← 試験一覧に戻る

Professional Cloud Network Engineer

Question 141

あなたの組織の現在のアーキテクチャには、単一のVPC (SH_VPC) を含む共有VPCホストプロジェクト (SH_HOST_PRJ) が1つと、VPCを含まない共有VPCサービスプロジェクト (SP_ONE_PRJ と SP_TWO_PRJ) が2つあります。各共有VPCサービスプロジェクトは異なるチームに属しており、TEAM_ONEがSP_ONE_PRJを、TEAM_TWOがSP_TWO_PRJを管理しています。 各チームがそれぞれの共有VPCサービスプロジェクト内でのみ独自のDNSプライベートゾーンとDNSレコードを作成できるようにするソリューションを設計する必要があります。SP_ONE_PRJ内のワークロードはSP_TWO_PRJで定義されたすべてのDNSプライベートゾーンを解決でき、その逆も同様である必要があります。設計は、設定の手間が最も少ないものでなければなりません。どうすればよいですか?

A.
1. TEAM_ONEはプロジェクト間バインディングを使用し、SP_ONE_PRJ内にCloud DNSプライベートゾーンとDNSレコードを作成し、そのゾーンを共有VPCホストプロジェクト (SH_HOST_PRJ) にバインドします。 2. TEAM_TWOはSP_TWO_PRJ内にCloud DNSプライベートゾーンとDNSレコードを作成し、プロジェクト間バインディングを使用してそのゾーンを共有VPCホストプロジェクト (SH_HOST_PRJ) に接続します。
B.
1. TEAM_ONEはプロジェクト間バインディングを使用し、SP_ONE_PRJ内にCloud DNSプライベートゾーンとDNSレコードを作成し、そのゾーンを共有VPCホストプロジェクト (SH_HOST_PRJ) 内のVPC (SH_VPC) にバインドします。 2. TEAM_TWOはSP_TWO_PRJ内にDNSプライベートゾーンとDNSレコードを作成し、プロジェクト間バインディングを使用してそのゾーンを共有VPCホストプロジェクト (SH_HOST_PRJ) 内のVPC (SH_VPC) に接続します。
C.
1. TEAM_ONEは共有VPCサービスプロジェクト (SP_ONE_PRJ) 内に新しいVPC (SP_ONE_VPC) を作成します。TEAM_ONEはSP_ONE_PRJ内にCloud DNSプライベートゾーンとDNSレコードを作成し、そのゾーンを新しいVPC (SP_ONE_VPC) にバインドします。TEAM_ONEはSP_ONE_VPCと共有VPCホストプロジェクト (SH_HOST_PRJ) 内のVPC (SH_VPC) との間にCloud DNSピアリング関係を作成します。 2. TEAM_TWOはSP_TWO_PRJプロジェクトに対して同じアクションを実行します。
D.
1. TEAM_ONEは共有VPCサービスプロジェクト (SP_ONE_PRJ) 内に新しいVPC (SP_ONE_VPC) を作成します。TEAM_ONEはSP_ONE_PRJ内にCloud DNSプライベートゾーンとDNSレコードを作成し、そのゾーンを新しいVPC (SP_ONE_VPC) にバインドします。TEAM_ONEはSP_ONE_VPCと共有VPCホストプロジェクト (SH_HOST_PRJ) 内のVPC (SH_VPC) との間にVPCネットワークピアリング関係を作成します。 2. TEAM_TWOはSP_TWO_PRJプロジェクトに対して同じアクションを実行します。
Question 142

あなたは、組織のGoogle Cloudネットワーク内で期待通りに機能していないアプリケーションのトラブルシューティングを行っています。どこかでパケットが失われているのではないかと疑っています。アプリケーションは、Compute Engine VMからオンプレミスネットワーク上の宛先へ、一対のCloud Interconnect VLANアタッチメントを経由して、断続的に低ボリュームのパケットを送信します。Cloud Next Generation Firewall (Cloud NGFW) ルールに下り(egress)トラフィックをブロックする拒否ステートメントがなく、明示的な許可ルールもないことを確認しました。Googleが推奨するプラクティスに従い、VMからパケットが正しく送信されているかを確認するためにフローを分析し、問題を切り分ける必要があります。どうすべきですか?

A.
VMをソース、コレクターを宛先として設定したパケットミラーリングポリシーを作成します。パケットキャプチャを分析します。
B.
VMがデプロイされているサブネットで、SAMPLE_RATE = 1.0 としてVPCフローログを有効にし、Logs Explorerでクエリを実行してパケットフローを分析します。
C.
Cloud Interconnect VLANアタッチメントの `network/attachment/egress_dropped_packets_count` メトリックを確認します。
D.
ファイアウォールルールでファイアウォールルールロギングを有効にし、ログを確認します。
Question 143

あなたは最近、外部グローバルアプリケーションロードバランサを使用する主要アプリケーションのユーザー行動を確認したところ、クライアントリクエストのレートの不規則な急増によりバックエンドサーバーが過負荷になっていることがわかりました。Google の推奨プラクティスに従いながら、同時セッション数を制限し、クライアントに HTTP 429 Too Many Requests レスポンスを返す必要があります。どうすればよいですか?

A.
Cloud Armor セキュリティポリシーを作成し、そのポリシーをロードバランサに関連付けます。セキュリティポリシーの設定を次のように構成します: action: throttle; conform action: allow; exceed action: deny-429。
B.
ロードバランサをクライアント IP アドレスごとに定義されたリクエスト数のみを受け入れるように構成し、バックエンドサーバーを増やしてより多くのトラフィックをサポートし、トラフィックを別のバックエンドにリダイレクトしてトラフィックをバーストさせます。
C.
Cloud Armor セキュリティポリシーを作成し、事前定義された Open Worldwide Security Application Project (OWASP) ルールを適用して、クライアント IP アドレスごとのレート制限を自動的に実装します。
D.
Linux を搭載した VM を構成し、iptables を介してレート制限を実装し、ファイアウォールルールを使用してクライアントアプリケーションに HTTP 429 レスポンスを送信します。
Question 144

あなたの会社では、サードパーティのクラウドWAFプロバイダーが提供するWebアプリケーションファイアウォール(WAF)機能を使用しています。このWAFプロバイダーは、インターネットクライアントからのすべてのHTTPS接続をプロキシし、セキュリティポリシーを適用した後、Google Cloud上のグローバルアプリケーションロードバランサーのパブリックIPアドレスに対して新しいHTTPS接続を開きます。あなたのGoogle Cloudワークロードは、このグローバルアプリケーションロードバランサーのバックエンドです。現在、Cloud Armorは設定されていません。IP_RANGE_BLOCK IP範囲に属する送信元IPアドレスを持つインターネットクライアントからのセッションをブロックするCloud Armorセキュリティポリシーを作成する必要があります。このブロックはCloud Armorセキュリティポリシーによって実行される必要があり、サードパーティのクラウドWAFプロバイダーでは行われません。どうすればよいですか?

A.
1. 新しいCloud Armorネットワークエッジセキュリティポリシーを作成します。ポリシーで、userIpRequestHeaders[] 属性を設定します。 2. inIpRange(origin.user_ip, 'IP_RANGE_BLOCK') ステートメントに一致するトラフィックを拒否するポリシールールを追加します。 3. すべてのGoogle Cloudワークロードを含むバックエンドサービスにポリシーを適用します。
B.
1. 新しいCloud Armorネットワークエッジセキュリティポリシーを作成します。ポリシーで、userIpRequestHeaders[] 属性を設定します。 2. inIpRange(origin.ip, 'IP_RANGE_BLOCK') ステートメントに一致するトラフィックを拒否するポリシールールを追加します。 3. すべてのGoogle Cloudワークロードを含むバックエンドサービスにポリシーを適用します。
C.
1. 新しいCloud Armorバックエンドセキュリティポリシーを作成します。ポリシーで、userIpRequestHeaders[] 属性を設定します。 2. inIpRange(origin.user_ip, 'IP_RANGE_BLOCK') ステートメントに一致するトラフィックを拒否するポリシールールを追加します。 3. すべてのGoogle Cloudワークロードを含むバックエンドサービスにポリシーを適用します。
D.
1. 新しいCloud Armorバックエンドセキュリティポリシーを作成します。ポリシーで、userIpRequestHeaders[] 属性を設定します。 2. inIpRange(origin.ip, 'IP_RANGE_BLOCK') ステートメントに一致するトラフィックを拒否するポリシールールを追加します。 3. すべてのGoogle Cloudワークロードを含むバックエンドサービスにポリシーを適用します。
Question 145

あなたの組織、TerramEarthは、クレジットカード決済を管理するためのグローバルアプリケーションをローンチします。アプリケーションと同じVPC内に、このアプリケーションにプライベートにアクセスする必要があるクライアントVMがいくつかあります。コンプライアンス要件のため、内部クライアントはアプリケーションのグローバル外部IPアドレスを使用できません。現在、Cloud DNSはパブリックゾーンを使用して、myglobalapp.terramearth.comをパブリックIPアドレスにのみ解決します。クライアントは、外部IPアドレスを使用せずにmyglobalapp.terramearth.comに到達する必要があります。Googleの推奨プラクティスに従いながら、この要件を満たすようにCloud DNSを設定する必要があります。どうすべきですか?

A.
internal.terramearth.comという名前のサブドメインを作成します。新しいDNSエントリ(myglobalapp.internal.terramearth.com)をサブドメインに追加し、アプリケーションVMの内部IPアドレスを指すようにします。
B.
Cloud DNS内にクエリロジックスクリプトを設定して、VPCからの送信元IPアドレスを確認し、アプリケーションVMの内部IPアドレスを含むように変更されたDNSレコードで応答します。
C.
アプリケーションレコード(myglobalapp.terramearth.com)用のプライベートゾーンを設定し、アプリケーションVMの内部IPアドレスを指すようにします。このゾーンをVPCにバインドします。
D.
アプリケーションVMのエフェメラルIPアドレスを静的IPアドレスに昇格させ、この静的IPアドレスを各内部クライアントのhostsファイルに追加し、myglobalapp.terramearth.comのDNSレコードをこの新しい静的IPアドレスに変更します。
227問中 141-145問目
最初へ前へ2728293031次へ最後へ