Google Cloud クイズ [ノービス級]

この Google Cloud クイズはGoogle Cloud 認定資格の試験とは関係性がありません。
Google Cloud プロダクトの概要に関する基本的クイズで公式ドキュメントから抜き出した問題で構成されています。

Google Cloud 認定資格 試験の腕試しとしてお試しください。

Question 1

次のサービスのうち、リアルタイムメッセージングを提供するのはどれでしょうか？

• A. Google Cloud Pub/Sub
• B. Google Big Query
• C. Google App Engine
• D. Google Cloud Datastore

Correct Answer: A

Reference contents:
– Cloud Pub/Sub | Google Cloud

Question 2

次のタスクのうち、Google Cloud Nearline Storageが適しているのはどれでしょうか？

• A. マウントされたLinux ファイルシステム
• B. トラフィックの多いWeb サイトの画像アセット
• C. 頻繁に読み込まれるファイル
• D. 頻繁に読み込まれないバックアップ データ

Correct Answer: D

Reference contents:
– ストレージ クラス | Cloud Storage | Google Cloud

Question 3

次の製品のうち、ブラウザベースのコマンドラインからプロジェクトを管理できるのはどれでしょうか？

• A. Google Cloud Datastore
• B. Google Cloud Command-line
• C. Google Cloud Terminal
• D. Google Cloud Shell

Correct Answer: D

Reference contents:
– Cloud Shell | Google Cloud

Question 4

Google Cloud SQLはどのデータベースエンジンをベースにしているでしょうか？

• A. Microsoft SQL Server
• B. MySQL
• C. Oracle
• D. Informix

Correct Answer: B

Reference contents:
– Cloud SQL の機能 | Cloud SQL ドキュメント | Google Cloud

Question 5

次の製品のうち、アプリケーションを停止せずにライブデバッグを実行できるのはどれでしょうか？

• A. Google App Engine Active Debugger (AEAD)
• B. Stackdriver Debugger
• C. コードインスペクター
• D. IT を停止

Correct Answer: B

Reference contents:
– Cloud デバッガのドキュメント | Google Cloud

Question 6

Google Cloud Storage クラスが有効ではないのはどれでしょうか？

• A. Glacier Storage
• B. Nearline Storage
• C. Coldline Storage
• D. Regional Storage

Correct Answer: A

Reference contents:
– ストレージ クラス | Cloud Storage | Google Cloud

Question 7

特定のURL を使用して期間限定で Google Cloud Storage リソースにアクセスできるようにするオプションはどれでしょうか？

• A. オープンバケット
• B. 一時的な資源
• C. 署名付き URL
• D. 一時的な URL

Correct Answer: C

Reference contents:
– 署名付き URL | Cloud Storage | Google Cloud

Question 8

次の製品のうち、NoSQL データベースはどれでしょうか？

• A. Google Cloud Datastore
• B. Google Cloud SQL
• C. Google Cloud Storage
• D. 上記のすべて

Correct Answer: A

Reference contents:
– Datastore | Google Cloud

Question 9

Google Container Engine はどのタイプのコンテナをオーケストレーションでしょうか？

• A. Blue Whale
• B. LXC
• C. BSD Jail
• D. Docker

Correct Answer: D

Reference contents:
– Kubernetes – Google Kubernetes Engine（GKE） | Google Cloud

Question 10

Cloud IAM はどのような種類の役割を利用できるでしょうか？

• A. 基本ロールとコンパイルされたロール
• B. 基本ロールと事前定義ロール
• C. 簡易なロール
• D. 基本ロールとキュレートされたロール

Correct Answer: B

Reference contents:
– 概要 | Cloud IAM のドキュメント | Google Cloud

Question 11

次の製品のうち、静的 Web サイトをホストできるのはどれでしょうか？

• A. Google Cloud SDK
• B. Google Cloud Endpoints
• C. Google Cloud Storage
• D. Google Cloud Datastore

Correct Answer: C

Reference contents:
– 静的ウェブサイトの例とヒント | Cloud Storage | Google Cloud

Question 12

Google Container Engine はどのオープンソースシステム上に構築されてるでしょうか？

• A. Swarm
• B. Kubernetes
• C. Docker Orchestrate
• D. Mesos

Correct Answer: B

Reference contents:
– Kubernetes – Google Kubernetes Engine（GKE） | Google Cloud

Question 13

Google Cloud Source Repositories はどのバージョン管理システムのホスト バージョンを提供しているでしょうか？

• A. Git
• B. RCS
• C. SVN
• D. Mercurial

Correct Answer: A

Reference contents:
– Cloud Source Repositories のドキュメント | Google Cloud

Question 14

次のうち、分析データウェアハウスはどれでしょうか？

• A. Google Cloud SQL
• B. Google BigQuery
• C. Google Cloud Datastore
• D. Google Cloud Storage

Correct Answer: B

Reference contents:
– BigQuery: クラウド データ ウェアハウス | Google Cloud

Question 15

仮想マシンを作成して実行する機能を提供するサービスはどれでしょうか？

• A. Google Virtualization Engine
• B. コンピューティング コンテナ
• C. VM エンジン
• D. Google Compute Engine

Correct Answer: D

Reference contents:
– Compute Engine: 仮想マシン（VM） | Google Cloud

Question 17

G Suiteでのシングル サイン オン（SSO）は _____ に基づいています。

• A. SAML 2.0
• B. JWT
• C. サービス アカウント
• D. JSON

Correct Answer: A

Reference contents:
– サードパーティの ID プロバイダを使用した管理対象 Google アカウントへのシングル サインオンの設定 – Google Workspace 管理者 ヘルプ

Question 18

Google domainのデータをActiveDirectory と同期できるツールはどれでしょうか？

• A. Google Cloud Directory Sync (GCDS)
• B. Google Active Directory (GAD)
• C. Google Domain Sync Service
• D. Google LDAP Sync

Correct Answer: A

Reference contents:
– Google Cloud Directory Sync について – Google Workspace 管理者 ヘルプ

Question 19

Google アカウントがなくてもバケットやオブジェクトに期間限定でアクセスできる Google Cloud Storage はどれでしょうか

• A. 署名付き URL
• B. gsutil
• C. シングル サイン オン
• D. テンポラリーのアカウント

Correct Answer: A

Reference contents:
– 署名付き URL | Cloud Storage | Google Cloud

Question 20

警告なしに Google Compute Engine によって終了できる仮想マシン インスタンスは次のうちどれでしょうか？

• A. プリエンプティブル VM
• B. 共有コア VM
• C. 高CPU VM
• D. 標準 VM

Correct Answer: A

Reference contents:
– プリエンプティブル VM インスタンス | Compute Engine ドキュメント | Google Cloud

Question 21

Google Compute Engine のマネージド インスタンス グループとは何でしょうか？

• A. マネージド インスタンス グループは、異なる構成の既存のインスタンスを 1つの管理可能なグループに結合できます。
• B. マネージド インスタンス グループは、インスタンス テンプレートを使用して同一のインスタンスを作成できます。
• C. マネージド インスタンス グループは、インスタンスの周囲にファイアウォールを作成できます。
• D. マネージド インスタンス グループは、バッチ処理専用に使用されるサーバーのセットです。

Correct Answer: B

Reference contents:
– インスタンス グループ | Compute Engine ドキュメント | Google Cloud

Question 22

Google Cloud のネットワーキングはどのようなファイアウォール ルールに対応しているのでしょうか？

• A. 許可
• B. 許可、拒否 & フィルタリング
• C. 許可
• D. 許可 & 拒否

Correct Answer: D

ファイアウォール ルールを作成して IP アドレス、ポート、プロトコルの組み合わせに基づいて特定の接続を許可または拒否することができます。

Reference contents:
– VPC ネットワークの概要 | Google Cloud

Question 23

サブネットワークはレガシーネットワークとどう違いますか？

• A. 同じですが、ブランディングだけが異なります。
• B. 各サブネットワークはそのサブネットワークに割り当てられたインスタンスに使用される IP アドレス範囲を制御します。
• C. サブネットワークでは IP アドレスの割り当てはグローバルネットワークレベルで行われます。
• D. レガシーネットワークはネットワークを作成するための好ましい方法です。

Correct Answer: B

Reference contents:
– VPC ネットワークの概要 | Google Cloud

Question 24

自動スケーリングをトリガーするための有効な指標ではないものは次のうちどれですか？

• A. Google Cloud Pub/Sub キューイング
• B. 平均 CPU 使用率
• C. Stackdriver Monitoring の指標
• D. Google App Engine Task Queue

Correct Answer: D

オートスケーラーを作成するにはオートスケーラーがグループをスケーリングするタイミングを決定するために使用する自動スケーリングのポリシーと目標使用率レベルを指定する必要があります。
以下のポリシーを使用してスケーリングを選択できます。
– 平均 CPU 使用率
– Monitoring の指標
– 使用率または 1 秒あたりのリクエスト数のいずれかに基づいた HTTP 負荷分散処理能力
– Google Cloud Pub/Sub キューイング ワークロード（Alpha）

Reference contents:
– インスタンスのグループの自動スケーリング | Compute Engine ドキュメント | Google Cloud

Question 25

ファイアウォール ルールで簡単に適用できるのは、次のうちどれでしょうか？

• A. サービス アカウント
• B. タグ
• C. メタデータ
• D. ラベル

Correct Answer: B

タグ付け、ネットワーク、ファイアウォール ルールを簡単に適用できるようにします。
タグは特定のファイアウォール ルールが適用されるインスタンスを識別するためにネットワークやファイアウォールで使用されます。例えば、大規模なWeb サイトの配信など、同じタスクを実行するインスタンスが複数ある場合、これらのインスタンスに共有の単語や用語をタグ付けし、そのタグを使用してそれらのインスタンスに HTTP アクセスを与えることができます。
タグはメタデータサーバにも反映されるのでインスタンス上で動作しているアプリケーションにも利用できます。

Reference contents:
– リソースのラベル付け | Compute Engine ドキュメント | Google Cloud
– ネットワーク タグの構成 | VPC | Google Cloud

Question 26

Google Cloud SQLでは高可用性を実現するためにどのようなオプションを提供しているでしょうか？

• A. ポイントインタイム リカバリ
• B. AlwaysOn
• C. スナップショット
• D. フェイルオーバー レプリカ

Correct Answer: D

第 2 世代インスタンスを作成する際には高可用性を実現するために設定することができます。

Reference contents:
– インスタンスでの高可用性の有効化と無効化 | Cloud SQL for MySQL | Google Cloud
– 高可用性構成の概要 #フェイルオーバーの概要 | Cloud SQL for MySQL | Google Cloud

Question 27

Linuxサーバーで起動スクリプトを実行する場合、インスタンスはどのユーザーとしてスクリプトを実行しますか？

• A. ubuntu
• B. gce instance.usr
• C. コンソールで指定するユーザー。
• D. root

Correct Answer: D

インスタンスは常に root として起動スクリプトを実行し、インスタンスのメタデータにSSH 鍵が含まれている新しいユーザを作成した後にのみ、スクリプトを実行します。

Reference contents:
– 起動スクリプトの実行 | Compute Engine ドキュメント | Google Cloud

Question 28

次の方法のうち、シャットダウン スクリプトが実行されないのはどれですか？

• A. ゲスト オペレーティング システムに対するリクエストによってインスタンスがシャットダウンされるとき。
• B. プリエンプティブル インスタンスが停止しているとき。
• C. instances().reset AP を呼び出しているとき。
• D. Google Cloud Console 経由でシャットダウンするとき。

Correct Answer: C

Reference contents:
– シャットダウン スクリプトの実行 | Compute Engine ドキュメント | Google Cloud

Question 29

Google Cloud サービスとやり取りするときにどのタイプのアカウントをコードで使用するべきですか？

• A. Google group
• B. Service account
• C. Code account
• D. Google account

Correct Answer: B

サービス アカウントとは個々のエンド ユーザーではなく、アプリケーションに属するアカウントのことです。GCP でホストされているコードを実行する場合はコードを実行するアカウントを指定します。アプリケーションのさまざまな論理コンポーネントを表すために必要な数だけサービス アカウントを作成することができます。

Reference contents:
– 概要 | Cloud IAM のドキュメント | Google Cloud

Question 30

次のうち、IAM のベスト プラクティスではないものはどれでしょうか？

• A. デフォルトで基本ロールを使用します。
• B. アプリケーションの個々のコンポーネントは個別の信頼境界として扱ってください。
• C. 必要最小限の範囲のロールを付与します。
• D. プロジェクトのサービス アカウントの作成と管理ができる権限を持つユーザーを指定します。

Correct Answer: A

Reference contents:
– IAM の安全な使用 | Cloud IAM のドキュメント | Google Cloud

Question 31

次のうち、災害発生時の復旧時間を短縮しないのはどれでしょうか？

• A. DNS レコードを調整し、できるだけ簡単にウォーム スタンバイ サーバーにカットオーバーするようにします。
• B. ウォーム スタンバイ サーバをホット スタンバイ サーバに置き換えます。
• C. 新しいインスタンスをデプロイする際には、高度に事前構成されたマシンイメージを使用します。
• D. アクティブ/アクティブ ハイブリッド本番環境（オンプレミスとGCP）をウォーム スタンバイ サーバーに置き換えます。

Correct Answer: D

アクティブ/アクティブ ハイブリッド本番環境（オンプレミスとGCP）はオンプレミス環境またはGCPの導入のいずれかに障害が発生しても稼働を継続できるため、復旧時間はゼロになります。ウォームスタンバイサーバーでは手動でDNS の調整を行う必要があるため、復旧には常に時間がかかります。しかし、DNS 調整を容易にすることでウォーム スタンバイ モデルの復旧時間を短縮することができます。
ホット スタンバイ サーバーはメイン インスタンスが不健全になった場合に自動的にフェイルオーバーを行うため、手動でフェイルオーバーを行うウォーム スタンバイ サーバーよりも復旧時間が短くなります。
一般的に、RTO（Recovery Time Objective）が小さいほど、イメージを事前に設定しておく必要があります。

Reference contents:
– 障害復旧計画ガイド | アーキテクチャ | Google Cloud

Question 32

Google Cloud インフラストラクチャに対するサービス拒否攻撃を軽減するためのベストプラクティスではないものは次のうちどれでしょうか？

• A. Cloud Route を使用して大量のSYNをブロックします。
• B. 内部トラフィックを外部から分離します。
• C. 攻撃を吸収するためにスケールを行います。
• D. GCE 導入のための攻撃面を減らします。

Correct Answer: A

これらはすべて、サービス拒否攻撃を緩和するためのベストプラクティスです。
– GCE 導入のための攻撃対象を削減する。
– 攻撃を吸収するスケールする
– 内部トラフィックを外部から分離する
Cloud Route はVPN ルートを動的に更新するために使用されます。SYN flood をブロックすることはできません。一方、ユーザー トラフィックを終了する Google のフロントエンドインフラストラクチャは特定のタイプの攻撃（SYN floods など）がコンピュート インスタンスに到達する前に自動的にスケーリングして吸収します。

Reference contents:
– Best Practices for DDoS Protection and Mitigation on Google Cloud Platform

Question 33

インスタンスが停止したときに引き続き使用できる最速のインスタンス ストレージ オプションはどれでしょうか？

• A. ローカル SSD
• B. 標準永続ディスク
• C. SSD 永続ディスク
• D. RAM ディスク

Correct Answer: C

インスタンスを停止するとローカル SSDとRAM ディスクが消えます。標準永続ディスクとSSD 永続ディスクはどちらもインスタンスを停止しても存続しますが、SSD 永続ディスクのスループットは標準永続ディスクの最大 4 倍、I/O 操作は最大40倍です。

Reference contents:
– ストレージ オプション | Compute Engine ドキュメント | Google Cloud

Question 34

Microsoft のライセンスに関するこれらの説明のうち、正しいものはどれでしょうか？

• A. 既存のMicrosoft アプリケーション ライセンスを Google Compute Engine インスタンスに移行することはできますが、Microsoft Windows ライセンスは移行できません。
• B. 既存のMicrosoft Windows ライセンスとMicrosoft アプリケーション ライセンスを Google Compute Engine インスタンスに移行することができます。
• C. 既存のMicrosoft Windows またはMicrosoft アプリケーション ライセンスを Google Compute Engine インスタンスに移行することはできません。
• D. 既存のMicrosoft Windows ライセンスをGoogle Compute Engine インスタンスに移行できますが、Microsoft アプリケーション ライセンスは移行できません。

Correct Answer: A

既存のWindows Serverライセンスを Google Compute Engine に移行することはできません。既存のMicrosoft アプリケーション ライセンスをWindows Server インスタンスに持ち込んで特定のアプリケーションを実行することは可能です。

Reference contents:
– Compute Engine 上の Microsoft ソフトウェア | Compute Engine ドキュメント

Question 35

どのデータベースサービスが標準 SQL クエリをサポートしているでしょうか？

• A. Google Cloud Bigtable と Google Cloud SQL
• B. Google Cloud Spanner と Google Cloud SQL
• C. Google Cloud SQL と Google Cloud Datastore
• D. Google Cloud SQL

Correct Answer: B

Google Cloud SQL はMySQL とPostgreSQL のマネージ ドサービスでどちらもSQL クエリをサポートしています。
Google Cloud Spanner はSQL クエリをサポートしています。
Google Cloud Bigtable と Google Cloud Datastore はNoSQL データベースです。

Reference contents:
– https://cloud.google.com/products/storage/

Question 36

IP アドレスに関する記述のうち、誤っているものはどれでしょうか？

• A. 静的外部 IP アドレスを使用している時間ごとに課金されます。
• B. エフェメラル IP アドレスには課金されません。
• C. Google Compute Engine はIPv6ではなくIPv4 アドレスのみをサポートしています。
• D. 割り当てられているが未使用の静的な外部 IP アドレスに対して課金されます。

Correct Answer: B

静的外部 IP アドレスを予約したが使用しない場合は IP アドレスの料金が請求されます。
静的外 部IP アドレスを予約し、VM インスタンスや転送ルールなどの Google Compute Engine リソースで使用する場合はそのアドレスは使用中であると見なされ、料金は発生しません。
エフェメラル IP アドレスは無料です。
Google Compute Engineは、IPv6ではなくIPv4アドレスのみをサポートします。

Reference contents:
– すべての料金 | Compute Engine ドキュメント | Google Cloud

Question 37

基盤となるインフラストラクチャを処理するために 管理が最も少なくGCP サービスはどれでしょうか？

• A. Google Container Engine
• B. Google Compute Engine
• C. Google App Engine
• D. Google Compute Engine で動作するDocker コンテナ

Correct Answer: C

Google App Engine はWeb ベースのアプリケーション、基幹業務アプリ、モバイルバックエンドの実行に最適です。
Google Compute Engine は基礎となるインフラストラクチャをより制御する必要がある場合に最適です。
Google Container Engine はその中間に位置し、Google Compute Engine で動作するコンテナを制御することができます。

Reference contents:
– Google Compute Engine のよくある質問 | Compute Engine ドキュメント | Google Cloud

Question 38

ゾーン全体に障害が発生した場合でもアプリケーションが負荷を処理できるようにするには、どうすればよいでしょうか？

• A. マネージド インスタンス グループを作成するときは、[マルチゾーン] オプションを選択しないでください。
• B. マネージド インスタンス グループを 2 つのゾーンに分散し、100% オーバープロビジョニングを行います。
• C. リージョン 非マネージ ドインスタンス グループを作成し、複数のゾーンにインスタンスを分散させる。
• D. リージョン マネージド インスタンス グループを 50% 以上 オーバープロビジョニングを行います。

Correct Answer: D

1つのゾーンに障害が発生したり、インスタンスのグループ全体が応答を停止したりする極端なケースを考慮して、Google Compute Engine は対象のマネージド インスタンス グループを少なくとも50％オーバープロビジョニングすることを強く推奨されています。インスタンスを 3 つのゾーンに分散させることでサービス容量の少なくとも ⅔ を維持でき、リージョン内の他の 2 つのゾーンは中断することなくトラフィックを提供し続けることができます。150％ オーバープロビジョニングすることで容量の 1/3 が失われた場合でも残りのゾーンでトラフィックの 100 ％がサポートされるようにすることができます。
マネージド インスタンス グループを作成するときは、[マルチゾーン]オプション（または gcloud コマンドを使用している場合は -region フラグ）を選択する必要があります。
リージョン マネージド インスタンス グループを作成することのみが可能ですが、リージョン 非マネージド インスタンス グループを作成することはできません。

Reference contents:
– リージョン MIG の作成と管理 | Compute Engine ドキュメント | Google Cloud
– リージョン マネージド インスタンス グループ | Compute Engine ドキュメント | Google Cloud

Question 39

「Bob」という名前のユーザーに Google Cloud Storage バケットへのアクセス許可を与えず、ACL を使用してそのバケット内のオブジェクトへのアクセスを Bob に許可した場合、どのような動作になるでしょうか？

• A. バケットとオブジェクトのACL は互いに独立しているため、オブジェクトにアクセスできます。
• B. バケットにアクセスできないため、オブジェクトにアクセスできなくなります。
• C. ユーザーがアクセスできないバケット内にあるオブジェクトへのアクセスを許可することはできません。

Correct Answer: A

バケットとオブジェクトのACL は互いに独立しており、バケット上のACL はそのバケット内のオブジェクトのACL に影響を与えないことを意味します。バケットの権限を持たないユーザがバケット内のオブジェクトの権限を持つことは可能です。
例えば、Group A のみがバケット内のオブジェクトをリストアップする権限を持つようなバケットを作成し、Group B がそのオブジェクトへの読み込み アクセスを許可するようなオブジェクトをそのバケットにアップロードすることができます。Group B はオブジェクトを読むことはできますがバケットの内容を表示したり、バケット関連のタスクを実行したりすることはできません。

Reference contents:
– Cloud Storage のベスト プラクティス #セキュリティ、ACL、アクセス制御 | Google Cloud

Question 40

オフィス ネットワークと Google Cloud Platform の間に仮想プライベートネットワークを設定し、ネットワーク トポロジが変化した際に経路を自動更新してもらうためには、各タイプのコンポーネントを実装する必要があります。
コンポーネントの最小数はいくつでしょうか？

• A. Cloud VPN ゲートウェイ 2 台、ピア ゲートウェイ 1 台。
• B. Cloud VPN ゲートウェイ 1 台、ピア ゲートウェイ 1 台、Cloud Router 1 台
• C. ピア ゲートウェイ 2 台、Cloud Router 1台
• D. Cloud VPN ゲートウェイ 2 台、Cloud Router 1台

Correct Answer: B

VPC ネットワークではネットワーク IP 空間を地域的にプレフィックス（サブネット）にセグメント化し、VM インスタンスの内部 IP アドレスをどのプレフィックスから割り当てるかを制御することができます。VPN に関連する静的ルートを追加および削除する負担を含め、これらのサブネットを静的に管理することを避けたい場合は、Cloud Router を使用してVPN の動的ルーティングを有効にすることでこれを行うことができます。
https://cloud.google.com/compute/images/cloudrouter/cr-w-subnets.svg の図は VPN ゲートウェイ、ピア ゲートウェイ、Cloud Router を示しています。

Reference contents:
– Cloud Router のドキュメント | Google Cloud

Question 41

GCP での暗号化に関する次の記述のうち、正しくないものはどれどれでしょうか？

• A. GCP は顧客データを保存する際にデフォルトで暗号化します
• B. 各暗号鍵自体が一連のマスター鍵によって暗号化されます。
• C. Google Cloud Storage 上のデータ用に独自の暗号鍵を管理する場合、唯一のオプションは Cloud KMS を使用する顧客管理の暗号鍵（CMEK）です。
• D. GCP のデータはストレージ用にサブファイルのチャンクに分割され、各チャンクは個別の暗号鍵でストレージ レベルで暗号化されます。

Correct Answer: C

Google を利用する際に独自の暗号鍵を管理する方法は 3つあります。
Cloud KMS を使用した顧客管理の暗号鍵（CMEK）では GCP でホストされている鍵を自分で管理することができます。
顧客指定の暗号鍵（CSEK）では自社の鍵をオンプレミスで管理することができますが GCP で使用することができます。
クライアント側の暗号化では GCP にデータを送信する前にデータを暗号化します。
デフォルトでは、GCP は静止状態で保存されている顧客データを暗号化し、顧客が追加の操作をする必要はありません。
GCP のデータはストレージ用にサブファイルのチャンクに分割され、各チャンクはストレージ レベルで個別の暗号鍵で暗号化されます。チャンク内のデータを暗号化するために使用される鍵は データ暗号鍵（DEK）と呼ばれます。Google では鍵の量が多く、低レイテンシと高可用性が求められるため、これらの鍵は暗号化するデータの近くに保管されています。DEK は鍵暗号鍵（KEK）で暗号化されています（または「ラッピング」されています）。
顧客はデータを保護するDEK を保護するKEK を管理するためにどの鍵管理ソリューションを選択するかを選択することができます。

Reference contents:
– 保存データの暗号化 | Google Cloud

Question 42

フェイルオーバーレプリカを構成して高可用性を実現する必要があるデータベースサービスはどれでしょうか？

• A. Google Cloud Spanner
• B. Google Cloud SQL
• C. Google BigQuery
• D. Google Cloud Datastore

Correct Answer: B

Google Cloud Datastore、Google Cloud Spanner、Google BigQuery はすべて水平方向にスケーラブルであり、複数のゾーンに自動的に複製されます。
Google Cloud SQL は水平方向にスケーラブルではないため、フェイルオーバーレプリカを構成して高可用性を実現する必要があります。

Reference contents:
– インスタンスでの高可用性の有効化と無効化 | Cloud SQL for MySQL | Google Cloud

Question 43

役割と権限を設定する際に適用すべき原則ではないのはどれでしょうか？

• A. 可能な限り、個人ではなくグループに役割を割り当てます。
• B. ユーザーに最小限のアクセスのみ権限を付与します。
• C. 可能な限り、事前定義ロールではなく、基本ロールを割り当てます。
• D. Cloud Audit Logs を確認し、すべてのポリシー変更を監査します。

Correct Answer: C

事前定義ロールは基本ロールよりもきめ細かいアクセスを提供します。可能な場合は事前定義ロールをID に付与してリソースへのアクセスに必要な最小限のアクセスのみを許可します。

Reference contents:
– IAM の安全な使用 | Cloud IAM のドキュメント | Google Cloud
– ロールについて | Cloud IAM のドキュメント | Google Cloud

Question 44

Google Cloud サービスでアプリケーションを認証する方法として推奨されていないのはどれでしょうか？

• A. gcloud コマンドや gsutil コマンドを使用します。
• B. OAuth 2.0 アクセストークンをリクエストして直接使用します。
• C. サービス アカウントの資格情報をアプリケーションのソースコードに埋め込みます。
• D. Google Cloud クライアント ライブラリのいずれかを使用します。

Correct Answer: C

API キー、OAuthトークン、サービス アカウントの資格情報など、認証に関連するシークレットをソースコードに埋め込まないでください。
サービスアカウントの認証情報を使用したアプリケーションの認証クライアントライブラリは、アプリケーションのデフォルトの認証情報を使用してGoogle APIで認証し、それらのAPIにリクエストを送信できます。
一部のアプリケーションでは OAuth 2.0 アクセストークンをリクエストしてクライアントライブラリを経由したり、gcloud または gsutil ツールを使用せずに直接使用する必要がある場合があります。
一部のアプリケーションはほとんどの Google Compute Engine イメージにデフォルトで含まれている gcloud および gsutil ツールのコマンドを使用する場合があります。これらのツールはインスタンスのサービス アカウントとサービス アカウントに付与された関連するアクセス許可を自動的に認識します。

Reference contents:
– 認証の概要 | Google Cloud

Question 45

VM インスタンスのグループを完全に分離する 2つの異なるサービスとはどれでしょうか？

• A. ファイアウォール ルールとサブネットワーク
• B. ネットワークとサブネットワーク
• C. サブネットワークとプロジェクト
• D. プロジェクトとネットワーク

Correct Answer: D

Google はすべてのパケットをセキュリティ チェックにかけることができるソフトウェア定義ネットワークを使用しているため、Google CloudPlatformプロジェクトを完全に分離できます。
プロジェクト内のネットワークはVM インスタンスのグループを分離するために使用されます。
Google Compute Engineのサブネットワークを使用するとVM インスタンス間のルーティング機能を維持しながら、VM インスタンスが作成されるアドレス空間を制御できます。
ファイアウォール ルールは着信ネットワークトラフィックのみを制限します。発信ネットワークトラフィックを制限することはできません。

Question 46

常に動作しているWeb サーバーがありますがSSH 経由でそのインスタンス VMに接続できません。
これらのトラブルシューティング方法のうち、本番トラフィックを中断せずに使用できるのはどれですか？（回答を 3つ選択してください）

• A. ディスクのスナップショットを作成し、それを使用して新しいディスクを作成し、新しいディスクを新しいインスタンスに接続します。
• B. netcat を使用してポート 22 に接続を試みます。
• C. シリアルコンソールの出力にアクセスします。
• D. 情報を収集するための起動スクリプトを作成します。

Correct Answer: A、B、C

ファイアウォール ルールを変更するとVM にトラフィックが流れなくなる可能性があります。
VM インスタンスのディスクを既存のインスタンスから最初に切り離さずに新しいインスタンスに接続することはできません。
情報を収集するために起動スクリプトを作成した場合、スクリプトを実行するためにVM インスタンスを再起動する必要があります。
トラフィックを中断することなく、シリアルコンソールの出力を見ることができます。一方、対話型シリアルコンソールでコマンドを実行すると、操作が中断される可能性があります。
netcat を使用してポート 22 に接続するとポート 22 をリッスンする唯一のサービスであるため、VM 上の SSH サーバにのみ影響を与えます。
VM の操作を中断することなく、VM インスタンスのディスクのスナップショットを作成することができます。

Reference contents:
– SSH のトラブルシューティング | Compute Engine ドキュメント | Google Cloud
– ブラウザからの SSH | Compute Engine ドキュメント | Google Cloud

Question 47

Webサーバーを監視してサーバーがダウンしたかどうかを通知するように Stackdriver を構成するにはどのような手順を実行するべきでしょうか？（回答を 2つ選択してください） 

• A. Web サーバーに Stackdriver Logging エージェントをインストールします。
• B. アラートポリシーを作成します。
• C. Web サーバーに Stackdriver Monitoring エージェントをインストールします。
• D. 稼働時間チェックを作成します。

Correct Answer: B、D

稼働時間チェックはWeb サーバーが常にアクセス可能であることを確認します。アラートポリシーは、稼働時間チェックが失敗した場合に誰に通知されるかを制御します。
ダウンタイム アラートを取得するために Stackdriver Monitoring エージェントをインストールする必要はありません。エージェントは追加情報を提供しますが必須ではありません。
Stackdriver Logging エージェントはアラート用ではなく、追加のログ用です。
Stackdriver Monitoring エージェントの使用はオプションです。Stackdriver Monitoring はCPU 使用率、一部のディスクトラフィック メトリック、ネットワーク トラフィック、稼働時間情報など Stackdriver Monitoring エージェントなしで一部の指標にアクセスすることができます。

Reference contents:
– Compute Engine インスタンスをモニタリングするためのクイックスタート | Cloud Monitoring
– Cloud Monitoring エージェントの概要 | Google Cloud

Question 48

Amazon S3 から Google Cloud Storage にデータをコピーするためのツールはどれでしょうか？（回答を 2つ選択してください）

• A. Google Cloud Storage Transfer Service
• B. Amazon S3 Storage Transfer Service
• C. Google Cloud Storage Console
• D. gsutil

Correct Answer: A、D

Google Cloud Storage Transfer Service はオンライン データソースからデータシンクにデータを転送します。データソースは Amazon Simple Storage Service（Amazon S3）バケット、HTTP/HTTPS ロケーション、Google Cloud Storage バケットにすることができます。データシンク（宛先）は常に Google Cloud Storage バケットです。
Google Cloud Storage Transfer Serviceを使用して次のことができます。
他のストレージプロバイダーからGoogleCloudStorageバケットにデータをバックアップします。
Multi-Regional Storage バケットから Nearline Storage バケットにデータを移動してストレージ コストを削減します。

Reference contents:
– Transfer Service | Google Cloud

Question 49

仮想マシン インスタンスがまったく起動しない場合のトラブルシューティングで実行できるアクションはどてでしょうか？（回答を 2つ選択してください）

• A. マシンタイプを変更してインスタンス上のCPU とメモリを増やします。
• B. ディスクに有効なファイルシステムがあることを確認します。
• C. 仮想マシン インスタンスのシリアル ポート出力を調べます。
• D. SSH を使用して仮想マシン インスタンスに接続します。

Correct Answer: B、C

永続ブートディスクが起動しない場合のトラブルシューティングに役立つヒントをいくつか紹介します。
[仮想マシンインスタンスのシリアルポート出力を調べます。] インスタンスのBIOS、ブートローダー、およびカーネルは、デバッグメッセージをインスタンスのシリアルポート出力に出力し、インスタンスで発生したエラーや問題に関する貴重な情報を提供します。
[シリアル コンソールへのインタラクティブ アクセスを有効にします。]
インスタンスのシリアル コンソールへのインタラクティブ アクセスを有効にし、インスタンスを完全に起動しなくてもインスタンス内からログインして起動の問題をデバッグできるようにすることができます。
[ディスクに有効なファイルシステムがあることを確認します。] ファイルシステムが破損しているか無効である場合、インスタンスを起動することはできません。
[ディスクに有効なマスターブートレコード（MBR）があることを確認します。] 仮想マシンがまったく起動しない場合は、VM上のSSHサーバーが実行されていないため、SSHを使用して仮想マシンに接続することはできません。
インスタンスのCPU とメモリを増やすとVM が途中で起動した場合に役立つ場合がありますが、まったく起動できない場合は役立ちません。

Reference contents:
– Compute Engine を使用する場合の一般的なヒント | Compute Engine ドキュメント | Google Cloud

Question 50

アプリケーションの負荷テストに関する説明として正しいものはどれでしょうか？（回答を 2つ選択してください）

• A. 予想される最大負荷でテストする必要があります。
• B. 予想される最大負荷より 50 ％多い速度でテストする必要があります。
• C. GCP はシームレスに拡張されるため、トラフィックが急激な増加するテストする必要がはありません。
• D. 負荷テストにはトラフィックが急激な増加するテストを含める必要があります。

Correct Answer: A、D

テストは実際のトラフィックを可能な限り正確にシミュレートするように設計されている必要があります。また、発生すると予想される最大負荷でのテストが必要です。
さらに、一部のアプリケーションには負荷が急激に増加するものもあり、その増加率を予測する必要があります。急激な負荷が予想される場合はトラフィックが突然増加したときのアプリケーションのパフォーマンスもテストする必要があります。
GCP サービスは迅速にスケーリングしますが瞬時にスケーリングするわけではないため、トラフィックの突然の増加をテストする必要があります。

Question 51

復元性テストに関するこれらの説明のうち、正しいものはどれでしょか？（回答を 2つ選択してください）

• A. 復元性テストではアプリケーションはダウンタイムがほとんどないか、または全くない状態で稼働し続けなければなりません。
• B. 自動スケーリングのインスタンス グループの回復力をテストするにはそのグループ内のランダムなインスタンスを終了させることができます。
• C. アプリケーションがインスタンスの障障害に耐えるためにはステートレスであるべきではありません。
• D. 復元性テストは災害復旧テストと同じです。

Correct Answer: A、B

復元性テスト はインフラストラクチャに障害が発生したときに何が起こるかをテストしているので、災害復旧テストと似ています。違いは、復元性テストはダウンタイムがほとんどまたはまったくなく、アプリケーションが実行され続けることを期待している点が異なります。災害復旧テストでは、多少のダウンタイムが予想されます。
1つの一般的なテストシナリオは自動スケーリングのインスタンス グループ内のランダムなインスタンスを終了することです。Netflix はこの種のテストを自動化する Chaos Monkey と呼ばれるソフトウェアを作成しました。自動スケーリング インスタンス グループ内のアプリケーションがステートレスであればユーザーに目立った影響を与えることなく、この種の障害を乗り切ることができるはずです。

Reference contents:
– Managing Your Google Cloud Infrastructure Course

Question 52

アプリケーションで発生したエラーを警告し、コードの根本原因を特定するのに役立つ Stackdriver サービスの組み合わせはどれでしょか？

• A. Monitoring と Trace と Debugger
• B. Monitoring とError Reporting
• C. Debugger と Error Reporting
• D. Alerts と Debugger

Correct Answer: C

Stackdriver Error Reporting はアプリケーションのエラーを追跡し、エラーが発生したときに警告を出すように設定できます。
Stackdriver Debugge はコードの任意の場所でアプリケーションの状態を調べることができます。エラー報告] に表示されたエラーをクリックするとデバッガで関連するアプリケーションのソース コードに移動し、問題を診断することができます。
Stackdriver Monitoring はアプリケーションのエラーではなく、パフォーマンス指標と稼働時間をリアルタイムで表示します。警告は Stackdriver Monitoring の機能のひとつですが Stackdriver Alerts というサービスはありません。
Stackdriver Trace はアプリケーションのレイテンシデータを収集します。アプリケーションのエラーではなく、パフォーマンスのボトルネックを見つけるのに便利です。

Reference contents:
– 運用: Cloud Monitoring と Logging | Google Cloud

Question 53

ログを Google BigQuery にエクスポートするように Stackdriver Logging を設定しましたが、ログエントリが Google BigQuery にエクスポートされない場合、最も可能性の高い原因は何でしょうか？

• A. Cloud Data Transfer Serviceが有効になっていません。
• B. Stackdriver と Google BigQuery 間のトラフィックを許可するファイアウォール ルールがありません。
• C. Stackdriver Logging に Google BigQuery データセットへの書き込み権限がありません。
• D. エクスポートされる Stackdriver ログ エントリのサイズが Google BigQuery データセットの最大容量を超えています。

Correct Answer: C

シンクを作成すると Stackdriver Logging はシンク用に一意の 書き込み ID（writerIdentity） と呼ばれる新しいサービス アカウントを作成します。
Google BigQuery データセットにログを書き込むにはシンクの 書き込み ID に編集許可またはライター ロールのいずれかを付与する必要があります。
Stackdriver と Google BigQuery 間のトラフィックを許可するためのファイアウォール ルールを作成する必要はありません。
Cloud Data Transfer Service は外部ソースから Google Cloud Platform にデータをインポートするためのサービスです。
Google BigQuery は Stackdriver のログの量を問わず簡単に処理することができます。

Reference contents:
– Google Cloud Console でのログのエクスポート | Cloud Logging

Question 54

Stackdriverを使用してどの Google Cloud Platform 上の仮想マシンを監視できるでしょうか？

• A. Google Cloud Platform、Microsoft Azure
• B. Google Cloud Platform
• C. Google Cloud Platform、Microsoft Azure、Amazon Web Services
• D. Google Cloud Platform、Amazon Web Services

Correct Answer: D

Google Stackdriver は Google Cloud Platform、Amazon Web Services、人気のあるオープンソースパッケージとネイティブに統合されています。

Reference contents:
– 運用: Cloud Monitoring と Logging | Google Cloud

Question 55

誰かがログファイルを変更してアクティビティを非表示にするリスクを最小限に抑えるには、次の原則のうちどれが有効でしょうか？（回答を 3つ選択してください）

• A. プロジェクトとログ バケットの所有者 役割の使用を制限します。
• B. ログを検査するために2人を要求します。
• C. ログバケットにオブジェクトのバージョン管理を実装します。
• D. Cloud KMSを使用してログを暗号化する。

Correct Answer: A、B、C

ログはオリジナルのプロジェクトの Google Cloud Storage に保存されます。デフォルトでは、プロジェクトの所有者と編集者はプロジェクト内のすべての Google Cloud Storage バケットとバケットの階層的な権限モデルの下にあるオブジェクトの所有権を持っています。
ログへの不注意な変更や悪意のある変更のリスクを最小限に抑えるには、次の原則を適用してください。
[最小限の権限] 仕事をするのに必要な最小限の広義の権限を付与します。プロジェクトやログバケットの所有者 ロールの使用を制限します。
[否認防止 ] Google Cloud Storage はディスクに書き込む前にすべてのデータを自動的に暗号化します。ログは自動的に暗号化されるので Cloud KMS を使用して暗号化する必要はありません。ログバケットにオブジェクト バージョニングを実装することで否認防止の保証を追加することができます。バケット内のオブジェクトが上書きされたり削除されたりするとそのオブジェクトのコピーが自動的にそれを識別する生成プロパティとともに保存されます。残念ながら、この機能はプロジェクトオーナーがアーカイブされたオブジェクトを削除したり、バージョニングを無効にしたりすることからは保護できません。
[職務の分離] 職務の分離について追加の保証を提供することができます。例えば、ログを検査してサインオフするために 2 人の人間を必要とするかもしれません。頻繁に実行する cron ジョブの一部として gsutil cp を使用することでログバケットを別の所有者がいるプロジェクトにコピーすることができます。この方法ではコピーが発生する前に元のバケットを削除してしまったり、元のログを無効にしてしまったりするプロジェクトの所有者を守ることはできません。

Reference contents:
– エンタープライズ企業のベスト プラクティス | ドキュメント | Google Cloud

Question 56

1つの Google Compute Engine インスタンスと別のインスタンス間のネットワークトラフィックが低下している場合、最も可能性の高い原因は何でしょうか？

• A. インスタンスが低帯域のネットワーク上にあります。
• B. TCP キープアライブの設定が短すぎます。
• C. インスタンスは追加のファイアウォール ルールのないデフォルト ネットワーク上にあります。
• D. ファイアウォール ルールが削除されました。

Correct Answer: D

Google Compute Engine（GCE）はプロジェクトのファイアウォール ルールで明示的に許可されたネットワーク トラフィックのみを許可します。デフォルトでは、すべてのプロジェクトには特定の種類の接続を許可するデフォルトのネットワークが自動的に用意されています。デフォルトのネットワーク ファイアウォール ルールを削除すると関連するトラフィックは許可されなくなります。
トラフィックの低下はTCP キープアライブの設定が長すぎることが原因で発生する可能性がありますが、短すぎることが原因ではありません。
すべての GCE インスタンスには高帯域幅の接続があります。

Reference contents:
– Compute Engine を使用する場合の一般的なヒント | Compute Engine ドキュメント | Google Cloud
– ネットワークに関する一般的な問題のトラブルシューティング | Compute Engine ドキュメント | Google Cloud

Question 57

次のうち、より安全なソフトウェアを開発するのに役立つものはどれでしょうか？（回答を 3つ選択してください）

• A. 侵入テスト
• B. 静的コード解析ツールをCI/CDパイプラインに統合
• C. ソースコードを暗号化
• D. コードの検証

Correct Answer: A、B、D

ソフトウェア アプリケーションのセキュリティを分析するためには自動スキャン、手動の侵入テスト、静的分析、手動のコードレビューの 4 つの基本的なテクニックがあります。

コードレビューはあまりにも高価で時間がかかるという多くの主張にもかかわらず、多くのセキュリティ問題を発見し、診断するためには、コードレビューが最も速く、最も正確な方法であることに疑いの余地はありません。また、他の方法では発見できない深刻なセキュリティ問題も数多く存在します。
ソースコードを暗号化することはハッカーの手から遠ざけるのに役立つかもしれませんが、より安全なソフトウェアを開発するのには役立ちません。

Reference contents:
– OWASP CODE REVIEW GUIDE

Question 58

Google Cloud Storage のライフサイクル ポリシーが特定のオブジェクトに及ぼす影響を監視するために使用できる情報を保持しているのはどの場所でしょうか？（回答を 2つ選択してください）

• A. Google Cloud Storage のライフサイクル監視
• B. 有効期限のメタデータ
• C. アクセス ログ
• D. ライフサイクル設定ファイル

Correct Answer: B、C

Age 条件を持つバケットにDelete アクションが指定されている場合（NumberOfNewerVersion 条件がない場合）、一部のオブジェクトには有効期限時間のメタデータがタグ付けされている場合があります。オブジェクトの有効期限時間はそのオブジェクトがオブジェクトのライフサイクル管理によって削除の対象となる時間を示します。バケットのライフサイクル設定の変更に応じて有効期限時間は変更される可能性があります。
どのようなライフサイクル管理アクションを確認するにはバケットのアクセス ログを有効にすることができます。ログエントリの「cs_user_agent」フィールドの「GCS Lifecycle Management」の値はライフサイクル設定に基づいてGoogle Cloud Storageによってアクションが実行されたことを示しています。
ライフサイクル設定ファイルはライフサイクルポリシーを設定するために使用されますがそのポリシーが特定のオブジェクトにどのような影響を与えたかについての情報は含まれていません。
「Google Cloud Storage Lifecycle Monitoring」というサービスはありません。

Reference contents:
– オブジェクトのライフサイクル管理 | Cloud Storage | Google Cloud

Question 59

マルチリージョン バケットでオブジェクトのバージョン管理を有効にしている場合、次のライフサイクル構成ファイルは何をしますか？

{“lifecycle”: {
“rule”: [ {
“action”: {“type”: “Delete”},
“condition”: {
“age”: 30,
“isLive”: true } },
{ “action”: {
“type”: “SetStorageClass”,
“storageClass”: “COLDLINE”},
“condition”: {
“age”: 365,
“matchesStorageClass”: [“MULTI_REGIONAL”] } } ] } }

• A. 30日よりも古いオブジェクトをアーカイブします。（2番目のルールは何もしません）
• B. 30日よりも古いオブジェクトを削除します。（2番目のルールは何もしない）
• C. 30 日以上前のオブジェクトをアーカイブし、365 日後にオブジェクトを Coldline Storage に移動します。
• D. 30 日以上前のオブジェクトを削除し、365 日後にオブジェクトを Coldline Storage に移動します。

Correct Answer: C

オブジェクトのバージョン管理が有効でDelete ルールに 「isLive: true」条件がある場合はオブジェクトは削除されるのではなくアーカイブされます。オブジェクトのバージョニングが無効になっている場合は最初のルールは実際には 30 日後にオブジェクトを削除し、2 番目のルールはどのオブジェクトにもマッチしません。質問ではオブジェクトのバージョニングが有効になっていると書かれているのでそうではありません。
2 番目のルールは 365 日よりも古いオブジェクトを Multi-Regional Storage から Coldline Storage に移動します。ライブのオブジェクトはすべて 30 日後にアーカイブされるのでアーカイブされたオブジェクトだけがこのルールで移動される古いオブジェクトになります。また、Multi-Regional バケットのため、このルールは 365 日よりも古いすべてのアーカイブされたオブジェクト（すでに Coldline Storage に移動されているオブジェクトを除く）に一致します。

Reference contents:
– オブジェクトのライフサイクルの管理 | Cloud Storage | Google Cloud
– オブジェクトのライフサイクル管理 | Cloud Storage | Google Cloud

Question 60

Stackdriver Trace に関する次の説明のうち正しいものはどれでしょうか？ （回答を 2つ選択してください）

• A. Stackdriver Trace はアプリケーションを実行している仮想マシンのパフォーマンスをトレースします。
• B. Stackdriver Trace は受信要求の待ち時間をトレースします。
• C. Google App Engine 内のアプリケーションは Stackdriver Trace にトレースを自動的に送信します。Google App Engine 以外のアプリケーションでは Trace SDK または Stackdriver Trace API を使用する必要があります。
• D. アプリケーションを Stackdriver Trace で動作させるにはアプリケーションが App 内にある場合でも Trace SDK または Stackdriver Trace API を使用して自動計測コードを追加する必要があります。

Correct Answer: B、C

デフォルト設定では Stackdriver Trace が有効になっている Google App Engine アプリケーションからデータを収集します。その他のアプリケーションの場合は Stackdriver Trace API を使用してください。（または Trace SDK を使用してください）
Stackdriver Trace を使用するとユーザーや他のアプリケーションからの着信要求を処理するのにアプリケーションがどれくらいの時間を要しているか、要求を処理する際に実行される RPC 呼び出しなどの操作を完了するのにどれくらいの時間がかかっているかを把握するのに役立ちます。Reference contents:
– Stackdriver Trace API | Google Clou
– Cloud Trace について | Google Cloud