Professional Cloud Network Engineer

あなたの会社では、パブリックインターネットに公開されているCompute Engineインスタンスを使用しています。各Compute Engineインスタンスは、単一のパブリックIPアドレスを持つ単一のネットワークインターフェースを持っています。BGP_ASN_TOBLOCK BGP ASNに属するIPアドレスを持つインターネットクライアントからの接続試行をブロックする必要があります。どうすればよいですか？

あなたのフロントエンドアプリケーションVMとバックエンドデータベースVMはすべて同じVPC内にデプロイされていますが、異なるサブネットに配置されています。グローバルネットワークファイアウォールポリシールールは、フロントエンドVMからバックエンドVMへのトラフィックを許可するように構成されています。最近のコンプライアンス要件に基づき、このトラフィックは、同じVPC内にデプロイされているネットワーク仮想アプライアンス (NVA) ファイアウォールによって検査される必要があります。NVAはフルネットワークプロキシとして構成され、許可されたトラフィックをソースNATします。サブネット間のトラフィックをNVAが検査できるようにVPCルーティングを構成する必要があります。どうすればよいですか？

あなたはCloud NATを設定することにしました。設定完了後、インスタンスの1つがアウトバウンドNATにCloud NATを使用していないことがわかりました。 この問題の最も可能性の高い原因は何ですか？

あなたの組織では、単一のCloud Routerに終端し、99.9%の稼働率を持つVLANアタッチメントを使用してハイブリッド接続をセットアップしたいと考えています。これらの要件を満たし、一度に1つのVLANアタッチメントのみを使用するアクティブ/パッシブ構成を持つオンプレミスルーターのネットワーク設計を作成する必要があります。どうすればよいですか？

あなたは、新しく作成されたVPC内のコンピュータリソースを保護するために、ファイアウォール制御を実装しています。保護プロセスを管理・制御しやすくするために、階層型ファイアウォールポリシー、グローバルネットワークファイアウォールポリシー、およびVPCファイアウォールルールを定義しました。ルールの構成は以下の特徴を定義しています： • 組織レベルでバインドされた階層型ファイアウォールポリシーは、特定の外部トラフィックを許可/拒否しています。 • 特定の外部インバウンド/アウトバウンドトラフィックに対して侵入防止システム（IPS）機能を強制するルールを持つグローバルネットワークファイアウォールポリシーがあります。 • VPCファイアウォールルールは、RFC 1918で定義されたサブネットからの内部通信を許可しています。 • VPCファイアウォールには、ログが有効化された明示的な拒否ルールが含まれています。 この構成は、既存の複数のVPCでは成功していました。しかし、新しく作成されたVPCを確認したところ、ログが見つからないことに気づきました。すべての外部通信がハングしていますが、内部トラフィックは期待どおりに機能しています。接続の問題を修正したいと考えています。 どうすべきでしょうか？