← 試験一覧に戻る

Professional Cloud DevOps Engineer

Question 77

あなたの会社では、Google Kubernetes Engine (GKE) でアプリケーションを実行しています。アプリケーション開発者は、アプリケーションをサポートするために頻繁にクラウドリソースを作成します。あなたは、Google が推奨するプラクティスに従いつつ、開発者に Infrastructure as Code (IaC) でインフラストラクチャを管理する能力を提供する必要があります。Kubernetes カスタムリソース定義 (CRD) を通じて Infrastructure as Code を管理し、選択したセットアップが Google Cloud サポートポータルでサポートされることを保証したいと考えています。何をすべきでしょうか?

A.
Cloud Build に Terraform ビルダーを設定し、`terraform plan` および `terraform apply` コマンドを実行する。
B.
GKE に Crossplane をインストールして設定する。
C.
GitHub Actions に Terraform ビルダーを設定し、プルリクエストプロセスの一部として `terraform plan` および `terraform apply` コマンドを実行する。
D.
GKE に Config Connector をインストールして設定する。
問題78

あなたの会社はGoogle Cloudでサービスを運用しています。各チームは専用のプロジェクトでアプリケーションを実行しており、新しいチームやプロジェクトが定期的に作成されます。セキュリティチームは、すべてのログがセキュリティ情報イベント管理(SIEM)システムによって処理されることを要求しています。SIEMはPub/Subを使用してログを取り込みます。あなたは、既存および将来のすべてのログがSIEMによってスキャンされるようにする必要があります。何をすべきですか?

A.
組織レベルの集約シンクを作成し、宛先としてSIEMログバケットを設定します。すべてのログを含めるように包含フィルターを設定します。
B.
フォルダレベルの集約シンクを作成し、宛先としてSIEM Pub/Subトピックを設定します。すべてのログを含めるように包含フィルターを設定します。各フォルダに対してこの操作を繰り返します。
C.
組織レベルの集約シンクを作成し、宛先としてSIEM Pub/Subトピックを設定します。すべてのログを含めるように包含フィルターを設定します。
D.
プロジェクトレベルのロギングシンクを作成し、宛先としてSIEM Pub/Subトピックを設定します。すべてのログを含めるように包含フィルターを設定します。各プロジェクトに対してこの操作を繰り返します。
問題79

あなたは、オンプレミスおよびGoogle Cloud Platformにデプロイされた大規模なGoogle Kubernetes Engine (GKE) クラスタ上で実行されるeコマースアプリケーションをサポートしています。このアプリケーションは、コンテナで実行されるマイクロサービスで構成されています。最も多くのCPUとメモリを使用しているコンテナを特定したいと考えています。どうすればよいですか?

A.
Stackdriver Kubernetes Engine Monitoringを使用する。
B.
Prometheusを使用してコンテナごとのログを収集・集約し、その結果をGrafanaで分析する。
C.
Stackdriver Monitoring APIを使用してカスタムメトリクスを作成し、コンテナをグループを使用して整理する。
D.
Stackdriver Loggingを使用してアプリケーションログをBigQueryにエクスポートし、コンテナごとにログを集約し、CPUとメモリの消費量を分析する。
Question 80

あなたの会社では、チームがプロジェクトレベルのIAM(Identity and Access Management)を含め、Google Cloudプロジェクトを自己管理することを許可しています。あなたは、共有VPCプロジェクトを担当するチームが誤ってプロジェクトを削除してしまうことを懸念しており、そのためプロジェクトにはリーエンが設定されています。共有VPCプロジェクトの削除を、組織レベルで `resourcemanager.projects.updateLiens` 権限を持つユーザーのみに制限するソリューションを設計する必要があります。どうすればよいですか?

A.
チームに対し、Terraformを使用してコードとしてのみIAM権限管理を行うよう指示する。
B.
`container.googleapis.com` APIサービスに対してVPCサービスコントロールを有効にする。
C.
プロジェクトに関連付けられているすべてのユーザーから `resourcemanager.projects.updateLiens` 権限を取り消す。
D.
`compute.restrictXpnProjectLienRemoval` 組織ポリシーの制約を有効にする。
Question 81

あなたの会社はeコマースビジネスを運営しています。決済処理を担当するアプリケーションは、以下のスキーマで構造化されたJSONロギングを行っています。 決済処理アプリケーションからのログの取得とアクセスは運用上必須ですが、`jsonPayload.user_email`フィールドには個人識別情報(PII)が含まれています。セキュリティチームは、エンジニアリングチーム全体がPIIにアクセスできることを望んでいません。エンジニアリングチームへのPIIの公開を停止し、アクセスをセキュリティチームのメンバーのみに制限する必要があります。どうすればよいですか?

Question
A.
`_Default`バケットに `resource.name.extract("locations/global/buckets/{bucket}/") == "_Default"` という条件付きロールバインディングを適用する。
B.
`_Default`バケットに `jsonPayload.user_email` 制限付きフィールドを適用する。セキュリティチームのメンバーにログフィールドアクセサーロールを付与する。
C.
`_Default`バケットに `jsonPayload.user_email` 除外フィルターを適用する。
D.
`LOG_USER_EMAIL` 環境変数が `true` に設定されている場合に `user_email` の包含を切り替えるようにアプリケーションを変更する。`CODEOWNERS` ファイルを使用して、本番環境変数を変更できるエンジニアリングチームのメンバーを制限する。
195問中 76-80問目
最初へ前へ1415161718次へ最後へ