[2025年06月28日] Professional-Cloud-DevOps-Engineer日本語のPDFで最近更新された問題です集試験点数を伸ばそう [Q94-Q119]

Share

[2025年06月28日] Professional-Cloud-DevOps-Engineer日本語のPDFで最近更新された問題です集試験点数を伸ばそう

Professional-Cloud-DevOps-Engineer日本語完全版問題集には無料PDF問題で合格させる

質問 # 94
あなたは、Google Kubernetes Engine (GKE) で実行される本番アプリケーションの問題を調査しています。
コードの正確な変更は特定されませんでしたが、問題の原因は最近更新されたコンテナ イメージであると判断しました。現在、デプロイメントは最新のタグを指しています。意図したとおりに機能するバージョンのコンテナーを実行するには、クラスターを更新する必要があります。あなたは何をするべきか?

  • A. 以前に動作していたコンテナの sha2 56 ダイジェストを指すようにデプロイメントを変更します。
  • B. 最新のタグを前のコンテナー イメージに適用し、デプロイメントでローリング アップデートを実行します。
  • C. 以前に動作していたコンテナを指す、stable という新しいタグを作成し、新しいタグを指すようにデプロイメントを変更します。
  • D. 以前の Git タグから新しいコンテナを構築し、新しいコンテナへのデプロイメントでローリング アップデートを実行します。

正解:A


質問 # 95
Compute Engine にデプロイされたアプリケーションをサポートしているとします。アプリケーションは Cloud SQL インスタンスに接続してデータを保存および取得します。アプリケーションを更新した後、ユーザーはデータベース タイムアウト メッセージを示すエラーを報告します。同時アクティブ ユーザー数は安定していました。データベース タイムアウトの最も可能性の高い原因を見つける必要があります。あなたは何をするべきか?

  • A. Compute Engine インスタンスのシリアル ポート ログを確認します。
  • B. Cloud SQL インスタンスへの接続数が増加しているかどうかを判断します。
  • C. Stackdriver Profiler を使用して、アプリケーション全体のリソース使用率を視覚化します。
  • D. Cloud Security Scanner を使用して、Cloud SQL が分散型サービス拒否 (DDoS) 攻撃を受けているかどうかを確認します。

正解:C


質問 # 96
Terraform を使用して、Cl/CD パイプライン内のコードとしてインフラストラクチャを管理しています。Google Cloud プロジェクトにインフラストラクチャ スタック全体の複数のコピーが存在し、既存のインフラストラクチャに変更が加えられるたびに新しいコピーが作成されることに気づきました。インフラストラクチャ スタックのインスタンスが一度に 1 つだけ存在するようにすることで、クラウド支出を最適化します。Google が推奨する方法に従う必要があります。どうすればよいですか?

  • A. 不要になった古いインフラストラクチャ スタックを削除するための新しいパイプラインを作成します。
  • B. パイプラインが Terraform を保存および取得していることを確認します。Terraform gcs バックエンドを使用した Cloud Storage からの if 状態ファイル
  • C. パイプラインがソース管理から terrafom.tfstat* ファイルを保存および取得していることを確認します。
  • D. 最新の構成を適用する前に、パイプラインを更新して既存のインフラストラクチャを削除します。

正解:B

解説:
Explanation
The best option for optimizing your cloud spend by ensuring that only a single instance of your infrastructure stack exists at a time is to confirm that the pipeline is storing and retrieving the terraform.tfstate file from Cloud Storage with the Terraform gcs backend. The terraform.tfstate file is a file that Terraform uses to store the current state of your infrastructure. The Terraform gcs backend is a backend type that allows you to store the terraform.tfstate file in a Cloud Storage bucket. By using the Terraform gcs backend, you can ensure that your pipeline has access to the latest state of your infrastructure and avoid creating multiple copies of the entire infrastructure stack.


質問 # 97
あなたは Compute Engine でアプリケーションを実行し、Stackdriver を通じてログを収集しています。あなたは、個人を特定できる情報 (Pll) が特定のログ エントリ フィールドに漏洩していることを発見しました。すべての Pll エントリはテキスト userinfo で始まります。これらのログエントリを後で確認できるように安全な場所にキャプチャし、Stackdriver Logging に漏洩しないようにしたいと考えています。あなたは何をするべきか?

  • A. userinfo に一致する高度なログフィルタを作成し、Stackdriver コンソールで Cloud Storage をシンクとして使用してログ エクスポートを構成し、userinfo をフィルタとして使用して tog 除外を構成します。
  • B. ユーザー情報に一致する基本的なログフィルタを作成し、Cloud Storage をシンクとして使用して Stackdriver コンソールでログのエクスポートを構成します。
  • C. Stackdriver エージェントで Fluentd フィルタ プラグインを使用して、ユーザー情報を含むログエントリを削除し、そのエントリを Cloud Storage バケットにコピーします。
  • D. Stackdriver エージェントで Fluentd フィルタ プラグインを使用して、ユーザー情報を含むログエントリを削除し、ユーザー情報に一致する高度なログ フィルタを作成して、Cloud Storage をシンクとして使用して Stackdriver コンソールでログ エクスポートを構成します。

正解:C

解説:
https://medium.com/google-cloud/fluentd-filter-plugin-for-google-cloud-data-loss-prevention-api-42bbb1308e76


質問 # 98
Google Kubernetes Engine (GKE) クラスター全体にいくつかの制約テンプレートを適用する必要があります。制約には、Kubernetes API の制限などのポリシー パラメーターが含まれます。ポリシー パラメーターが GitHub リポジトリに保存され、変更が発生したときに自動的に適用されることを確認する必要があります。あなたは何をするべきか?

  • A. GitHub に変更があった場合、Web フックを使用して Anthos Service Mesh にリクエストを送信し、変更を適用します。
  • B. GitHub リポジトリを使用して Config Connector を構成します。リポジトリに変更があった場合は、Config Connector を使用して変更を適用します。
  • C. パラメータ変更時に Cloud Build をトリガーする GitHub アクションを設定します。Cloud Build で gcloud CLI コマンドを実行して変更を適用します。
  • D. GitHub リポジトリを使用して Anthos Config Management を構成します。リポジトリに変更があった場合は、Anthos Config Management を使用して変更を適用します。

正解:D

解説:
The correct answer is C. Configure Anthos Config Management with the GitHub repository. When there is a change in the repository, use Anthos Config Management to apply the change.
According to the web search results, Anthos Config Management is a service that lets you manage the configuration of your Google Kubernetes Engine (GKE) clusters from a single source of truth, such as a GitHub repository1. Anthos Config Management can enforce several constraint templates across your GKE clusters by using Policy Controller, which is a feature that integrates the Open Policy Agent (OPA) Constraint Framework into Anthos Config Management2. Policy Controller can apply constraints that include policy parameters, such as restricting the Kubernetes API3. To use Anthos Config Management and Policy Controller, you need to configure them with your GitHub repository and enable the sync mode4. When there is a change in the repository, Anthos Config Management will automatically sync and apply the change to your GKE clusters5.
The other options are incorrect because they do not use Anthos Config Management and Policy Controller.
Option A is incorrect because it uses a GitHub action to trigger Cloud Build, which is a service that executes your builds on Google Cloud Platform infrastructure6. Cloud Build can run a gcloud CLI command to apply the change, but it does not use Anthos Config Management or Policy Controller. Option B is incorrect because it uses a web hook to send a request to Anthos Service Mesh, which is a service that provides a uniform way to connect, secure, monitor, and manage microservices on GKE clusters7. Anthos Service Mesh can apply the change, but it does not use Anthos Config Management or Policy Controller. Option D is incorrect because it uses Config Connector, which is a service that lets you manage Google Cloud resources through Kubernetes configuration. Config Connector can apply the change, but it does not use Anthos Config Management or Policy Controller.


質問 # 99
新しいサービスを実稼働環境にデプロイする必要があります。サービスはマネージド インスタンス グループ (MIG) を使用して自動的にスケーリングする必要があり、複数のリージョンにデプロイする必要があります。このサービスはインスタンスごとに大量のリソースを必要とするため、容量を計画する必要があります。あなたは何をするべきか?

  • A. Stackdriver Trace の結果をモニタリングして、必要なリソースの量を判断します。
  • B. サービスを 1 つのリージョンにデプロイし、グローバル ロード バランサーを使用してトラフィックをこのリージョンにルーティングします。
  • C. MIG の構成で n2-highcpu-96 マシン タイプを使用します。
  • D. リソース要件が各リージョンの利用可能なクォータ制限内にあることを検証します。

正解:D

解説:
https://cloud.google.com/compute/quotas#understanding_quotas
https://cloud.google.com/compute/quotas


質問 # 100
明確に定義されたサービス レベル目標 (SLO) を持つ大規模なサービスをサポートします。開発チームは、サービスの新しいリリースを週に複数回デプロイします。重大なインシデントによりサービスが SLO を達成できない場合、開発チームは機能の開発からサービスの信頼性の向上に焦点を移す必要があります。大きな事件が起こる前に何をすべきか?

  • A. サービスが SLO の範囲外になるたびに新しいリリースを防止するプラグインを Jenkins パイプラインに追加します。
  • B. リリース頻度を週に 1 回以下に減らすように開発チームと交渉します。
  • C. すべてのサービス関係者と協力して、適切なエラー バジェット ポリシーを策定します。
  • D. 製品チームと交渉して、新機能のリリースよりもサービスの信頼性を常に優先します。

正解:C

解説:
Reason : Incident has not occurred yet, even when development team is already pushing new features multiple times a week. The option A says, to define an error budget "policy", not to define error budget(It is already present). Just simple means to bring in all stakeholders, and decide how to consume the error budget effectively that could bring balance between feature deployment and reliability.
The goals of this policy are to: -- Protect customers from repeated SLO misses -- Provide an incentive to balance reliability with other features https://sre.google/workbook/error-budget-policy/


質問 # 101
Cloud Monitoring カスタム ダッシュボードをパートナー チームと共有したいと考えています。どうすればよいですか?

  • A. ダッシュボードの JSON 定義をダウンロードし、JSON ファイルをパートナー チームに送信します。
  • B. 指標を BigQuery にエクスポートする Looker Studio を使用してダッシュボードを作成し、そのダッシュボードをパートナー チームと共有します
  • C. ダッシュボードから監視クエリ言語 (MQL) クエリをコピーします。MQL クエリをパートナー チームに送信します
  • D. パートナー チームがダッシュボードのコピーを作成できるように、ダッシュボード URL をパートナー チームに提供します。

正解:D

解説:
The best option for sharing a Cloud Monitoring custom dashboard with a partner team is to provide the partner team with the dashboard URL to enable the partner team to create a copy of the dashboard. A Cloud Monitoring custom dashboard is a dashboard that allows you to create and customize charts and widgets to display metrics, logs, and traces from your Google Cloud resources and applications. You can share a custom dashboard with a partner team by providing them with the dashboard URL, which is a link that allows them to view the dashboard in their browser. The partner team can then create a copy of the dashboard in their own project by using the Copy Dashboard option. This way, they can access and modify the dashboard without affecting the original one.


質問 # 102
Google Kubernetes Engine (GKE) で実行されるアプリケーションがあります。アプリケーションは、デプロイメントとサービスを使用して GKE にデプロイされる複数のマイクロサービスで構成されています。マイクロサービスの 1 つで、ポッドが 5 時間以上実行された後にポッドが 403 エラーを返すという問題が発生しています。開発チームは解決策に取り組んでいますが、問題は 1 か月間解決されません。 マイクロサービスが修正されるまで確実に運用を継続する必要があります。 Google が推奨するプラクティスに従い、手順を最小限に抑えたいです。 どうすればよいですか?

  • A. ポッドを監視し、5 時間以上実行されているポッドを終了します。
  • B. cron ジョブを作成して、5 時間以上実行されているポッドを終了します。
  • C. HTTP liveness プローブをマイクロサービスのデプロイメントに追加します。
  • D. ポッドが 403 エラーを返すたびに通知するようにアラートを設定します。

正解:C

解説:
The best option for ensuring continued operations until the microservice is fixed is to add a HTTP liveness probe to the microservice's deployment. A HTTP liveness probe is a type of probe that checks if a Pod is alive by sending an HTTP request and expecting a success response code. If the probe fails, Kubernetes will restart the Pod. You can add a HTTP liveness probe to your microservice's deployment by using a livenessProbe field in your Pod spec. This way, you can ensure that any Pod that returns 403 errors after running for more than five hours will be restarted automatically and resume normal operations.


質問 # 103
あなたは、Python で記述され、App Engine フレキシブル環境でホストされる取引アプリケーションをサポートしています。Stackdriver Error Reporting に送信されるエラー情報をカスタマイズしたいと考えています。あなたは何をするべきか?

  • A. Python 用 Stackdriver Error Reporting ライブラリをインストールし、Compute Engine VM でコードを実行します。
  • B. Stackdriver Error Reporting API を使用してアプリケーションからエラーを ReportedErrorEvent に書き込み、適切な形式のエラー メッセージを含むログエントリを Stackdriver Logging に生成します。
  • C. Python 用 Stackdriver Error Reporting ライブラリをインストールし、App Engine フレキシブル環境でコードを実行します。
  • D. Python 用 Stackdriver Error Reporting ライブラリをインストールし、Google Kubernetes Engine でコードを実行します。

正解:B

解説:
Explanation
https://cloud.google.com/error-reporting/docs/formatting-error-messages
https://cloud.google.com/error-reporting/docs/reference/libraries#client-libraries-install-python no need to install error reporting library on App Engine Flex.


質問 # 104
Compute Engine 上で実行されているアプリケーション サーバーのプールがあります。最小限の構成で済み、開発者がトラブルシューティングのためにアプリケーション ログに簡単にアクセスできる、安全なソリューションを提供する必要があります。GCP でソリューションをどのように実装しますか?

  • A. * アプリケーション サーバーに gsutil コマンドライン ツールをインストールします。
    * gsutil を使用してスクリプトを作成し、アプリケーション ログを Cloud Storage バケットにアップロードし、5 分ごとに cron 経由で実行するようにスケジュールします。
    * 指定されたバケット内のログを表示するための IAM オブジェクト ビューアー アクセス権を開発者に付与します。
  • B. * Stackdriver ロギング エージェントをアプリケーション サーバーにデプロイします。
    * 開発者に IAM ログ閲覧者ロールを付与して、Stackdriver にアクセスし、ログを表示できるようにします。
  • C. * Stackdriver モニタリング エージェントをアプリケーション サーバーにデプロイします。
    * 開発者に IAM モニタリング閲覧者ロールを付与して、Stackdriver にアクセスし、メトリクスを表示できるようにします。
  • D. * Stackdriver ロギング エージェントをアプリケーション サーバーにデプロイします。
    * 開発者に IAM ログのプライベート ログ閲覧者ロールを付与して、Stackdriver にアクセスし、ログを表示できるようにします。

正解:B

解説:
https://cloud.google.com/logging/docs/audit#access-control


質問 # 105
CI / CD パイプラインを Google Cloud 上でネイティブに構成しています。本番環境の GKE 環境に昇格する前に、本番前 Google Kubernetes Engine (GKE) 環境のビルドが自動的に負荷テストされるようにしたいと考えています。このテストに合格したビルドのみが運用環境にデプロイされるようにする必要があります。Google が推奨する慣行に従いたいと考えています。Binary Authorization を使用してこのパイプラインをどのように構成すればよいでしょうか?

  • A. 主任品質保証エンジニアに個人の秘密キーを使用して証明書に署名するよう要求することで、負荷テストに合格したビルドの証明書を作成します。
  • B. ロード テストに合格したビルドの証明書を作成します。これには、主任品質保証エンジニアに、Cloud Key Management Service (Cloud KMS) に保存されている鍵を使用して証明書に署名するよう要求します。
  • C. Cloud Key Management Service (Cloud KMS) に保存されている秘密キーと、Kubernetes シークレットとして保存されているサービス アカウント JSON キーを使用して、負荷テストに合格したビルドの証明書を作成します。
  • D. Workload Identity を通じて認証された Cloud Key Management Service (Cloud KMS) に保存されている秘密鍵を使用して、負荷テストに合格したビルドの証明書を作成します。

正解:D

解説:
The correct answer is B. Create an attestation for the builds that pass the load test by using a private key stored in Cloud Key Management Service (Cloud KMS) authenticated through Workload Identity.
According to the Google Cloud documentation, Binary Authorization is a deploy-time security control that ensures only trusted container images are deployed on Google Kubernetes Engine (GKE) or Cloud Run1.
Binary Authorization uses attestations to certify that a specific image has completed a previous stage in the CI
/CD pipeline, such as passing a load test2.Attestations are signed by private keys that are associated with attestors, which are entities that verify the attestations3.To follow Google-recommended practices, you should store your private keys in Cloud Key ManagementService (Cloud KMS), which is a secure and scalable service for managing cryptographic keys4.You should also use Workload Identity, which is a feature that allows Kubernetes service accounts to act as Google service accounts, to authenticate to Cloud KMS and sign attestations without having to manage or expose service account keys5.
The other options are incorrect because they do not follow Google-recommended practices. Option A and option D require human intervention to sign the attestations, which is not scalable or automated. Option C exposes the service account JSON key as a Kubernetes Secret, which is less secure than using Workload Identity.


質問 # 106
あなたは、多数の依存システムを持つインフラストラクチャ サービスのオンコールを担当しています。サービスがほとんどのリクエストの処理に失敗し、数十万のユーザーを含むすべての依存システムが影響を受けることを示すアラートを受け取ります。サイト信頼性エンジニアリング (SRE) インシデント管理プロトコルの一環として、あなたは自分自身をインシデント コマンダー (IC) と宣言し、チームから経験豊富な 2 人をオペレーション リード (OLJ とコミュニケーション リード (CL)) として引き入れます。次に何をすべきですか?

  • A. インシデント対応者とリードが相互に通信できるコミュニケーション チャネルを確立します。
  • B. 事後検証を開始し、インシデント情報を追加し、草案を社内で回覧し、社内関係者に意見を求めます。
  • C. ユーザーへの影響を軽減する方法を探し、その軽減策を運用環境に展開します。
  • D. 影響を受けるサービス所有者に連絡し、インシデントのステータスを最新の情報に更新します。

正解:C

解説:
https://sre.google/sre-book/managing-incidents/


質問 # 107
本番サービスの一部は、eu-west-1 リージョンの Google Kubernetes Engine (GKE) で実行されています。ビルド システムは us-west-1 リージョンで実行されます。コンテナー イメージをビルド システムからスケーラブルなレジストリにプッシュして、イメージをクラスターに転送するための帯域幅を最大化したいと考えています。あなたは何をするべきか?

  • A. eu.gcr.io ホスト名を使用してイメージを Google Container Registry (GCR) にプッシュします。
  • B. eu-west-1 リージョンの Compute Engine インスタンスで実行されているプラ​​イベート イメージ レジストリにイメージをプッシュします。
  • C. gcr.io ホスト名を使用してイメージを Google Container Registry (GCR) にプッシュします。
  • D. us.gcr.io ホスト名を使用してイメージを Google Container Registry (GCR) にプッシュします。

正解:A

解説:
Explanation
Hostname Storage location gcr.io Stores images in data centers in the United States asia.gcr.io Stores images in data centers in Asia eu.gcr.io Stores images in data centers within member states of the European Union us.gcr.io Stores images in data centers in the United States


質問 # 108
あなたは、Google Kubernetes Engine (GKE) Autopilot クラスターにデプロイされたマイクロサービスのオンコール サイト信頼性エンジニアです。あなたの会社は注文メッセージを Pub/Sub に発行するオンライン ストアを運営しており、マイクロサービスがこれらのメッセージを受信して​​倉庫システム内の在庫情報を更新します。セールイベントにより注文が増加し、在庫情報の更新が十分に遅れています。これにより、在庫切れの製品に対して大量の注文が受け付けられるようになります。マイクロサービスのメトリクスを確認し、それらを一般的なレベルと比較します。

注文時の商品在庫が倉庫システムに正確に反映されていることを確認し、顧客への影響を最小限に抑える必要があります。

  • A. ポッドの CPU とメモリの制限を増やします。
  • B. Pod レプリカの数を増やす
  • C. 一般的なトラフィック レベルを許可する仮想キューをオンライン ストアに追加します。
  • D. サブスクリプションの確認期限を短縮します。

正解:B

解説:
Explanation
The best option for ensuring that the warehouse system accurately reflects product inventory at the time orders are placed and minimizing the impact on customers is to increase the number of Pod replicas. Increasing the number of Pod replicas will increase the scalability and availability of your microservice, which will allow it to handle more Pub/Sub messages and update stock information faster. This way, you can reduce the backlog of undelivered messages and oldest unacknowledged message age, which are causing delays in updating product inventory. You can use Horizontal Pod Autoscaler or Cloud Monitoring metrics-based autoscaling to automatically adjust the number of Pod replicas based on load or custom metrics.


質問 # 109
Cloud Build を使用して新しい Docker イメージを構築し、Docker Hub にプッシュする CI/CD パイプラインがあります。コードのバージョン管理には Git を使用します。Cloud Build YAML 構成を変更した後、パイプラインによって新しいアーティファクトが構築されていないことがわかります。サイト信頼性エンジニアリングの実践に従って問題を解決する必要があります。あなたは何をするべきか?

  • A. 構成 YAML ファイルを Cloud Storage にアップロードし、エラー報告を使用して問題を特定して修正します。
  • B. CI パイプラインを無効にし、手動でのアーティファクトの構築とプッシュに戻します。
  • C. CI パイプラインを変更して、アーティファクトを Docker Hub ではなく Container Registry にプッシュします。
  • D. 以前と現在の Cloud Build 構成ファイルの間で Git 比較を実行し、バグを見つけて修正します。

正解:D

解説:
"After making a change in the Cloud Build YAML configuration, you notice that no new artifacts are being built by the pipeline"- means something wrong on the recent change not with the image registry.


質問 # 110
Spinnaker を使用してアプリケーションをデプロイし、パイプラインにカナリア デプロイメント ステージを作成しました。アプリケーションには、起動時にオブジェクトをロードするメモリ内キャッシュがあります。カナリア バージョンと製品バージョンの比較を自動化したいと考えています。カナリア分析をどのように構成すればよいでしょうか?

  • A. カナリアを現在の運用バージョンの既存のデプロイメントと比較します。
  • B. カナリアを以前の製品バージョンの新しいデプロイメントと比較します。
  • C. カナリアを以前の製品バージョンのスライディング ウィンドウの平均パフォーマンスと比較します。
  • D. カナリアを現在の製品バージョンの新しいデプロイメントと比較します。

正解:D

解説:
https://cloud.google.com/architecture/automated-canary-analysis-kubernetes-engine-spinnaker
https://spinnaker.io/guides/user/canary/best-practices/#compare-canary-against-baseline-not-against-production


質問 # 111
あなたの会社は、Google Kubernetes Engine (GKE) にデプロイされるアプリケーションを開発しています。各チームは異なるアプリケーションを管理します。コストを最小限に抑えながら、各チームの開発環境と運用環境を作成する必要があります。異なるチームが他のチームの環境にアクセスできないようにする必要があります。あなたは何をするべきか?

  • A. 開発用 GKE クラスタと本番用 GKE クラスタを別のプロジェクトに作成します。各クラスターで、チームごとに Kubernetes 名前空間を作成し、各チームが自分の名前空間にのみアクセスできるように Identity Aware Proxy を構成します。
  • B. チームごとに 1 つの GCP プロジェクトを作成します。各プロジェクトで、開発用のクラスターと運用用のクラスターを 1 つ作成します。チームにそれぞれのクラスターへの IAM アクセスを許可します。
  • C. 開発用 GKE クラスタと本番用 GKE クラスタを別のプロジェクトに作成します。各クラスターでチームごとに Kubernetes 名前空間を作成し、各チームが自分の名前空間にのみアクセスできるように Kubernetes ロールベースのアクセス制御 (RBAC) を構成します。
  • D. チームごとに 1 つの GCP プロジェクトを作成します。各プロジェクトで、開発用の Kubernetes 名前空間と運用用の Kubernetes 名前空間を持つクラスターを作成します。チームにそれぞれのクラスターへの IAM アクセスを許可します。

正解:C

解説:
Explanation
https://cloud.google.com/architecture/prep-kubernetes-engine-for-prod#roles_and_groups


質問 # 112
あなたは、クライアントのために新しい Google Cloud 組織を設計しています。クライアントは、Google Cloud で作成された長期間有効な認証情報に関連するリスクを懸念しています。運用オーバーヘッドを最小限に抑えながら、JSON サービス アカウント キーの使用に関連するリスクを完全に排除するソリューションを設計する必要があります。あなたは何をするべきか?

  • A. 事前定義されたロールのカスタム バージョンを使用して、すべての iam.serviceAccountKeys を除外します。* サービスアカウントの役割の権限。
  • B. constraints/iam.disableserviceAccountKeycreation 制約を組織に適用します。
  • C. constraints/iam.disableServiceAccountKeyUp10ad 制約を組織に適用します。
  • D. 組織管理者のみに、roles/iam.serviceAccountKeyAdmin IAM ロールを付与します。

正解:B

解説:
The correct answer is B. Apply the constraints/iam.disableServiceAccountKeyCreation constraint to the organization.
According to the Google Cloud documentation, the constraints/iam.disableServiceAccountKeyCreation constraint is an organization policy constraint that prevents the creation of user-managed service account keys1.User-managed service account keys are long-lived credentials that can be downloaded as JSON or P12 files and used to authenticate as a service account2.These keys pose severe security risks if they are leaked, stolen, or misused by unauthorized entities34.By applying this constraint to the organization, you can completely eliminate the risks associated with the use of JSON service account keys and enforce a more secure alternative for authentication, such as Workload Identity or short-lived access tokens12. This also minimizes operational overhead by avoiding the need to manage, rotate, or revoke user-managed service account keys.
The other options are incorrect because they do not completely eliminate the risks associated with the use of JSON service account keys. Option A is incorrect because it only restricts the IAM permissions to create, list, get, delete, or sign service account keys, but it does not prevent existing keys from being used or leaked.
Option C is incorrect because it only disables the upload of user-managed service account keys, but it does not prevent the creation or download of such keys. Option D is incorrect because it only limits the IAM role that can create and manage service account keys, but it does not prevent the keys from being distributed or exposed to unauthorized entities.


質問 # 113
アプリケーションを大規模な標準 Google Kubernetes Engine (GKE) クラスターにデプロイしました。アプリケーションはステートレスであり、複数のポッドが同時に実行されます。アプリケーションは一貫性のないトラフィックを受信します。トラフィックの変化に関係なく、ユーザー エクスペリエンスが一貫していることを確認する必要があります。クラスターのリソース使用量が最適化されていること。
あなたは何をするべきか?

  • A. 水平ポッド オートスケーラーを構成します。
  • B. ノード プールでクラスターの自動スケーリングを構成します。
  • C. cron ジョブを構成して、スケジュールに従って展開を拡張します。
  • D. 垂直ポッド オートスケーラーを構成します。

正解:A


質問 # 114
Google Kubernetes Engine (GKE) クラスター上で実行される携帯電話ゲームのバックエンドをサポートしているとします。アプリケーションはユーザーからの HTTP リクエストを処理します。ネットワーク コストを削減するソリューションを実装する必要があります。あなたは何をするべきか?

  • A. Google Cloud HTTP ロードバランサを Ingress として構成します。
  • B. ネットワーク サービスをスタンダード ティアで構成します。
  • C. VPC を共有 VPC ホスト プロジェクトとして構成します。
  • D. Kubernetes ダスターをプライベート クラスターとして構成します。

正解:A

解説:
Costs associated with a load balancer are charged to the project containing the load balancer components. Because of these benefits, container-native load balancing is the recommended solution for load balancing through Ingress. When NEGs are used with GKE Ingress, the Ingress controller facilitates the creation of all aspects of the L7 load balancer. This includes creating the virtual IP address, forwarding rules, health checks, firewall rules, and more. https://cloud.google.com/architecture/best-practices-for-running-cost-effective-kubernetes-applications-on-gke


質問 # 115
ビジネス クリティカルなワークロードを、Compute Engine インスタンスの固定セットで数か月間実行する必要があります。正確な量のリソースが割り当てられているため、ワークロードは安定しています。パフォーマンスに影響を与えることなく、このワークロードのコストを削減したいと考えています。あなたは何をするべきか?

  • A. 確約利用割引を購入します。
  • B. ワークロードの実行に使用されるインスタンスのアンマネージド インスタンス グループを作成します。
  • C. インスタンスをプリエンプティブル仮想マシンに変換します。
  • D. インスタンスをマネージド インスタンス グループに移行します。

正解:A


質問 # 116
あなたの会社はサイト信頼性エンジニアリングの原則に従っています。あなたは、ソフトウェアの変更によって引き起こされ、ユーザーに深刻な影響を与えたインシデントの事後分析を作成しています。将来的に重大なインシデントが発生するのを防ぎたいと考えています。あなたは何をするべきか?

  • A. インシデントの責任のあるエンジニアを特定し、上級管理者にエスカレーションします。
  • B. 変更をレビューした従業員をフォローアップし、今後従うべき慣行を処方します。
  • C. 新しいソフトウェアがリリースされる前に、このタイプのエラーをキャッチするテスト ケースが正常に実行されていることを確認します。
  • D. インシデントが発生した場合、オンコール チームが直ちにエンジニアと経営陣に電話して対応計画について話し合うことを要求するポリシーを設計します。

正解:C


質問 # 117
あなたは、Stackdriver Workspaces を使用して本番環境の Google Cloud Platform (GCP) プロジェクトをモニタリングする戦略を開発しています。要件の 1 つは、開発およびステージング プロジェクトからの誤ったアラートを発生させることなく、実稼働環境の問題を迅速に特定して対応できることです。関連するチーム メンバーに Stackdriver Workspaces へのアクセスを許可するときは、最小権限の原則を確実に遵守する必要があります。あなたは何をするべきか?

  • A. モニタリング ワークスペースをホストする既存の GCP 本番プロジェクトを選択します。実稼働プロジェクトをこのワークスペースにアタッチします。関連するチームメンバーに Stackdriver Workspace への読み取りアクセス権を付与します。
  • B. 新しい GCP モニタリング プロジェクトを作成し、その中に Stackdriver ワークスペースを作成します。実稼働プロジェクトをこのワークスペースにアタッチします。関連するチームメンバーに Stackdriver Workspace への読み取りアクセス権を付与します。
  • C. 関連するチーム メンバーに、すべての GCP 本番プロジェクトへの読み取りアクセス権を付与します。各プロジェクト内に Stackdriver ワークスペースを作成します。
  • D. 関連するチーム メンバーに、すべての GCP 本番プロジェクトに対するプロジェクト閲覧者の IAM ロールを付与します。各プロジェクト内に Slackdriver ワークスペースを作成します。

正解:B

解説:
Explanation
"A Project can host many Projects and appear in many Projects, but it can only be used as the scoping project once. We recommend that you create a new Project for the purpose of having multiple Projects in the same scope."


質問 # 118
あなたは、サービスの 1 つで進行中のインシデントのオペレーション リーダーです。サービスは通常、約 70% の容量で実行されます。1 つのノードがすべてのリクエストに対して 5xx エラーを返していることがわかります。顧客からのサポートケースも顕著に増加しています。ノードを隔離して調査できるように、問題のノードをロード バランサー プールから削除する必要があります。あなたは、Google が推奨する方法に従ってインシデントを管理し、ユーザーへの影響を軽減したいと考えています。あなたは何をするべきか?

  • A. 1. インシデント チームに意図を伝えます。
    2. 新しいノードをプールに追加し、新しいノードが正常であると報告されるまで待ちます。
    3. 新しいノードでトラフィックが処理されている場合は、異常なノードからトラフィックを排出し、古いノードをサービスから削除します。
  • B. 1.異常なノードからトラフィックを排出し、ノードをサービスから削除します。
    2. トラフィックを監視して、エラーが解決されていること、およびプール内の他のノードがトラフィックを適切に処理していることを確認します。
    3. 新しい負荷を処理するために、必要に応じてプールをスケーリングします。
    4. 自分の行動をインシデントチームに伝えます。
  • C. 1 。異常なノードからトラフィックを排出し、古いノードをサービスから削除します。
    2. 新しいノードをプールに追加し、新しいノードが正常であると報告されるまで待ち、新しいノードにトラフィックを提供します。
    3. トラフィックを監視して、プールが正常であり、トラフィックが適切に処理されていることを確認します。
    4. 自分の行動をインシデントチームに伝えます。
  • D. 1. インシデント チームに意図を伝えます。
    2. 負荷分析を実行して、削除されたノードからオフロードされるトラフィックの増加を残りのノードが処理できるかどうかを判断し、適切にスケーリングします。
    3. 新しいノードが正常であると報告されたら、異常なノードからトラフィックを排出し、異常なノードをサービスから削除します。

正解:D

解説:
Explanation
The correct answer is A. Communicate your intent to the incident team. Perform a load analysis to determine if the remaining nodes can handle the increase in traffic offloaded from the removed node, and scale appropriately. When any new nodes report healthy, drain traffic from the unhealthy node, and remove the unhealthy node from service.
This answer follows the Google-recommended practices for incident management, as described in the Chapter
9 - Incident Response, Google SRE Book1. According to this source, some of the best practices are:
Maintain a clear line of command. Designate clearly defined roles. Keep a working record of debugging and mitigation as you go. Declare incidents early and often.
Communicate your intent before taking any action that might affect the service or the incident response.
This helps to avoid confusion, duplication of work, or unintended consequences.
Perform a load analysis before removing a node from the load balancer pool, as this might affect the capacity and performance of the service. Scale the pool as necessary to handle the expected load.
Drain traffic from the unhealthy node before removing it from service, as this helps to avoid dropping requests or causing errors for users.
Answer A follows these best practices by communicating the intent to the incident team, performing a load analysis and scaling the pool, and draining traffic from the unhealthy node before removing it.
Answer B does not follow the best practice of performing a load analysis before adding or removing nodes, as this might cause overloading or underutilization of resources.
Answer C does not follow the best practice of communicating the intent before taking any action, as this might cause confusion or conflict with other responders.
Answer D does not follow the best practice of draining traffic from the unhealthy node before removing it, as this might cause errors for users.
References:
1: Chapter 9 - Incident Response, Google SRE Book


質問 # 119
......

100%更新されたのはGoogle Professional-Cloud-DevOps-Engineer日本語限定版PDF問題集:https://jp.fast2test.com/Professional-Cloud-DevOps-Engineer-JPN-premium-file.html


弊社を連絡する

我々は12時間以内ですべてのお問い合わせを答えます。

我々の働いている時間: ( GMT 0:00-15:00 )
月曜日から土曜日まで

サポート: 現在連絡 

English Deutsch 繁体中文 한국어