リアルGoogle Professional-Cloud-Network-Engineer日本語試験問題 [更新されたのは2025年]
Professional-Cloud-Network-Engineer日本語試験問題集で合格させるのは更新されたのは2025年年最新のGoogle Cloud Certified - Professional Cloud Network Engineer (Professional-Cloud-Network-Engineer日本語版)
質問 # 102
組織のセキュリティ ポリシーでは、インターネットに向かうトラフィックはすべて、インターネットに送信される前に HA VPN トンネル経由でオンプレミスのデータ センターに戻り、仮想マシン (VM) がプライベート仮想 IP アドレス 199.36.153.4/ を使用してプライベート Google API を利用できるようにする必要があります。 30. これらのトラフィック フローを有効にするようにルートを構成する必要があります。あなたは何をするべきか?
- A. ネクスト ホップがデフォルトのインターネット ゲートウェイである優先度 500 のカスタム ルート 0.0.0.0/0 を構成します。別のカスタム ルート 199.36.153.4/30 を優先度 1000 で構成します。そのネクスト ホップはオンプレミス データ センターに戻る VPN トンネルです。
- B. ネクストホップがインターネットゲートウェイである優先度 1000 のカスタムルート 0.0.0.0/0 を構成します。別のカスタム ルート 199.36.153.4/30 を優先度 500 で構成します。そのネクスト ホップはオンプレミス データ センターに戻る VPN トンネルです。
- C. オンプレミス ルーターからの 0.0.0.0/0 ルートを MED 1000 でアナウンスします。ネクスト ホップがデフォルトのインターネット ゲートウェイである優先度 1000 のカスタム ルート 199.36.153.4/30 を構成します。
- D. オンプレミス ルーターからの 0.0.0.0/0 ルートを MED 500 でアナウンスします。別のカスタム ルート 199.36.153.4/30 を優先度 1000 で構成します。そのネクスト ホップはオンプレミス ルーターに戻る VPN トンネルです。
正解:A
解説:
premises data center.
質問 # 103
あなたは、組織のオンプレミス データセンターと Google Cloud Virtual Private Cloud (VPC) ネットワーク間の新しい接続ソリューションを設計する責任を負います。現在、エンドツーエンドの接続はありません。99.99% の可用性のサービス レベル アグリーメント (SLA) を保証する必要があります。
- A. 1 つの大都市圏で 1 つの Dended Interconnect 接続を使用します。1 つの Cloud Router を構成し、VPC でグローバル ルーティングを有効にします。
- B. 1 つの大都市圏で 2 つの Dended Interconnect 接続を使用します。1 つの Cloud Router を構成し、VPC でグローバル ルーティングを有効にします。
- C. オンプレミス データセンターと Google Cloud の間でダイレクト ピアリング接続を使用します。2 つのトンネルと 1 つの Cloud Router を使用して Classic VPN を構成します。
- D. HA VPN を使用します。オンプレミスのピア ゲートウェイ上の対応するインターフェイスに接続するために、VPN ゲートウェイの各インターフェイスから 1 つのトンネルを構成します。1 つの Cloud Router を構成し、VPC でグローバル ルーティングを有効にします。
正解:C
質問 # 104
あなたの会社は最近、オンプレミス データセンターと Google Cloud Virtual Private Cloud (VPC) の間に Cloud VPN トンネルを設置しました。オンプレミス サーバーの Cloud Functions API へのアクセスを構成する必要があります。構成は次の要件を満たす必要があります。
特定のデータは、それが保存されているプロジェクト内に保持し、他のプロジェクトに持ち出さないようにする必要があります。
RFC 1918 アドレスを持つデータセンター内のサーバーからのトラフィックは、インターネットを使用して Google Cloud API にアクセスしません。
すべての DNS 解決はオンプレミスで実行する必要があります。
このソリューションは、VPC Service Controls と互換性のある API へのアクセスのみを提供する必要があります。
あなたは何をするべきか?
- A. 199.36.153.4/30 のアドレス範囲を使用して、restricted.googleapis.com の A レコードを作成します。
A レコードを指す *.googleapis.com の CNAME レコードを作成します。
A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミス ルーターを構成します。
Cloud VPN トンネルが終了する VPC からデフォルトのインターネット ゲートウェイを削除します。 - B. 199.36.153.4/30 のアドレス範囲を使用して、restricted.googleapis.com の A レコードを作成します。
A レコードを指す *.googleapis.com の CNAME レコードを作成します。
A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミス ルーターを構成します。
オンプレミスのファイアウォールを構成して、restricted.googleapis.com アドレスへのトラフィックを許可します。 - C. 199.36.153.8/30 のアドレス範囲を使用して、private.googleapis.com の A レコードを作成します。
A レコードを指す *.googleapis.com の CNAME レコードを作成します。
A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミス ルーターを構成します。
private.googleapis.com アドレスへのトラフィックを許可するようにオンプレミスのファイアウォールを構成します。 - D. 199.36.153.8/30 のアドレス範囲を使用して、private.googleapis.com の A レコードを作成します。
A レコードを指す *.googleapis.com の CNAME レコードを作成します。
A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミス ルーターを構成します。
Cloud VPN トンネルが終了する VPC からデフォルトのインターネット ゲートウェイを削除します。
正解:A
質問 # 105
展示を参照してください。
次のファイアウォール ルールセットが Virtual Private Cloud (VPC) 内のすべてのインスタンスに適用されています。
ファイアウォール ルールを更新して、次のルールをルールセットに追加する必要があります。
新しいユーザー アカウントを使用しています。ファイアウォール ルールを更新する前に、適切な ID およびアクセス管理 (IAM) ユーザー ロールをこの新しいユーザー アカウントに割り当てる必要があります。新しいユーザー アカウントは、アップデートを適用し、ファイアウォール ログを表示できる必要があります。あなたは何をするべきか?
- A. compute.orgSecurityPolicyAdmin およびlogging.viewer ロールを新しいユーザー アカウントに割り当てます。優先度 50 の新しいファイアウォール ルールを適用します。
- B. compute.orgSecurityPolicyAdmin およびlogging.bucketWriter ロールを新しいユーザー アカウントに割り当てます。優先度 150 の新しいファイアウォール ルールを適用します。
- C. compute.securityAdmin およびlogging.viewer ルールを新しいユーザー アカウントに割り当てます。優先度 50 の新しいファイアウォール ルールを適用します。
- D. 新しいユーザー アカウントに compute.securityAdmin ロールとlogging.bucketWriter ロールを割り当てます。優先度 150 の新しいファイアウォール ルールを適用します。
正解:C
質問 # 106
あなたの会社には 10 の個別の Virtual Private Cloud (VPC) ネットワークがあり、Google Cloud の単一リージョン内のプロジェクトごとに 1 つの VPC があります。セキュリティ チームは、各 VPC ネットワークが同じリージョン内の Partner Interconnect 接続を介してオンプレミスのメインの場所にプライベート接続できるようにすることを要求しています。コストと運用を最適化するには、同じ接続をすべてのプロジェクトで共有する必要があります。異なるプロジェクト、オンプレミスの場所、インターネットの間のすべてのトラフィックが、同じサードパーティ製アプライアンスを使用して検査できることを確認する必要があります。あなたは何をするべきか?
- A. サードパーティ製アプライアンスを複数のインターフェイスで構成します。すべてのプロジェクト用にハブ VPC ネットワークを作成し、オンプレミスとインターネット接続用に個別の VPC ネットワークを作成します。サードパーティのアプライアンスと VPC ネットワーク上に関連するルートを作成します。VPC ネットワーク ピアリングを使用して、すべてのプロジェクトの VPC ネットワークをハブ VPC に接続します。ハブ VPC からカスタム ルートをエクスポートし、すべてのプロジェクトの VPC ネットワークにインポートします。
- B. サードパーティ アプライアンスを複数のインターフェイスで構成し、各インターフェイスが個別の VPC ネットワークに接続されます。オンプレミス接続とインターネット接続用に別個の VPC ネットワークを作成します。サードパーティのアプライアンスと VPC ネットワーク上に関連するルートを作成します。
- C. プロジェクトごとに複数のインターフェイスと特定の Partner Interconnect VLAN アタッチメントを使用してサードパーティ製アプライアンスを構成します。サードパーティのアプライアンスと VPC ネットワーク上に関連するルートを作成します。
- D. すべての既存プロジェクトのサブネットワークを単一の VPC に統合します。オンプレミスとインターネット接続用に別個の VPC ネットワークを作成します。サードパーティ アプライアンスを複数のインターフェイスで構成し、各インターフェイスが別個の VPC ネットワークに接続されます。サードパーティのアプライアンスと VPC ネットワーク上に関連するルートを作成します。
正解:A
質問 # 107
単一のサブネットを持つ Dev という名前の新しい VPC ネットワークを作成しました。ネットワーク開発者に HTTP トラフィックのみを許可するファイアウォール ルールを追加し、ログ記録を有効にしました。リモート デスクトップ プロトコルを介してサブネット内のインスタンスにログインしようとすると、ログインは失敗します。Stackdriver Logging でファイアウォール ルールのログを探しますが、ブロックされたトラフィックのエントリが表示されません。ブロックされたトラフィックのログを確認したいとします。
あなたは何をするべきか?
- A. ポート 22 からのトラフィックを許可する新しいファイアウォール ルールを作成し、ログを有効にします。
- B. SSH 経由でインスタンスに接続し、ログを確認します。
- C. 優先度 65500 の新しいファイアウォール ルールを作成して、すべてのトラフィックを拒否し、ログを有効にします。
- D. インスタンスの VPC フロー ログを確認します。
正解:C
解説:
Ingress packets in VPC Flow Logs are sampled after ingress firewall rules. If an ingress firewall rule denies inbound packets, those packets are not sampled by VPC Flow Logs. We want to see the logs for blocked traffic so we have to look for them in firewall logs. https://cloud.google.com/vpc/docs/flow-logs#key_properties
質問 # 108
高可用性 Web アプリケーションを us-east1 および us-west1 リージョンにデプロイするには、ネットワーク インフラストラクチャを作成する必要があります。
アプリケーションは Compute Engine インスタンス上で実行され、データベースを使用する必要はありません。Google が推奨する慣行に従いたいと考えています。あなたは何をするべきか?
- A. 各リージョンに 1 つのサブネットを持つ 1 つの VPC を作成します。
静的 IP アドレスを使用してグローバル ロード バランサーを作成します。
ロードバランサで Cloud CDN と Google Cloud Armor を有効にします。
Cloud DNS のロードバランサの IP アドレスを使用して A レコードを作成します。 - B. 各リージョンに 1 つのサブネットを持つ 1 つの VPC を作成します。
静的 IP アドレスを使用して、各リージョンにリージョン ネットワーク ロード バランサーを作成します。
ロードバランサで Cloud CDN を有効にします。
ロードバランサの両方の IP アドレスを使用して Cloud DNS に A レコードを作成します。 - C. 各リージョンに 1 つの VPC を作成し、両方の VPC をピアリングします。
グローバルロードバランサを作成します。
ロードバランサで Cloud CDN を有効にします。
Cloud DNS でロードバランサの CNAME を作成します。 - D. 各リージョンに 1 つのサブネットを持つ 1 つの VPC を作成します。
静的 IP アドレスを使用して HTTP(S) ロード バランサーを作成します。
ネットワークの標準層を選択します。
ロードバランサで Cloud CDN を有効にします。
Cloud DNS でロードバランサの IP アドレスを使用して CNAME レコードを作成します。
正解:C
質問 # 109
あなたは、組織のオンプレミス データセンターと Google Cloud Virtual Private Cloud (VPC) ネットワーク間の新しい接続ソリューションを設計する責任を負います。現在、エンドツーエンドの接続はありません。99.99% の可用性のサービス レベル アグリーメント (SLA) を保証する必要があります。
- A. 1 つの大都市圏で 1 つの Dended Interconnect 接続を使用します。1 つの Cloud Router を構成し、VPC でグローバル ルーティングを有効にします。
- B. オンプレミス データセンターと Google Cloud の間でダイレクト ピアリング接続を使用します。2 つのトンネルと 1 つの Cloud Router を使用して Classic VPN を構成します。
- C. 1 つの大都市圏で 2 つの Dended Interconnect 接続を使用します。1 つの Cloud Router を構成し、VPC でグローバル ルーティングを有効にします。
- D. HA VPN を使用します。オンプレミスのピア ゲートウェイ上の対応するインターフェイスに接続するために、VPN ゲートウェイの各インターフェイスから 1 つのトンネルを構成します。1 つの Cloud Router を構成し、VPC でグローバル ルーティングを有効にします。
正解:D
解説:
For Dedicated Interconnects: At least four Dedicated Interconnect connections, two connections in one metropolitan area (metro) and two connections in another metro. Connections that are in the same metro must be placed in different edge availability domains (metro availability zones) to achieve 99.99% availability.
For HA VPN:
HA VPN to peer VPN gateways Connect an HA VPN gateway to one or two separate peer VPN devices 99.99% HA VPN between two Google Cloud networks Connect two Google Cloud VPC networks in a single region by using an HA VPN gateway in each network 99.99%
質問 # 110
HTTP(S) 負荷分散サービスが作成されました。バックエンド インスタンスが適切に応答していることを確認する必要があります。
ヘルスチェックをどのように設定すればよいでしょうか?
- A. プロキシ ヘッダーをデフォルト値に設定し、ヘルス チェックを識別するカスタム ホスト ヘッダーを含めるようにホストを設定します。
- B. request-path をヘルスチェックに使用する特定の URL に設定し、response をバックエンド サービスが応答本文で常に返す文字列に設定します。
- C. request-path をヘルスチェックに使用する特定の URL に設定し、proxy-header を PROXY_V1 に設定します。
- D. ヘルス チェックに使用される特定の URL に request-path を設定し、ヘルス チェックを識別するカスタム ホスト ヘッダーを含むように host を設定します。
正解:B
解説:
https://cloud.google.com/load-balancing/docs/health-check-concepts#content-based_health_checks
質問 # 111
単一の Compute Engine ゾーンにインスタンスを手動で配置して、概念実証アプリケーションをデプロイしました。これからアプリケーションを実稼働環境に移行するため、アプリケーションの可用性を高め、自動スケーリングできるようにする必要があります。
インスタンスをどのようにプロビジョニングする必要がありますか?
- A. 単一ゾーンにアンマネージド インスタンス グループを作成し、そのインスタンス グループの HTTP ロード バランサを作成します。
- B. ゾーンごとに非マネージド インスタンス グループを作成し、目的のゾーン全体にインスタンスを手動で分散します。
- C. 単一のマネージド インスタンス グループを作成し、目的のリージョンを指定して、その場所として [複数のゾーン] を選択します。
- D. リージョンごとにマネージド インスタンス グループを作成し、その場所で [単一ゾーン] を選択し、そのリージョン内のゾーン全体にインスタンスを手動で分散します。
正解:C
解説:
https://cloud.google.com/compute/docs/instance-groups/creating-groups-of-managed-instances
質問 # 112
組織では、グローバルな外部ウェブ アプリケーションを Compute Engine から GKE にシームレスに移行したいと考えています。両方のアプリケーションを公開し、リクエストの 10% を新しいアプリケーションに送信する、シンプルなクラウド ファースト ソリューションをデプロイする必要があります。どうすればよいでしょうか。
- A. 2 つの個別のグローバル外部アプリケーション ロードバランサを構成し、Cloud DNS 地理位置情報ルーティング ポリシーを使用します。
- B. VM で実行されているアプリケーションを指すサービス拡張機能を使用してグローバル外部 Application Load Balancer を構成し、各アプリケーションに送信されるリクエストを制御します。
- C. 重み付けされたリクエストミラーリングを使用してグローバル外部 Application Load Balancer を構成します。
- D. 重み付けトラフィック分割を使用してグローバル外部アプリケーション ロード バランサーを構成します。
正解:D
解説:
Weighted traffic splitting allows you to gradually route a percentage of traffic to the new GKE application while still serving the majority of requests through the Compute Engine instance. This gradual transition minimizes risks and ensures seamless traffic distribution during migration.
質問 # 113
gcloud コマンドライン ツールを使用して、事前定義されたロールを処理することでプロジェクトに新しいカスタム ロールを作成しています。次のエラー メッセージが表示されます。
INVALID_ARGUMENT: 権限 resourcemanager.projects.list が無効です。
- A. 新しい名前と同じ権限を持つ別のロールで再試行します。
- B. resourcemanager.projects.get 権限を追加して、再試行します。
- C. resourcemanager.projects.list 権限を削除して、再試行します。
- D. resourcemanager.projects.setIamPolicy 権限を追加して、再試行します。
正解:C
質問 # 114
gcloud コマンドを使用して、ポリシーベースのルーティング用に構成された Cloud VPN ゲートウェイの背後にあるオンプレミス リソースへの静的ルートを構成する必要があります。
どのネクストホップを選択すればよいでしょうか?
- A. Cloud VPN ゲートウェイの IP アドレス
- B. デフォルトのインターネットゲートウェイ
- C. Cloud VPN トンネルの名前とリージョン
- D. VPN トンネルのリモート側のインスタンスの IP アドレス
正解:C
解説:
When you create a route based tunnel using the Cloud Console, Classic VPN performs both of the following tasks: Sets the tunnel's local and remote traffic selectors to any IP address (0.0.0.0/0) For each range in Remote network IP ranges, Google Cloud creates a custom static route whose destination (prefix) is the range's CIDR, and whose next hop is the tunnel. https://cloud.google.com/network-connectivity/docs/vpn/how-to/creating-static-vpns
質問 # 115
あなたには、組織のエンタープライズ ネットワークが Google Workspace にアクセスして使用するための新しい接続ソリューションを設計する責任があります。us-west1 に Compute Engine インスタンスを含む既存の共有 VPC があります。現在、サービス プロバイダのインターネット アクセスを介して Google Workspace にアクセスします。ネットワークと Google の間に直接接続を設定したいと考えています。あなたは何をするべきか?
- A. 同じ大都市圏でダイレクト ピアリング接続を注文します。Google とルーターの間にボーダー ゲートウェイ プロトコル (BGP) セッションを構成します。
- B. us-west1 で HA VPN を構成します。Cloud Router とオンプレミス データセンターの間にボーダー ゲートウェイ プロトコル(BGP)セッションを構成します。
- C. 同じ大都市圏で D dedicated Interconnect 接続を注文します。VLAN アタッチメント、us-west1 の Cloud Router、および Cloud Router とルーター間のボーダー ゲートウェイ プロトコル(BGP)セッションを作成します。
- D. 同じ大都市圏でキャリア ピアリング接続を注文します。Google とルーターの間にボーダー ゲートウェイ プロトコル (BGP) セッションを構成します。
正解:A
質問 # 116
これで、インフラストラクチャを Google Cloud にデプロイできました。次の要件を満たすように DNS を構成する必要があります。
オンプレミス リソースは Google Cloud ゾーンを解決する必要があります。
Google Cloud リソースはオンプレミス ゾーンを解決する必要があります。
Google Cloud によってプロビジョニングされた「.internal」ゾーンを解決する機能が必要です。
あなたは何をするべきか?
- A. 送信 DNS サーバー ポリシーを構成し、代替ネーム サーバーをオンプレミスの DNS リゾルバーとして設定します。Google Cloud ゾーンのクエリを Google Cloud の DNS リゾルバに転送するようにオンプレミスの DNS リゾルバを構成します。
- B. オンプレミスの DNS リゾルバーとしてターゲットを使用して、受信サーバー ポリシーと送信 DNS 転送ゾーンの両方を構成します。Google Cloud ゾーンのクエリを Google Cloud の DNS リゾルバに転送するようにオンプレミスの DNS リゾルバを構成します。
- C. 送信サーバー ポリシーを構成し、代替ネーム サーバーをオンプレミスの DNS リゾルバーとして設定します。Google Cloud ゾーンのクエリを Google のパブリック DNS 8.8.8.8 に転送するようにオンプレミスの DNS リゾルバーを構成します。
- D. オンプレミスの DNS リゾルバーを使用して Cloud DNS を DNS ピアに構成します。Google Cloud ゾーンのクエリを Google のパブリック DNS 8.8.8.8 に転送するようにオンプレミスの DNS リゾルバーを構成します。
正解:C
質問 # 117
エンド ユーザーは us-east1 と europe-west1 のすぐ近くにいます。それらのワークロードは相互に通信する必要があります。コストを最小限に抑え、ネットワーク効率を向上させたいと考えています。
このトポロジをどのように設計すればよいでしょうか?
- A. それぞれ独自のリージョンと個別のサブネットを持つ 2 つの VPC を作成します。2 つの VPN ゲートウェイを作成して、これらのリージョン間の接続を確立します。
- B. 2 つのリージョン サブネットを持つ 1 つの VPC を作成します。これらのサブネットにワークロードをデプロイし、プライベート RFC1918 IP アドレスを使用して通信させます。
- C. 2 つのリージョン サブネットを持つ 1 つの VPC を作成します。グローバル ロード バランサーを作成して、リージョン間の接続を確立します。
- D. それぞれ独自のリージョンと個別のサブネットを持つ 2 つの VPC を作成します。インスタンスの外部 IP アドレスを使用して、これらのリージョン間の接続を確立します。
正解:B
解説:
https://cloud.google.com/vpc/docs/using-vpc#create-auto-network
We create one VPC network in auto mode that creates one subnet in each Google Cloud region automatically. So, region us-east1 and europe-west1 are in the same network and they can communicate using their internal IP address even though they are in different Regions. They take advantage of Google's global fiber network.
質問 # 118
あなたの会社は人気のあるゲーム サービスを提供しています。インスタンスはプライベート IP アドレスを使用してデプロイされ、外部アクセスはグローバル ロード バランサーを通じて許可されます。潜在的な悪意のある攻撃者を特定したと考えていますが、正しいクライアント IP アドレスを持っているかどうかはわかりません。正規ユーザーへの混乱を最小限に抑えながら、この攻撃者を特定したいと考えています。
あなたは何をするべきか?
- A. トラフィックを拒否する VPC ファイアウォール ルールを作成し、ログ記録を有効にして強制を無効に設定し、必要なログを確認します。
- B. トラフィックを拒否する Cloud Armor ポリシー ルールを作成し、必要なログを確認します。
- C. トラフィックを拒否する VPC ファイアウォール ルールを作成し、ログ記録を有効にして強制を有効に設定し、必要なログを確認します。
- D. トラフィックを拒否する Cloud Armor ポリシー ルールを作成し、プレビュー モードを有効にし、必要なログを確認します。
正解:D
解説:
https://cloud.google.com/armor/docs/security-policy-concepts#preview_mode
質問 # 119
会社のオンプレミス ネットワークは、Cloud VPN トンネルを使用して VPC に接続されています。VPC で定義されたネクストホップとして VPN トンネルを持つ 0.0.0.0/0 の静的ルートがあります。現在、インターネットに向かうすべてのトラフィックはオンプレミス ネットワークを通過します。1 つのリージョン内の Compute Engine インスタンスのプライマリ IP アドレスを変換するように Cloud NAT を構成しました。これらのインスタンスからのトラフィックは、オンプレミス ネットワークからではなく、VPC から直接インターネットに到達するようになります。仮想マシン (VM) からのトラフィックが予想どおりにアドレスを変換しません。あなたは何をするべきか?
- A. ネクストホップとしてデフォルトのインターネット ゲートウェイ、Compute Engine インスタンスに関連付けられたネットワーク タグ、および VPN トンネルへのデフォルト ルートの優先度よりも高い優先度を使用して、デフォルトの静的ルートを VPC に追加します。
- B. クラウド NAT ゲートウェイのデフォルトの min-ports-per-vm 設定を増やします。
- C. 外部 NAT IP アドレスの上り下りを許可し、Compute Engine インスタンス上にターゲット タグがあり、VPN ゲートウェイへのデフォルト ルートの優先度値よりも高い優先度値を持つファイアウォール ルールを追加します。
- D. NAT ゲートウェイの TCP 確立接続アイドル タイムアウトを短くします。
正解:D
質問 # 120
組織では、稼働率 99.9% の単一の Cloud Router で終了する VLAN アタッチメントを使用したハイブリッド接続を設定したいと考えています。オンプレミス ルーターのネットワーク設計は、これらの要件を満たし、一度に 1 つの VLAN アタッチメントのみを使用するアクティブ/パッシブ構成にする必要があります。どうすればよいでしょうか。
- A. オンプレミスのデバイスでフローベースのハッシュを使用した等コスト マルチパス (ECMP) を使用する設計を作成します。
- B. local_pref BGP 属性を使用して、Google Cloud からオンプレミス環境への出力パスに影響を与える設計を作成します。
- C. BGP マルチエグジット識別子 (MED) 属性を使用して、Google Cloud からオンプレミス環境への出力パスに影響を与える設計を作成します。
- D. as_path BGP 属性を使用して、Google Cloud からオンプレミス環境への出力パスに影響を与える設計を作成します。
正解:C
解説:
The BGP multi-exit discriminator (MED) attribute is used in BGP configurations to influence the choice of path in an active/passive setup by prioritizing one path over another for egress traffic. This is ideal for a design that uses only one VLAN attachment at a time.
質問 # 121
ホスト プロジェクトで共有 VPC を管理しています。社内のいくつかの部門では、共有 VPC に接続されたさまざまなサービス プロジェクトのインフラストラクチャがあり、Identity and Access Management (IAM) 権限を使用してそれらのプロジェクトのクラウド リソースを管理しています。VPC ネットワーク ピアリングは、共有 VPC とサービス プロジェクトにない共通サービス VPC の間にも設定されます。複数のユーザーが、異なる共有 VPC サービス プロジェクト内の特定のインスタンス間、および特定のインスタンスとインターネット間の接続に失敗しています。ネットワーク構成を検証して、構成ミスが問題の根本原因であるかどうかを特定する必要があります。あなたは何をするべきか?
- A. Secure Shell (SSH) を使用して影響を受ける Compute Engine インスタンスに接続し、他の影響を受けるエンドポイントと 8.8.8.8 IPv4 アドレスに対して一連の PING テストを実行します。
- B. Cloud Logging で、影響を受けるインスタンスの VPC 監査ログを確認します。
- C. Network Intelligence Center から接続テストを実行して、ネットワーク内の影響を受けるエンドポイントとインターネットの間の接続を確認します。
- D. すべての VPC の VPC フロー ログを有効にし、影響を受けるインスタンスの Cloud Logging のログを確認します。
正解:C
質問 # 122
Cloud VPN を介してオンプレミス ネットワークと VPC の間に IPSec トンネルを実装したいと考えています。トンネル経由の到達可能性を特定のローカル サブネットに制限する必要がありますが、ボーダー ゲートウェイ プロトコル (BGP) を通信できるデバイスがありません。
どのルーティング オプションを選択する必要がありますか?
- A. デフォルトのトラフィック セレクターを使用したルートベースのルーティング
- B. デフォルトのローカル トラフィック セレクターを使用したポリシーベースのルーティング
- C. カスタム ローカル トラフィック セレクターを使用したポリシーベースのルーティング
- D. Cloud Router を使用した動的ルーティング
正解:C
質問 # 123
Compute Engine 仮想マシン インスタンスを NAT ゲートウェイとして構成しました。次のコマンドを実行します。
gcloud compute Routes create no-ip-internet-route \
--ネットワークカスタムネットワーク1 \
--destination-range 0.0.0.0/0 \
--ネクストホップ インスタンス nat-gateway \
--ネクストホップ インスタンス ゾーン us-central1-a \
--tags no-ip --priority 800
既存のインスタンスで新しい NAT ゲートウェイを使用したいと考えています。どのコマンドを実行すればよいでしょうか?
- A. gcloud compute インスタンス add-tags [既存のインスタンス] --tags no-ip
- B. gcloud compute インスタンスが example-instance --networkcustom-network1 を作成します \
- C. gcloud builds submit --config=cloudbuild.waml --substitutions=TAG_NAME=no-ip
- D. sudo sysctl -w net.ipv4.ip_forward=1
正解:A
解説:
--subnet subnet-us-central \
--no-address \
--zone us-central1-a \
--image-family debian-9 \
--image-project debian-cloud \
--tags no-ip
Explanation:
https://cloud.google.com/sdk/gcloud/reference/compute/routes/create
In order to apply a route to an existing instance we should use a tag to bind the route to it.
質問 # 124
Terraform を使用して会社に Google Cloud インフラストラクチャをデプロイする計画を立てました。設計は次の要件を満たす必要があります。
* 各 Google Cloud プロジェクトは、チームが取り組む内部プロジェクトを表す必要があります
* 社内プロジェクトが終了したら、インフラストラクチャを削除する必要があります
* 各内部プロジェクトには、Google Cloud リソースを管理する独自の Google Cloud プロジェクト オーナーが必要です。
* 一度に 10 ~ 100 のプロジェクトをデプロイしている
Terraform コードを作成している間、デプロイメントが簡単でコードが再利用可能であることを確認する必要があります。集中管理では何をすべきでしょうか?
- A. d内部プロジェクトごとに単一のプロジェクトと単一の VPC を作成します。
- B. 単一の共有 VPC を作成し、各 Google Cloud プロジェクトをサービス プロジェクトとして接続します。
- C. 内部プロジェクトごとに共有 VPC とサービス プロジェクトを作成します。
- D. 単一プロジェクトと内部プロジェクトごとに追加の VPC を作成します。
正解:C
解説:
The correct answer is D because it meets the following requirements:
Each internal project has its own Google Cloud project, which can be easily created and deleted by Terraform using the google_project resource1.
Each internal project has its own Google Cloud project owner, which can be assigned by Terraform using the google_project_iam_member resource1.
The deployment is simple and the code is reusable with centralized management, because the Shared VPC allows you to connect multiple service projects to a single host project that contains the network resources2. This way, you can use Terraform modules to create and manage the network resources in the host project, and then reference them in the service projects3.
Option A is incorrect because it does not create separate Google Cloud projects for each internal project, which makes it harder to delete the infrastructure and assign project owners. Option B is incorrect because it does not create separate Google Cloud projects for each internal project, and also because it attaches the service projects to a Shared VPC, which is not recommended for short-lived projects2. Option C is incorrect because it does not use a Shared VPC, which means that each internal project has to create and manage its own network resources, which increases complexity and reduces reusability.
Reference:
google_project - Terraform Registry
Managing infrastructure as code with Terraform, Cloud Build, and GitOps | Google Cloud Automating your automation by Creating Google Cloud Projects Automatically
質問 # 125
......
Professional-Cloud-Network-Engineer日本語試験問題集、Professional-Cloud-Network-Engineer日本語練習テスト問題:https://jp.fast2test.com/Professional-Cloud-Network-Engineer-JPN-premium-file.html