← 試験一覧に戻る

Professional Cloud Network Engineer

Question 16

あなたの会社では、親フォルダと各部署ごとのサブフォルダを含むリソース階層を定義しています。各部署は、割り当てられたフォルダ内でそれぞれのプロジェクトとVPCを定義し、Google Cloud ファイアウォール ルールを作成するための適切な権限を持っています。VPC間でトラフィックが流れることは許可されるべきではありません。他のVPCを含むすべてのソースからのトラフィックをブロックし、VPC内のファイアウォールルールのみを各部署に委任する必要があります。どうすればよいですか?

A.
各VPCに、優先度0ですべてのソースからのトラフィックをブロックするVPCファイアウォールルールを作成する。
B.
各VPCに、優先度1000ですべてのソースからのトラフィックをブロックするVPCファイアウォールルールを作成する。
C.
各部署のフォルダごとに2つの階層型ファイアウォールポリシーを作成し、それぞれに2つのルールを設定する:高優先度ルール(各VPCに割り当てられたプライベートCIDRからのトラフィックに一致し、アクションを許可(allow)に設定)と、低優先度ルール(他のすべてのソースからのトラフィックをブロック)。
D.
各部署のフォルダごとに2つの階層型ファイアウォールポリシーを作成し、それぞれに2つのルールを設定する:高優先度ルール(各VPCに割り当てられたプライベートCIDRからのトラフィックに一致し、アクションを次へ進む(goto_next)に設定)と、低優先度ルール(他のすべてのソースからのトラフィックをブロック)。
Question 17

データ漏洩を防ぐために、境界内に2つのGoogle Cloudプロジェクトがあります。3番目のプロジェクトを境界内に移動する必要がありますが、その移動が既存の環境に悪影響を与える可能性があります。変更の影響を検証する必要があります。どうすればよいですか?

A.
3番目のプロジェクト内でファイアウォール ルール ロギングを有効にする。
B.
既存のVPC Service Controlsポリシーを変更して、新しいプロジェクトをドライラン モードで含める。
C.
境界内のResource Manager監査ログを監視する。
D.
3番目のプロジェクト内でVPCフローログを有効にし、ログで悪影響がないか監視する。
Question 18

あなたは、Virtual Private Cloud (VPC) とオンプレミスネットワーク間の HA VPN 接続を設定しています。VPN ゲートウェイの名前は VPN_GATEWAY_1 です。プロジェクトで作成される VPN トンネルが、オンプレミスの VPN パブリック IP アドレスである 203.0.113.1/32 にのみ接続するように制限する必要があります。どうすればよいですか?

A.
203.0.113.1/32 を許可するファイアウォールルールを設定し、ターゲットタグを VPN_GATEWAY_1 と同じに設定します。
B.
Resource Manager の制約 `constraints/compute.restrictVpnPeerIPs` を設定し、203.0.113.1/32 アドレスのみを含む allowList を使用するようにします。
C.
Google Cloud Armor セキュリティポリシーを設定し、203.0.113.1/32 を許可するポリシールールを作成します。
D.
ピア VPN ゲートウェイ(オンプレミス側)でアクセス制御リストを設定し、203.0.113.1/32 以外のすべてのトラフィックを拒否し、それをプライマリ外部インターフェースにアタッチします。
Question 19

あなたの会社は最近、オンプレミスのデータセンターとGoogle Cloud Virtual Private Cloud (VPC) の間にCloud VPNトンネルを設置しました。オンプレミスのサーバーからCloud Functions APIへのアクセスを設定する必要があります。設定は以下の要件を満たす必要があります。 • 特定のデータは保存されているプロジェクト内に留まり、他のプロジェクトに漏洩しないようにする必要があります。 • RFC 1918アドレスを持つデータセンター内のサーバーからのトラフィックは、Google Cloud APIへのアクセスにインターネットを使用しません。 • すべてのDNS解決はオンプレミスで行う必要があります。 • このソリューションは、VPC Service Controlsと互換性のあるAPIへのアクセスのみを提供する必要があります。 どうすればよいですか?

A.
1. 199.36.153.8/30のアドレス範囲を使用して、private.googleapis.comのAレコードを作成します。 2. *.googleapis.comのCNAMEレコードを作成し、そのAレコードを指すようにします。 3. オンプレミスのルーターを設定して、Aレコードで使用したアドレスのネクストホップとしてCloud VPNトンネルを使用するようにします。 4. Cloud VPNトンネルが終端するVPCからデフォルトのインターネットゲートウェイを削除します。
B.
1. 199.36.153.4/30のアドレス範囲を使用して、restricted.googleapis.comのAレコードを作成します。 2. *.googleapis.comのCNAMEレコードを作成し、そのAレコードを指すようにします。 3. オンプレミスのルーターを設定して、Aレコードで使用したアドレスのネクストホップとしてCloud VPNトンネルを使用するようにします。 4. オンプレミスのファイアウォールを設定して、restricted.googleapis.comのアドレスへのトラフィックを許可します。
C.
1. 199.36.153.4/30のアドレス範囲を使用して、restricted.googleapis.comのAレコードを作成します。 2. *.googleapis.comのCNAMEレコードを作成し、そのAレコードを指すようにします。 3. オンプレミスのルーターを設定して、Aレコードで使用したアドレスのネクストホップとしてCloud VPNトンネルを使用するようにします。 4. Cloud VPNトンネルが終端するVPCからデフォルトのインターネットゲートウェイを削除します。
D.
1. 199.36.153.8/30のアドレス範囲を使用して、private.googleapis.comのAレコードを作成します。 2. *.googleapis.comのCNAMEレコードを作成し、そのAレコードを指すようにします。 3. オンプレミスのルーターを設定して、Aレコードで使用したアドレスのネクストホップとしてCloud VPNトンネルを使用するようにします。 4. オンプレミスのファイアウォールを設定して、private.googleapis.comのアドレスへのトラフィックを許可します。
Question 20

Google Kubernetes Engine (GKE) クラスターを設定する必要があります。初期デプロイメントでは5つのノードが必要で、最大10ノードまでスケールする可能性があります。ノードあたりの最大Pod数は8です。サービス数は100から最大1024まで増加する可能性があります。この要件を最適に満たすために、IPスキーマをどのように設計すべきですか?

A.
ノードIPアドレス用に /28 のプライマリIPアドレス範囲を設定します。Pod用に /25 のセカンダリIP範囲を設定します。Service用に /22 のセカンダリIP範囲を設定します。
B.
ノードIPアドレス用に /28 のプライマリIPアドレス範囲を設定します。Pod用に /25 のセカンダリIP範囲を設定します。Service用に /21 のセカンダリIP範囲を設定します。
C.
ノードIPアドレス用に /28 のプライマリIPアドレス範囲を設定します。Pod用に /28 のセカンダリIP範囲を設定します。Service用に /21 のセカンダリIP範囲を設定します。
D.
ノードIPアドレス用に /28 のプライマリIPアドレス範囲を設定します。Pod用に /24 のセカンダリIP範囲を設定します。Service用に /22 のセカンダリIP範囲を設定します。
227問中 16-20問目
最初へ前へ23456次へ最後へ