

Correct Answer：C

Question 089

gcloud コマンドを使用してポリシーベースのルーティング用に構成された Cloud VPN ゲートウェイの背後にあるオンプレミスリソースへの静的ルートを構成する必要があります。
どのネクストホップを選択する必要がありますか？

A. デフォルトのインターネットゲートウェイ
B. Cloud VPN ゲートウェイの IP アドレス
C. Cloud VPN トンネルの名前とリージョン
D. VPN トンネルのリモート側にあるインスタンスの IP アドレス

Correct Answer：C

Cloud Console を使用してルートベースのトンネルを作成すると Classic VPN は次の両方のタスクを実行します。
トンネルのローカルおよびリモートトラフィックセレクターを任意の IP アドレス (0.0.0.0/0) に設定します。クラウドは、宛先 (プレフィックス) が範囲の CIDR であり、ネクストホップがトンネルであるカスタム静的ルートを作成します。

Reference：
– 静的ルーティングを使用する Classic VPN ゲートウェイを作成する | Google Cloud

Question 090

HTTP(S) 負荷分散サービスを作成しました。
バックエンドインスタンスが適切に応答していることを確認する必要があります。
ヘルスチェックをどのように構成する必要がありますか？

A. request-path をヘルスチェックに使用する特定の URL に設定し、proxy-header を PROXY_V1 に設定します。
B. request-path をヘルスチェックに使用する特定の URL に設定し、host を設定してヘルスチェックを識別するカスタムホストヘッダーを含めます。
C. request-path をヘルスチェックに使用する特定の URL に設定し、response をバックエンドサービスが常に応答本文で返す文字列に設定します。
D. proxy-header をデフォルト値に設定し、host を設定してヘルスチェックを識別するカスタムホストヘッダーを含めます。

Correct Answer：B

Reference：
– ヘルスチェックを作成する | 負荷分散 | Google Cloud

Question 091

A. ゾーンの TTL を更新します。
B. ゾーンを TRANSFER 状態に設定します。
C. ドメインレジストラで DNSSEC を無効にします。
D. ドメインの所有権を新しいレジストラに譲渡します。

Correct Answer：C

使用するマネージドゾーンの DNSSEC を無効にする前にドメインレジストラーで DNSSEC を無効にし、DNSSEC 検証リゾルバーが引き続きゾーン内の名前を解決できるようにする必要があります。

Reference：
– DNSSEC 構成の管理 | Google Cloud

Question 092

あなたは共有 VPC アーキテクチャを設計しています。
ネットワークおよびセキュリティチームは部門間で公開されるルートを厳密に管理しています。生産部門とステージング部門は互いに通信できますが特定のネットワークを介してのみ通信できます。Google が推奨するプラクティスに従う必要があります。
このトポロジをどのように設計する必要がありますか？

A. 共有 VPC ホストプロジェクト内に 2 つの共有 VPC を作成し、それらの間で VPC ピアリングを有効にします。ファイアウォールルールを使用し、特定のネットワーク間のアクセスをフィルタリングします。
B. 共有 VPC ホストプロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブルルートアドバタイズメント (FRA) を使用し、特定のネットワーク間のアクセスをフィルタリングします。
C. 共有 VPC サービスプロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブルルートアドバタイズメント (FRA) を使用し、特定のネットワーク間のアクセスをフィルタリングします。
D. 共有 VPC ホストプロジェクト内に 1 つの VPC を作成し、個々のサブネットをサービスプロジェクトと共有し、特定のネットワーク間のアクセスをフィルタリングします。

Correct Answer：D

Reference：
– 共有 VPC | Google Cloud

Question 093

ユーザーが 3 つの VPC すべてのリソースにアクセスできるように 3 つの Virtual Private Cloud ネットワーク、Sales、Marketing、Finance 間のネットワーク接続を確立する必要があります。
Sales VPC と Finance VPC の間に VPC ピアリングを設定します。また、Marketing VPC と Finance VPC の間の VPC ピアリングも構成します。設定を完了した後、一部のユーザーは Sales VPC と Marketing VPC のリソースに接続できません。問題を解決したい。
何をするべきでしょうか？

A. 3 つすべての VPC 間の接続を許可するネットワークタグを作成します。
B. フルメッシュで VPC ピアリングを構成します。
C. レガシーネットワークを削除して再作成し、推移的なピアリングを許可します。
D. ルーティングテーブルを変更し、非対称ルートを解決します。

Correct Answer：B

Question 094

Cloud NAT を設定することにしました。
構成を完了した後、インスタンスの 1 つがアウトバウンド NAT に Cloud NAT を使用していないことがわかりました。
この問題の最も可能性の高い原因は何でしょうか？

A. インスタンスは複数のインターフェースで構成されています。
B. インスタンスに外部 IP アドレスが構成されています。
C. RFC1918 範囲を使用する静的ルートを作成しました。
D. インスタンスはロードバランサの外部 IP アドレスでアクセスできます。

Correct Answer：B

Question 095

オンプレミスホストに HTTP および TFTP サービスを提供する新しい内部アプリケーションをデプロイしました。
複数の Compute Engine インスタンスにトラフィックを分散できるようにしたいと考えていますが、クライアントが両方のサービスで特定のインスタンスに固定されるようにする必要があります。
どのセッションアフィニティを選択する必要がありますか？

A. クライアント IP、ポート、プロトコル
B. クライアント IP とプロトコル
C. なし
D. クライアント IP

Correct Answer：D

Categories:

Google Cloud Platform

Tags:

Professional Cloud Network Engineer

Comments are closed