← 試験一覧に戻る

Professional Cloud Network Engineer

Question 221

あなたの Virtual Private Cloud (VPC) 内のいくつかのサブネットでプライベート Google アクセスを有効にする必要があります。セキュリティチームは、すべてのインターネット宛てのトラフィックをオンプレミスデータセンターに送り返して検査してからインターネットに出ていくように VPC を設定し、さらに API レベルのセキュリティ制御のために環境内で VPC Service Controls を実装しています。あなたはすでにサブネットでプライベート Google アクセスを有効にしています。セキュリティチームの要件に従いながらプライベート Google アクセスを有効にするには、どのような設定変更を行うべきですか?

A.
1. *.googleapis.com を restricted.googleapis.com に解決する CNAME レコードと、Google の制限付き API アドレス範囲を指す A レコードを持つプライベート DNS ゾーンを作成します。 2. Google の制限付き API アドレス範囲を、ネクストホップとしてデフォルトインターネットゲートウェイに向けるカスタムルートを作成します。
B.
1. *.googleapis.com を restricted.googleapis.com に解決する CNAME レコードと、Google の制限付き API アドレス範囲を指す A レコードを持つプライベート DNS ゾーンを作成します。 2. デフォルトルート (0.0.0.0/0) をネクストホップとしてデフォルトインターネットゲートウェイに向けるカスタムルートを変更します。
C.
1. *.googleapis.com を private.googleapis.com に解決する CNAME レコードと、Google のプライベート API アドレス範囲を指す A レコードを持つプライベート DNS ゾーンを作成します。 2. デフォルトルート (0.0.0.0/0) をネクストホップとしてデフォルトインターネットゲートウェイに向けるカスタムルートを変更します。
D.
1. *.googleapis.com を private.googleapis.com に解決する CNAME レコードと、Google のプライベート API アドレス範囲を指す A レコードを持つプライベート DNS ゾーンを作成します。 2. Google のプライベート API アドレス範囲を、ネクストホップとしてデフォルトインターネットゲートウェイに向けるカスタムルートを作成します。
Question 222

HTTP(S) ロードバランサをデプロイしましたが、Compute Engine 仮想マシンインスタンスのポート 80 へのヘルスチェックが失敗し、インスタンスにトラフィックが送信されません。この問題を解決したいと考えています。どのコマンドを実行する必要がありますか?

A.
gcloud compute instances add-access-config instance-1
B.
gcloud compute firewall-rules create allow-lb --network load-balancer --allow tcp --destination-ranges 130.211.0.0/22,35.191.0.0/16 --direction EGRESS
C.
gcloud compute firewall-rules create allow-lb --network load-balancer --allow tcp --source-ranges 130.211.0.0/22,35.191.0.0/16 --direction INGRESS
D.
gcloud compute health-checks update http health-check --unhealthy-threshold 10
Question 223

あなたは、Google Cloud環境にハブ&スポーク アーキテクチャをデプロイし、VPCネットワーク ピアリングを使用してスポークをハブに接続しました。セキュリティ上の理由から、スポーク プロジェクトの1つに、コントロールプレーン用のプライベート エンドポイントを持つプライベートGoogle Kubernetes Engine(GKE)クラスタをデプロイしました。承認済みネットワークには、GKEノードがデプロイされているサブネット範囲を設定しました。別のスポーク プロジェクトからGKEコントロールプレーンにアクセスしようとすると、アクセスできません。他のスポーク プロジェクトからGKEコントロールプレーンへのアクセスを許可する必要があります。どうすればよいですか?

A.
他のスポーク プロジェクトからのポート443を許可するファイアウォール ルールを追加する。
B.
GKEノードがデプロイされているサブネットでPrivate Google Accessを有効にする。
C.
承認済みネットワークに、他のスポーク プロジェクトのサブネット範囲を設定する。
D.
GKEノードがデプロイされているスポーク プロジェクトにプロキシをデプロイし、プロキシ経由でコントロールプレーンに接続する。
Question 224

あなたは最近、Google Cloudにアプリケーションをデプロイしました。オンプレミスのワークロードをデプロイする前に、Google Cloudのネットワーク設定を検証する必要があります。Google Cloudのネットワーク設定が、クラウドリソースからオンプレミスネットワークへのトラフィックフローを許可しているか確認したいと考えています。この検証では、データプレーンのテストトラフィックを送信せずに、Google Cloudネットワーク設定における潜在的な障害点を分析・診断する必要もあります。どうすればよいですか?

A.
Network Intelligence Centerの接続性テストを使用する。
B.
アプリケーションでパケットミラーリングを有効にし、テストトラフィックを送信する。
C.
Network Intelligence Centerのネットワークトポロジの可視化を使用する。
D.
VPCフローログを有効にし、テストトラフィックを送信する。
Question 225

あなたのGoogle Cloud組織には、DevとProdという2つのフォルダがあります。以下のファイアウォールルールを、すべての仮想マシン(VM)に対して、スケーラブルかつ一貫性のある方法で、最小限のコストで適用したいと考えています。 • Devフォルダ内のプロジェクトにあるVMでは、ポート8080を常に開いておく必要があります。 • Prodフォルダ内のプロジェクトにあるすべてのVMでは、ポート8080へのすべてのトラフィックを拒否する必要があります。 どうすればよいですか?

A.
ポート8080を開くルールを持つファイアウォールポリシーを作成し、Devフォルダに関連付けます。ポート8080へのトラフィックを拒否するルールを持つファイアウォールポリシーを作成し、Prodフォルダに関連付けます。
B.
Devプロジェクト用に共有VPCを、Prodプロジェクト用に共有VPCを作成します。Dev用の共有VPCでポート8080を開くVPCファイアウォールルールを作成します。Prod用の共有VPCでポート8080へのトラフィックを拒否するファイアウォールルールを作成します。VMをそれらの共有VPCにデプロイします。
C.
DevプロジェクトのすべてのVPCで、ポート8080を開くVPCファイアウォールルールを作成します。ProdプロジェクトのすべてのVPCで、ポート8080へのトラフィックを拒否するVPCファイアウォールルールを作成します。
D.
Anthos Config Connectorを使用して、Dev VMでポート8080を開き、Prod VMでポート8080へのトラフィックを拒否するセキュリティポリシーを適用します。
227問中 221-225問目
最初へ前へ4243444546次へ最後へ