[2025年12月17日] 無料Google Cloud Platform Professional-Cloud-Network-Engineer日本語公式認定ガイドPDFダウンロード
Google Professional-Cloud-Network-Engineer日本語公式認定ガイドPDF
質問 # 108
Cloud DNS が管理するゾーンの 1 つで DNSSEC を無効にしています。ゾーン ファイルから DS レコードを削除し、キャッシュから期限切れになるのを待って、ゾーンの DNSSEC を無効にしました。DNSSEC 検証解決がゾーン内の名前を解決できないというレポートを受け取ります。
あなたは何をするべきか?
- A. ドメインの所有権を新しい登録者に譲渡します。
- B. ドメイン レジストラで DNSSEC を無効にします。
- C. ゾーンを TRANSFER 状態に設定します。
- D. ゾーンの TTL を更新します。
正解:B
解説:
Before disabling DNSSEC for a managed zone you want to use, you must deactivate DNSSEC at your domain registrar to ensure that DNSSEC-validating resolvers can still resolve names in the zone.
質問 # 109
あなたは、Google Cloud への移行を計画している会社のネットワーク管理者で、できるだけ早く移行を完了する必要があります。移行を容易にするために、オンプレミス ネットワークのハブと同じアーキテクチャを使用することにしました。スポークモデル。オンプレミスのアーキテクチャは 50 を超えるスポークで構成されています。各スポークは他のスポークに接続できず、セキュリティ上の理由からすべてのトラフィックはハブ経由で送信されます。Google Cloud アーキテクチャがオンプレミス アーキテクチャと一致していることを確認する必要があります。管理のオーバーヘッドとコストを最小限に抑え、デフォルトのネットワーク クォータと制限を使用するソリューションを実装したいと考えています。あなたは何をするべきか?
- A. Cloud VPN を使用してすべてのスポークをハブに接続します。
- B. VPC ネットワーク ピアリングを使用して、すべてのスポークをハブに接続します。サードパーティのネットワーク アプライアンスをデフォルト ゲートウェイとして使用して、スポーク間の接続を防止します。
- C. Cloud VPN を使用してすべてのスポークをハブに接続します。サードパーティのネットワーク アプライアンスをデフォルト ゲートウェイとして使用して、スポーク間の接続を防止します。
- D. VPC ネットワーク ピアリングを使用して、すべてのスポークをハブに接続します。
正解:B
解説:
The correct answer is D because it meets the following requirements:
* It matches the hub-and-spoke model of the on-premises network, where each spoke is a separate VPC network that is connected to a central hub VPC network.
* It minimizes management overhead and cost, because VPC Network Peering is a simple and low-cost way to connect VPC networks without using any external IP addresses or VPN gateways1.
* It uses default networking quotas and limits, because VPC Network Peering does not consume any quota or limit for VPN tunnels, external IP addresses, or forwarding rules2.
* It prevents connectivity between the spokes, because VPC Network Peering is non-transitive by default, meaning that a spoke can only communicate with the hub, not with other spokes1. To enforce this restriction, a third-party network appliance can be used as a default gateway in each spoke VPC network, which can filter out any traffic destined for other spokes3.
Option A is incorrect because it does not minimize cost, as Cloud VPN charges for egress traffic and requires external IP addresses for the VPN gateways4. Option B is incorrect because it does not prevent connectivity between the spokes, as VPC Network Peering allows direct communication between peered VPC networks by default1. Option C is incorrect because it does not minimize cost or use default quotas and limits, for the same reasons as option A.
:
VPC Network Peering overview | VPC
Quotas and limits | VPC
Hub-and-spoke network architecture | Cloud Architecture Center
Cloud VPN overview | Google Cloud
質問 # 110
TFTP サーバーとして使用する複数の Compute Engine 仮想マシン インスタンスを作成します。
どのタイプのロードバランサーを使用する必要がありますか?
- A. ネットワークロードバランサー
- B. SSL プロキシ ロード バランサ
- C. HTTP(S) ロードバランサ
- D. TCP プロキシ ロード バランサ
正解:A
解説:
"TFTP is a UDP-based protocol. Servers listen on port 69 for the initial client-to-server packet to establish the TFTP session, then use a port above 1023 for all further packets during that session. Clients use ports above
1023" https://docstore.mik.ua/orelly/networking_2ndEd/fire/ch17_02.htm Besides, Google Cloud external TCP/UDP Network Load Balancing (after this referred to as Network Load Balancing) is a regional, non- proxied load balancer. Network Load Balancing distributes traffic among virtual machine (VM) instances in the same region in a Virtual Private Cloud (VPC) netw
質問 # 111
組織には VPC ネットワーク ピアリングを使用したハブ アンド スポーク アーキテクチャがあり、ハイブリッド接続はハブで集中管理されています。ハブ VPC の Cloud Router はサブネット ルートをアドバタイズしていますが、オンプレミス ルーターは VPC スポークからサブネット ルートを受信していないようです。この問題を解決する必要があります。どうすればよいですか?
- A. ハブの Cloud Router でカスタムルートを作成し、VPC スポークのサブネットをアドバタイズします。
- B. スポークの Cloud Router でカスタムルートを作成し、VPC スポークのサブネットをアドバタイズします。
- C. ハブの Cloud Router でカスタム学習ルートを作成し、VPC スポークのサブネットをアドバタイズします。
- D. Cloud Router で BGP ルートポリシーを作成し、VPC スポークのサブネットがオンプレミス環境に向けて通知されていることを確認します。
正解:C
解説:
Creating custom learned routes at the hub's Cloud Router is required for advertising VPC spokes' subnets to the on-premises environment. This centralizes route configuration and ensures that all spoke subnet routes are propagated to the hybrid network.
質問 # 112
Google Cloud の Cloud Next Generation Firewall (Cloud NGFW) 侵入防止サービスの一部としてファイアウォール エンドポイントを構成しています。脅威防止セキュリティ プロファイルを構成したので、トラフィック検査用のエンドポイントを作成する必要があります。何をすればよいでしょうか。
- A. ゾーン内に Private Service Connect エンドポイントを作成し、エンドポイントを VPC ネットワークに関連付け、ファイアウォール ポリシー ルールを使用して L7 検査を適用します。
- B. ゾーン内にファイアウォール エンドポイントを作成し、エンドポイントを VPC ネットワークに関連付け、ファイアウォール ポリシー ルールを使用して L7 検査を適用します。
- C. プロファイルを VPC ネットワークに接続し、ゾーン内にファイアウォール エンドポイントを作成し、ファイアウォール ポリシー ルールを使用して L7 検査を適用します。
- D. リージョン内にファイアウォール エンドポイントを作成し、エンドポイントを VPC ネットワークに関連付け、ファイアウォール ポリシー ルールを使用して L7 検査を適用します。
正解:B
解説:
Explanation: To apply Layer 7 (L7) inspection for intrusion prevention, you must create a firewall endpoint within the zone where the traffic inspection is required. This endpoint is then associated with the VPC network, and a firewall policy rule is applied for the L7 inspection.
: Google Cloud NGFW Setup
質問 # 113
2 つのオブジェクトを含むストレージ バケットがあります。バケットでは Cloud CDN が有効になっており、両方のオブジェクトが正常にキャッシュされました。ここで、2 つのオブジェクトのうち 1 つがもうキャッシュされず、常にオリジンから直接インターネットに提供されるようにする必要があります。
あなたは何をするべきか?
- A. 2 つのオブジェクトを含むストレージ バケットに適切なライフサイクル ルールを追加します。
- B. キャッシュしたくないオブジェクトのメタデータに値がプライベートの Cache-Control エントリを追加します。以前にキャッシュされたすべてのコピーを無効にします。
- C. キャッシュしたくないオブジェクトがパブリックに共有されていないことを確認してください。
- D. 新しいストレージ バケットを作成し、チェックしたくないオブジェクトをその中に移動します。次に、バケット設定を編集し、プライベート属性を有効にします。
正解:B
解説:
https://cloud.google.com/cdn/docs/invalidating-cached-content
質問 # 114
次のプライベート Google Kubernetes Engine (GKE) クラスターのデプロイメントがあります。
サブネットワーク kubernetes-management 内の同じ VPC にデプロイされた仮想マシン (VM) があり、内部 IP アドレスは 192.168.40 2/24 で、外部 IP アドレスは割り当てられていません。kubectl を使用してクラスター マスターと通信する必要があります。あなたは何をするべきか?
- A. 外部 IP アドレスを VM に追加し、この IP アドレスを masterAuthorizedNetworksConfig に追加します。エンドポイント 35.224.37.17 と通信するように kubectl を構成します。
- B. ネットワーク 192.168.36.0/24 を masterAuthorizedNetworksConfig に追加します。エンドポイント 192.168.38.2 と通信するように kubectl を構成する
- C. ネットワーク 192.168.40.0/24 を masterAuthorizedNetworksConfig に追加します。エンドポイント 192.168.38.2 と通信するように kubectl を構成します。
- D. ネットワーク 192.168.38.0/28 を masterAuthorizedNetworksConfig に追加します。エンドポイント 192.168.38.2 と通信するように kubectl を構成する
正解:C
質問 # 115
質問:
組織に新しいセキュリティポリシーが導入され、us-west2 リージョンの仮想マシンからのすべての出力トラフィックペイロードを監視することが義務付けられました。新しいポリシーに準拠するため、同じリージョンに侵入検知システム(IDS)仮想アプライアンスを導入しました。us-west2 からのすべての出力トラフィックペイロードを監視するために、IDS を環境に統合する必要があります。どうすればよいでしょうか?
- A. パケットミラーリング用の内部 TCP/UDP ロードバランサーを作成し、出力トラフィック用のパケットミラーリングポリシーフィルターを追加します。
- B. ファイアウォールのログ記録を有効にし、フィルタリングされたすべての出力ファイアウォール ログを IDS に転送します。
- C. VPC フローログを有効にします。Cloud Logging にシンクを作成し、フィルタリングされた出力 VPC フローログを IDS に送信します。
- D. パケットミラーリング用の内部 HTTP(S) ロードバランサを作成し、出力トラフィック用のパケットミラーリングポリシーフィルターを追加します。
正解:A
解説:
Packet Mirroring with an internal TCP/UDP load balancer allows for comprehensive monitoring of egress traffic, which includes payloads. This is required for integration with an IDS for detailed inspection of traffic payloads, meeting the security policy needs for monitoring and detection.
Reference: Google Cloud - Packet Mirroring
質問 # 116
あなたの会社は人気のあるゲーム サービスを提供しています。インスタンスはプライベート IP アドレスを使用してデプロイされ、外部アクセスはグローバル ロード バランサーを通じて許可されます。潜在的な悪意のある攻撃者を特定したと考えていますが、正しいクライアント IP アドレスを持っているかどうかはわかりません。正規ユーザーへの混乱を最小限に抑えながら、この攻撃者を特定したいと考えています。
あなたは何をするべきか?
- A. トラフィックを拒否する Cloud Armor ポリシー ルールを作成し、プレビュー モードを有効にし、必要なログを確認します。
- B. トラフィックを拒否する VPC ファイアウォール ルールを作成し、ログ記録を有効にして強制を無効に設定し、必要なログを確認します。
- C. トラフィックを拒否する Cloud Armor ポリシー ルールを作成し、必要なログを確認します。
- D. トラフィックを拒否する VPC ファイアウォール ルールを作成し、ログ記録を有効にして強制を有効に設定し、必要なログを確認します。
正解:A
解説:
https://cloud.google.com/armor/docs/security-policy-concepts#preview_mode
質問 # 117
質問:
組織には、インターネット アクセスを必要とする複数のリージョンのアプリケーションのサブセットがあります。ホスト名やパスを含む、アプリケーションから URL へのインターネット アクセスを制御する必要があります。これらのアプリケーションを実行するコンピューティング インスタンスには、セキュリティで保護されたタグが関連付けられています。どうすればよいでしょうか。
- A. Cloud NAT ゲートウェイをデプロイします。ファイアウォール ポリシー ルールで完全修飾ドメイン名 (FQDN) オブジェクトを使用して、セキュア タグに一致するマシンから特定のドメインへの送信トラフィックをフィルタリングします。
- B. 各リージョンに Secure Web Proxy インスタンスを展開します。Secure Web Proxy ポリシーを適用して、セキュア タグに一致するマシンから URL リストで定義された URL へのアクセスを許可します。
- C. グローバル アクセスを有効にした単一の Secure Web Proxy インスタンスを展開します。Secure Web Proxy ポリシーを適用して、セキュア タグに一致するマシンから URL リストで定義された URL へのアクセスを許可します。
- D. Cloud NAT ゲートウェイをデプロイします。ファイアウォール ポリシー ルールで完全修飾ドメイン名 (FQDN) オブジェクトを使用して、サービス アカウントに一致するマシンから特定のドメインへの送信トラフィックをフィルタリングします。
正解:C
解説:
To control internet access on a per-URL basis (including hostname and path), you should deploy Secure Web Proxy with global access enabled. The Secure Web Proxy will allow policy-based filtering of web traffic, allowing control over which URLs can be accessed based on the URL list defined in the policy. Unlike Cloud NAT, which does not support FQDN filtering, Secure Web Proxy is designed to provide such control, especially for scenarios with sensitive or controlled internet access requirements.
Reference: Google Cloud - Secure Web Proxy Overview
Reference: Google Cloud - Setting up URL filtering
質問 # 118
あなたは GCP に移行中の大学で働いています。
クラウドの要件は次のとおりです。
* 10 Gbps のオンプレミス接続
* クラウドへのアクセスのレイテンシが最も低い
* 集中ネットワーク管理チーム
新しい部門は、プロジェクトへのオンプレミス接続を求めています。キャンパスを Google Cloud に接続するために、最もコスト効率の高い相互接続ソリューションをデプロイしたいと考えています。
あなたは何をするべきか?
- A. 共有 VPC を使用し、VLAN アタッチメントと相互接続をホスト プロジェクトにデプロイします。
- B. スタンドアロン プロジェクトを使用し、個々のプロジェクトのそれぞれに VLAN アタッチメントとインターコネクトを展開します。
- C. スタンドアロン プロジェクトを使用し、個々のプロジェクトに VLAN アタッチメントを展開します。VLAN アタッチメントをスタンドアロン プロジェクトの相互接続に接続します。
- D. 共有 VPC を使用し、サービス プロジェクトに VLAN アタッチメントをデプロイします。VLAN アタッチメントを共有 VPC のホスト プロジェクトに接続します。
正解:A
解説:
https://cloud.google.com/interconnect/docs/how-to/dedicated/using-interconnects-other-projects Using Cloud Interconnect with Shared VPC You can use Shared VPC to share your VLAN attachment in a project with other VPC networks. Choosing Shared VPC is preferable if you need to create many projects and would like to prevent individual project owners from managing their connectivity back to your on-premises network. In this scenario, the host project contains a common Shared VPC network usable by VMs in service projects. Because VMs in the service projects use this network, Service Project Admins don't need to create other VLAN attachments or Cloud Routers in the service projects. In this scenario, you must create VLAN attachments and Cloud Routers for a Cloud Interconnect connection only in the Shared VPC host project. The combination of a VLAN attachment and its associated Cloud Router are unique to a given Shared VPC network. https://cloud.google.com/network-connectivity/docs/interconnect/how-to/enabling-multiple-networks-access-same-attachment#using_with
https://cloud.google.com/vpc/docs/shared-vpc
質問 # 119
あなたの会社には 10 の個別の Virtual Private Cloud (VPC) ネットワークがあり、Google Cloud の単一リージョン内のプロジェクトごとに 1 つの VPC があります。セキュリティ チームは、各 VPC ネットワークが同じリージョン内の Partner Interconnect 接続を介してオンプレミスのメインの場所にプライベート接続できるようにすることを要求しています。コストと運用を最適化するには、同じ接続をすべてのプロジェクトで共有する必要があります。異なるプロジェクト、オンプレミスの場所、インターネットの間のすべてのトラフィックが、同じサードパーティ製アプライアンスを使用して検査できることを確認する必要があります。あなたは何をするべきか?
- A. プロジェクトごとに複数のインターフェイスと特定の Partner Interconnect VLAN アタッチメントを使用してサードパーティ製アプライアンスを構成します。サードパーティのアプライアンスと VPC ネットワーク上に関連するルートを作成します。
- B. サードパーティ製アプライアンスを複数のインターフェイスで構成します。すべてのプロジェクト用にハブ VPC ネットワークを作成し、オンプレミスとインターネット接続用に個別の VPC ネットワークを作成します。サードパーティのアプライアンスと VPC ネットワーク上に関連するルートを作成します。VPC ネットワーク ピアリングを使用して、すべてのプロジェクトの VPC ネットワークをハブ VPC に接続します。ハブ VPC からカスタム ルートをエクスポートし、すべてのプロジェクトの VPC ネットワークにインポートします。
- C. すべての既存プロジェクトのサブネットワークを単一の VPC に統合します。オンプレミスとインターネット接続用に別個の VPC ネットワークを作成します。サードパーティ アプライアンスを複数のインターフェイスで構成し、各インターフェイスが別個の VPC ネットワークに接続されます。サードパーティのアプライアンスと VPC ネットワーク上に関連するルートを作成します。
- D. サードパーティ アプライアンスを複数のインターフェイスで構成し、各インターフェイスが個別の VPC ネットワークに接続されます。オンプレミス接続とインターネット接続用に別個の VPC ネットワークを作成します。サードパーティのアプライアンスと VPC ネットワーク上に関連するルートを作成します。
正解:B
質問 # 120
質問:
組織では、Cloud Interconnect 接続を介した転送中の暗号化を確実にするために、Cloud Interconnect 経由で HA VPN をデプロイしたいと考えています。5 Gbps の容量と BGP 構成を持つ Cloud Router と 2 つの暗号化された VLAN アタッチメントを作成しました。BGP セッションは動作可能です。Cloud Interconnect 経由で HA VPN のデプロイを完了する必要があります。何をすべきでしょうか。
- A. パートナー相互接続で MACsec を有効にします。
- B. HA VPN ゲートウェイを作成し、そのゲートウェイを 2 つの暗号化された VLAN アタッチメントに関連付けます。
HA VPN Cloud Router、ピア VPN ゲートウェイ リソース、および HA VPN トンネルを構成します。Cloud Interconnect 層に使用されているものと同じ Cloud Router を使用します。 - C. VLAN アタッチメントで Cloud Interconnect の MACsec を有効にします。
- D. HA VPN ゲートウェイを作成し、ゲートウェイを 2 つの暗号化された VLAN アタッチメントに関連付けます。
新しい専用の HA VPN Cloud Router ピア VPN ゲートウェイ リソースと HA VPN トンネルを作成します。
正解:B
解説:
For secure traffic over Cloud Interconnect, you configure an HA VPN gateway to work with existing VLAN attachments and use the same Cloud Router. This setup integrates seamlessly, leveraging the established BGP sessions for VPN tunnel configurations.
Reference: Google Cloud - HA VPN over Cloud Interconnect
質問 # 121
インスタンス グループを作成しているため、HTTP(s) ロード バランシング用の新しいヘルス チェックを作成する必要があります。
これを実現するには、どの 2 つの方法を使用できますか? (2つお選びください。)
- A. gcloud コマンドライン ツールを使用して新しいヘルスチェックを作成します。
- B. gcloud コマンドライン ツールを使用して、新しいレガシー ヘルスチェックを作成します。
- C. GCP Console でロードバランサのバックエンド構成を完了したら、新しいヘルスチェックを作成するか、既存のヘルスチェックを選択します。
- D. GCP Console の [VPC ネットワーク] セクションを使用して、新しいヘルスチェックを作成します。
- E. GCP Console の [ヘルス チェック] セクションを使用して、新しいレガシー ヘルスチェックを作成します。
正解:A、C
解説:
https://cloud.google.com/load-balancing/docs/health-checks#creating_and_modifying_health_checks
質問 # 122
あなたの組織には、リージョン us-west2 の仮想マシンからのすべての出力トラフィック ペイロードを監視することを要求する新しいセキュリティ ポリシーがあります。新しいポリシーを満たすために、同じリージョンに侵入検知システム (IDS) 仮想アプライアンスをデプロイしました。us-west2 からのすべての出力トラフィック ペイロードを監視するには、IDS を環境に統合する必要があります。あなたは何をするべきか?
- A. パケット ミラーリング用の内部 HTTP(S) ロード バランサを作成し、出力トラフィック用のパケット ミラーリング ポリシー フィルタを追加します。
- B. パケット ミラーリング用の内部 TCP/UDP ロード バランサーを作成し、出力トラフィック用のパケット ミラーリング ポリシー フィルターを追加します。
- C. VPC フロー ログを有効にします。Cloud Logging でシンクを作成し、フィルタリングされた下り VPC フロー ログを IDS に送信します。
- D. ファイアウォール ログを有効にし、フィルタリングされたすべての出力ファイアウォール ログを IDS に転送します。
正解:C
質問 # 123
外部のグローバル アプリケーション ロード バランサを使用するメイン アプリケーションのユーザー動作を確認したところ、クライアント リクエストの不規則な急増によりバックエンド サーバーが過負荷になっていることがわかりました。同時セッションを制限し、Google が推奨するプラクティスに従いながら、クライアントに HTTP 429「リクエストが多すぎます」応答を返す必要があります。どうすればよいですか。
- A. Cloud Armor セキュリティ ポリシーを作成し、定義済みの Open Worldwide Application Security Project (OWASP) ルールを適用して、クライアント IP アドレスごとのレート制限を自動的に実装します。
- B. Cloud Armor セキュリティ ポリシーを作成し、そのポリシーをロード バランサーに関連付けます。セキュリティ ポリシーの設定を次のように構成します: action: throttle、conform-action: allow、exceed-action: deny-429。
- C. ロード バランサーを構成して、クライアント IP アドレスごとに定義された量のリクエストのみを受け入れ、より多くのトラフィックをサポートするためにバックエンド サーバーを増やし、トラフィックをバーストするためにトラフィックを別のバックエンドにリダイレクトします。
- D. Linux で VM を構成し、iptables を通じてレート制限を実装し、ファイアウォール ルールを使用して HTTP 429 応答をクライアント アプリケーションに送信します。
正解:B
解説:
To control traffic spikes and enforce rate limits, configure Cloud Armor with throttle and deny-429 actions. This allows you to set rate limits per client IP and ensures that excess traffic receives an HTTP 429 response, effectively controlling overload situations per Google best practices.
質問 # 124
図に示すネットワーク構成が完成しました。冗長 Ddedicate Interconnect 接続のペア(int-Igal と int-Iga2)は、同じ Cloud Router で終端します。相互接続接続は 2 つの別個のオンプレミス ルーターで終了します。Dended Interconnect 接続に関連付けられたボーダー ゲートウェイ プロトコル (BGP) セッションから同じプレフィックスをアドバタイズしています。入力トラフィックと出力トラフィックの両方に対して 1 つの接続をアクティブとして構成する必要があります。アクティブなインターコネクト接続が失敗した場合、パッシブなインターコネクト接続ですべてのトラフィックのルーティングを自動的に開始する必要があります。この要件を満たすために実行する必要がある 2 つのアクションはどれですか? (2つ選択してください)
- A. オンプレミス ルーターからのアクティブな相互接続接続上で、より低い MED をアドバタイズします。
- B. オンプレミス ルーターからパッシブ インターコネクト接続でより低い MED をアドバタイズします。
- C. アクティブなインターコネクト接続に関連付けられた BGP セッションのアドバタイズされたルート優先度を 200 に設定します。
- D. パッシブ インターコネクト接続に関連付けられた BGP セッションのアドバタイズされたルート優先度を 200 に設定します。
- E. アクティブなインターコネクト接続で、アドバタイズされたルートの優先順位を 10,200 よりも大きく設定します。
正解:A、C
解説:
This answer meets the requirement of configuring one connection as Active for both ingress and egress traffic, and enabling automatic failover to the passive connection in case of failure. The reason is:
* The advertised route priority is a value that Cloud Router uses to set the route priority when advertising routes to your on-premises router. The lower the value, the higher the priority1. By setting the advertised route priority as 200 for the active connection, you ensure that it has a higher priority than the passive connection, which has the default value of 1001. This way, your on-premises router will prefer the routes from the active connection over the passive one for ingress traffic.
* The MED (Multi-Exit Discriminator) is a value that your on-premises router uses to indicate its preference for receiving traffic from Cloud Router. The lower the value, the higher the preference2. By advertising a lower MED on the active connection from your on-premises router, you ensure that Cloud Router will prefer sending traffic to the active connection over the passive one for egress traffic.
* If the active connection fails, Cloud Router will stop receiving routes from it and will start using the routes from the passive connection for egress traffic. Similarly, your on-premises router will stop receiving routes with priority 200 from the active connection and will start using the routes with priority
100 from the passive connection for ingress traffic. This achieves automatic failover without any manual intervention.
Option A is incorrect because setting the advertised route priority > 10,200 on the active connection would deprioritize it globally in your VPC network, which is not what you want1. Option B is incorrect because advertising a lower MED on the passive connection would make Cloud Router prefer sending traffic to it over the active one, which is not what you want2. Option D is incorrect because setting the advertised route priority as 200 for both connections would make them equally preferred by your on-premises router, which is not what you want1.
質問 # 125
会社のロゴが、会社がホストする複数のウェブサイトに画像ファイルとして公開されています。Cloud CDN を実装しましたが、この画像ファイルに関連付けられたキャッシュ ヒット率のパフォーマンスを向上させたいと考えています。あなたは何をするべきか?
- A. イメージ ファイルのデフォルトの存続期間 (TTL) を O に設定します。
- B. キャッシュ エントリの有効期限が切れる前に *mage ファイルをユーザーに提供するために、ドメインごとにバージョン管理された IJRL を構成します。
- C. イメージ ファイルをホストするカスタム オリジン バックエンドとして Cloud Storage を構成し、場所のタイプとしてマルチリージョンを選択します。
- D. イメージ ファイルを保持するバックエンド サービスのカスタム キャッシュ キーを構成し、[ホスト] チェックボックスと [プロトコル] チェックボックスをオフにします。
正解:D
解説:
This answer meets the requirement of improving the performance of the cache hit ratio associated with the image file. The reason is:
* Custom cache keys allow you to control which parts of the request URL are used to build the cache key. The cache key is a unique identifier that Cloud CDN uses to store and retrieve cached content1.
* By default, Cloud CDN uses the complete request URL, including the protocol (http or https) and the host (the domain name), to build the cache key. This means that if the same image file is requested from different domains or protocols, Cloud CDN will cache multiple copies of it, which reduces the cache hit ratio1.
* By clearing the Host and Protocol checkboxes, you can tell Cloud CDN to ignore these parts of the request URL when building the cache key. This way, Cloud CDN will cache only one copy of the image file, regardless of which domain or protocol it is requested from, which improves the cache hit ratio1.
Option B is incorrect because configuring Cloud Storage as a custom origin backend does not affect the cache hit ratio. It only affects how Cloud CDN retrieves the content from the origin if it is not cached. Option C is incorrect because configuring versioned URLs for each domain does not improve the cache hit ratio. It actually worsens it, because it creates more variations of the request URL that Cloud CDN has to cache separately. Option D is incorrect because configuring the default TTL as 0 for the image file means that Cloud CDN will not cache it at all, which defeats the purpose of using Cloud CDN.
:
Custom cache keys | Cloud CDN | Google Cloud
質問 # 126
Google Cloud 内に HA VPN をデプロイしています。オンプレミス ゲートウェイと Google Cloud の間でルートを動的に交換する必要があります。HA VPN ゲートウェイとピア VPN ゲートウェイ リソースはすでに作成されています。何をすればよいでしょうか。
- A. 2 番目の HA VPN ゲートウェイを作成し、VPN トンネルを追加して、グローバル動的ルーティングを有効にします。
- B. Cloud Router を作成し、VPN トンネルを追加して、グローバル動的ルーティングを有効にします。
- C. Cloud Router を作成し、VPN トンネルを追加して、サブネット範囲への静的ルートを構成します。
- D. Cloud Router を作成し、VPN トンネルを追加して、BGP セッションを構成します。
正解:D
解説:
Explanation: To dynamically exchange routes between Google Cloud and your on-premises gateway, you need to create a Cloud Router and configure BGP sessions after adding VPN tunnels. BGP allows for dynamic route exchange, which is essential for establishing proper communication between the environments.
質問 # 127
Terraform を使用して会社に Google Cloud インフラストラクチャをデプロイする計画を立てました。設計は次の要件を満たす必要があります。
* 各 Google Cloud プロジェクトは、チームが取り組む内部プロジェクトを表す必要があります
* 社内プロジェクトが終了したら、インフラストラクチャを削除する必要があります
* 各内部プロジェクトには、Google Cloud リソースを管理する独自の Google Cloud プロジェクト オーナーが必要です。
* 一度に 10 ~ 100 のプロジェクトをデプロイしている
Terraform コードを作成している間、デプロイメントが簡単でコードが再利用可能であることを確認する必要があります。集中管理では何をすべきでしょうか?
- A. 単一の共有 VPC を作成し、各 Google Cloud プロジェクトをサービス プロジェクトとして接続します。
- B. 内部プロジェクトごとに共有 VPC とサービス プロジェクトを作成します。
- C. 単一プロジェクトと内部プロジェクトごとに追加の VPC を作成します。
- D. d内部プロジェクトごとに単一のプロジェクトと単一の VPC を作成します。
正解:B
解説:
The correct answer is D because it meets the following requirements:
Each internal project has its own Google Cloud project, which can be easily created and deleted by Terraform using the google_project resource1.
Each internal project has its own Google Cloud project owner, which can be assigned by Terraform using the google_project_iam_member resource1.
The deployment is simple and the code is reusable with centralized management, because the Shared VPC allows you to connect multiple service projects to a single host project that contains the network resources2. This way, you can use Terraform modules to create and manage the network resources in the host project, and then reference them in the service projects3.
Option A is incorrect because it does not create separate Google Cloud projects for each internal project, which makes it harder to delete the infrastructure and assign project owners. Option B is incorrect because it does not create separate Google Cloud projects for each internal project, and also because it attaches the service projects to a Shared VPC, which is not recommended for short-lived projects2. Option C is incorrect because it does not use a Shared VPC, which means that each internal project has to create and manage its own network resources, which increases complexity and reduces reusability.
Reference:
google_project - Terraform Registry
Managing infrastructure as code with Terraform, Cloud Build, and GitOps | Google Cloud Automating your automation by Creating Google Cloud Projects Automatically
質問 # 128
質問:
組織には約 100 のチームがあり、各チームが独自の環境を管理する必要があります。中央チームがネットワークを管理する必要があります。各チームに個別のプロジェクトを提供するランディング ゾーンを設計し、ソリューションが拡張可能であることを確認する必要があります。どうすればよいでしょうか。
- A. VPC ネットワーク ピアリングを設定し、VPC の 1 つをサービス プロジェクトにピアリングします。
- B. 共有 VPC を設定し、サービス プロジェクトに VPC ネットワークを作成します。
- C. 各チームのポリシーベース ルーティングを構成します。
- D. 共有 VPC を設定し、ホスト プロジェクトに VPC ネットワークを作成します。
正解:D
解説:
Using a Shared VPC enables centralized network management and efficient resource access by service projects. This scalable setup supports isolated environments for each team while allowing the network team to manage network policies and resources in a host project.
質問 # 129
......
無料Professional-Cloud-Network-Engineer日本語試験問題集試験点数を伸ばそう:https://jp.fast2test.com/Professional-Cloud-Network-Engineer-JPN-premium-file.html