Practice Exam

Professional Cloud Network Engineer 模擬問題集 (v20200227) (日本語訳)

Professional Cloud Network Engineer 認定資格 の試験言語は、英語のみになります。

英語版は「Professional Cloud Network Engineer 模擬問題集 (v20200227) (English)」をご覧ください。

今回の翻訳にはDeepL翻訳を利用しましたが、翻訳精度がとても高かったです。


Google Cloud 認定資格 – Professional Cloud Network Engineer(全25問)

(v2020-02-27)


QUESTION 1

組織では、3つの別々の部門に1つのプロジェクトを展開しています。
これらの部門のうち2つの部門は互いにネットワーク接続を必要としますが、3つ目の部門は孤立したままにしておく必要があります。
設計では、これらの部門間に別々のネットワーク管理ドメインを作成する必要があります。
運用上のオーバーヘッドを最小限に抑えたいと考えています。
トポロジはどのように設計すべきですか?

  • A. 共有 VPC ホストプロジェクトと、3つの別々の部門のそれぞれのサービス プロジェクトを作成します。
  • B. 3つの別々のVPCを作成し、Google Cloud VPNを使用して、2つの適切なVPC 間の接続を確立します。
  • C. 3つの別々のVPCを作成し、VPC ピアリングを使用して2つの適切なVPC間の接続を確立します。
  • D. 単一のプロジェクトを作成し、特定のファイアウォール ルールを展開します。ネットワーク タグを使用して、部門間のアクセスを分離します。

Correct Answer: A

Explanation:
Shared VPC を使用して、共通の VPC ネットワークに接続します。これらのプロジェクトのリソースは、プロジェクト間で安全かつ効率的に通信することができます。の境界線を管理することができます。サブネット、ルート、ファイアウォールなどの共有ネットワーク リソースを中央のホストプロジェクトから管理できるため、プロジェクト間で一貫したネットワーク ポリシーを適用して強制することができます。
共有 VPC とIAM コントロールを使用すると、ネットワーク管理をプロジェクト管理から切り離すことができます。このように分離することで、最小特権の原則を実装することができます。たとえば、集中管理されたネットワーク チームは、 参加するプロジェクトに対して一切の権限を持たなくてもネットワークを管理できます。同様に、プロジェクト管理者は、共有ネットワークを操作する権限を持たずにプロジェクト リソースを管理できます。

Reference:
エンタープライズ企業のベスト プラクティス


QUESTION 2

サードパーティ製の次世代ファイアウォールを使用してトラフィックを検査しています。
0.0.0.0.0/0 のカスタム ルートを作成して、イグレス トラフィックをファイアウォールにルーティングしています。パブリック IP アドレスを持たないVPC インスタンスに、ファイアウォールを経由してトラフィックを送信せずに、Google BigQuery および Google Cloud Pub/Sub API へのアクセスを許可したいとします。
どの2つのアクションを実行しますか?(回答は2つ)

  • A. サブネット レベルでGoogle プライベート アクセスをオンにします。
  • B. VPC レベルでGoogleプライベート アクセスをオンにします。
  • C. VPC レベルでプライベート サービスアクセスをオンにします。
  • D. デフォルトのインターネット ゲートウェイを介して Google API やサービスの外部 IP アドレスにトラフィックを送信するためのカスタム 静的ルートのセットを作成します。
  • E. カスタム 静的ルートを作成して、既定のインターネット ゲートウェイを介して Google API およびサービスの内部 IP アドレスにトラフィックを送信します。

Correct Answer: C、E

Reference:
サービスのプライベート アクセス オプション


QUESTION 3

プロジェクト内のすべてのインスタンスは、カスタム メタデータの enable-oslogin 値が FALSE に設定され、プロジェクト全体の SSH 鍵をブロックするように設定されています。
どのインスタンスにもSSH 鍵が設定されておらず、プロジェクト全体のSSH 鍵も設定されていません。
ファイアウォール ルールは、任意のIP アドレス範囲からのSSH セッションを許可するように設定され、1つのインスタンスにSSHしたいとします。
どうすればよいでしょうか?

  • A. gcloud compute sshを使用してインスタンスにGoogle Cloud Shell SSHを開きます。
  • B. カスタム メタデータの enable-oslogin を TRUE に設定し、putty や ssh などのサードパーティツールを使ってインスタンスに SSH 接続します。
  • C. 新しいSSH鍵ペアを生成します。秘密鍵の形式を確認し、インスタンスに追加します。putty や ssh のようなサードパーティのツールを使ってインスタンスに SSH します。
  • D. 新しい SSH 鍵ペアを生成します。公開鍵の形式を検証し、プロジェクトに追加します。putty や ssh のようなサードパーティのツールを使ってインスタンスに SSH 接続します。