← 試験一覧に戻る

Professional Cloud Network Engineer

Question 26

あなたのプロジェクト `my-project` には、Virtual Private Cloud (VPC) 内に2つのサブネットがあります。`subnet-a` (IP範囲 10.128.0.0/20) と `subnet-b` (IP範囲 172.16.0.0/24) です。あなたは `subnet-a` にデータベースサーバーをデプロイする必要があります。また、`subnet-b` にはアプリケーションサーバーとウェブサーバーをデプロイします。アプリケーションサーバーからデータベースサーバーへのデータベーストラフィックのみを許可するファイアウォールルールを設定したいと考えています。どうすればよいですか?

A.
ネットワークタグ `app-server` とサービスアカウント `sa-db@my-project.iam.gserviceaccount.com` を作成します。アプリケーションサーバーにタグを追加し、データベースサーバーにサービスアカウントを関連付けます。次のコマンドを実行します: `gcloud compute firewall-rules create app-db-firewall-rule --action allow --direction ingress --rules tcp:3306 --source-tags app-server --target-service-accounts sa-db@my-project.iam.gserviceaccount.com` (注: 元のコマンドの `--rules top:3306` は `tcp:3306` の誤記と思われます)
B.
サービスアカウント `sa-app@my-project.iam.gserviceaccount.com` と `sa-db@my-project.iam.gserviceaccount.com` を作成します。サービスアカウント `sa-app` をアプリケーションサーバーに関連付け、サービスアカウント `sa-db` をデータベースサーバーに関連付けます。次のコマンドを実行します: `gcloud compute firewall-rules create app-db-firewall-rule --allow TCP:3306 --source-service-accounts sa-app@my-project.iam.gserviceaccount.com --target-service-accounts sa-db@my-project.iam.gserviceaccount.com` (注: 元のコマンドのソースサービスアカウント名は `sa-app@democloud-idp-demo...` となっていますが、文脈から `sa-app@my-project...` が正しいと思われます)
C.
サービスアカウント `sa-app@my-project.iam.gserviceaccount.com` と `sa-db@my-project.iam.gserviceaccount.com` を作成します。サービスアカウント `sa-app` をアプリケーションサーバーに関連付け、サービスアカウント `sa-db` をデータベースサーバーに関連付けます。次のコマンドを実行します: `gcloud compute firewall-rules create app-db-firewall-rule --allow TCP:3306 --source-ranges 10.128.0.0/20 --source-service-accounts sa-app@my-project.iam.gserviceaccount.com --target-service-accounts sa-db@my-project.iam.gserviceaccount.com`
D.
ネットワークタグ `app-server` と `db-server` を作成します。アプリケーションサーバーに `app-server` タグを追加し、データベースサーバーに `db-server` タグを追加します。次のコマンドを実行します: `gcloud compute firewall-rules create app-db-firewall-rule --action allow --direction ingress --rules tcp:3306 --source-ranges 10.128.0.0/20 --source-tags app-server --target-tags db-server`
Question 27

あなたは、オンプレミス接続を含むGoogle Cloudでの大規模なアプリケーションデプロイを計画しています。このアプリケーションでは、すべてのリージョンとオンプレミスのロケーションにあるワークロード間で、アドレス変換なしの直接接続が必要です。しかし、オンプレミスのロケーションでは、すべてのRFC 1918範囲がすでに使用されています。あなたは何をすべきですか?

A.
複数のVPCネットワークを使用し、VPCネットワークピアリングを用いたトランジットネットワークを構成する。
B.
重複するRFC 1918範囲を、複数の分離されたVPCネットワークで使用する。
C.
重複するRFC 1918範囲を、複数の分離されたVPCネットワークとCloud NATで使用する。
D.
非RFC 1918範囲を、単一のグローバルVPCで使用する。
Question 28

あなたの会社のセキュリティチームは、セキュリティ脅威から保護するために、ウェブサーバーに到達できるインバウンドトラフィックの種類を制限したいと考えています。Virtual Private Cloud (VPC) 内のウェブサーバーで、TCPのみのHTTPおよびHTTPSウェブトラフィックを処理するようにファイアウォールルールを設定する必要があります。どうすればよいですか?

A.
ターゲットタグ「web-server」を持つ、一致時に許可するイングレスファイアウォールルールを作成し、TCPポート80に対してすべてのIPアドレスを許可する。
B.
ターゲットタグ「web-server」を持つ、一致時に許可するエグレスファイアウォールルールを作成し、TCPポート80に対してすべてのIPアドレスを許可する。
C.
ターゲットタグ「web-server」を持つ、一致時に許可するイングレスファイアウォールルールを作成し、TCPポート80および443に対してすべてのIPアドレスを許可する。
D.
ターゲットタグ「web-server」を持つ、一致時に許可するエグレスファイアウォールルールを作成し、TCPポート80および443に対してウェブサーバーのIPアドレスを許可する。
Question 29

あなたは単一の専用インターコネクトを正常にプロビジョニングしました。物理接続は us-west2 に最も近いコロケーション施設にあります。ワークロードの 75% は us-east4 にあり、残りの 25% は us-central1 にあります。すべてのワークロードは同じネットワークトラフィックプロファイルを持っています。VLAN アタッチメントをデプロイする際に、データ転送料金を最小限に抑える必要があります。どうすればよいですか?

A.
既存の専用インターコネクトを維持します。us-west2 の Cloud Router に VLAN アタッチメントをデプロイし、VPC グローバルルーティングを使用して us-east4 および us-central1 のワークロードにアクセスします。
B.
既存の専用インターコネクトを維持します。us-east4 の Cloud Router に VLAN アタッチメントをデプロイし、us-central1 の Cloud Router に別の VLAN アタッチメントをデプロイします。
C.
us-east4 に最も近いコロケーション施設用に新しい専用インターコネクトを注文し、VPC グローバルルーティングを使用して us-central1 のワークロードにアクセスします。
D.
us-central1 に最も近いコロケーション施設用に新しい専用インターコネクトを注文し、VPC グローバルルーティングを使用して us-east4 のワークロードにアクセスします。
Question 30

あなたはハイブリッドクラウド環境を設計しています。あなたのGoogle Cloud環境は、中央トランジットハブVPC内のHA VPNとCloud Routerを使用して、オンプレミスネットワークと相互接続されています。Cloud Routerはデフォルト設定で構成されています。オンプレミスのDNSサーバーは192.168.20.88にあります。複数のスポークVPC内のCompute Engineリソースが、corp.altostrat.comドメインを使用してオンプレミスのプライベートホスト名を解決できると同時に、Google Cloudのホスト名も解決できるようにする必要があります。Google推奨のプラクティスに従いたいと考えています。どうすべきですか?

A.
1. Cloud DNSで「corp.altostrat.com」用のプライベート転送ゾーン「corp-altostrat-com」を作成し、192.168.20.88を指すようにします。ゾーンをハブVPCに関連付けます。 2. Cloud DNSで「corp.altostrat.com」用のプライベートピアリングゾーン「corp-altostrat-com」を作成し、スポークVPCに関連付け、ハブVPCをターゲットとします。 3. Cloud Routerで35.199.192.0/19のカスタムルート広告を設定します。 4. スポークVPCでVPCピアリングを設定し、ハブVPCとピアリングします。
B.
1. Cloud DNSで「corp.altostrat.com」用のプライベート転送ゾーン「corp-altostrat-com」を作成し、192.168.20.88を指すようにします。 2. ゾーンをハブVPCに関連付けます。Cloud DNSで「corp.altostrat.com」用のプライベートピアリングゾーン「corp-altostrat-com」を作成し、スポークVPCに関連付け、ハブVPCをターゲットとします。 3. Cloud Routerで35.199.192.0/19のカスタムルート広告を設定します。
C.
1. Cloud DNSで「corp.altostrat.com」用のプライベート転送ゾーン「corp-altostrat-com」を作成し、192.168.20.88を指すようにします。ゾーンをハブVPCに関連付けます。 2. Cloud DNSで「corp.altostrat.com」用のプライベートピアリングゾーン「corp-altostrat-com」を作成し、スポークVPCに関連付け、ハブVPCをターゲットとします。 3. Cloud Routerで35.199.192.0/19のカスタムルート広告を設定します。 4. 各スポークVPCにハブアンドスポークVPNデプロイメントを作成し、オンプレミスネットワークに直接接続します。
D.
1. Cloud DNSで「corp.altostrat.com」用のプライベート転送ゾーン「corp-altostrat-com」を作成し、192.168.20.88を指すようにします。ゾーンをハブVPCに関連付けます。 2. Cloud DNSで「corp.altostrat.com」用のプライベートピアリングゾーン「corp-altostrat-com」を作成し、スポークVPCに関連付け、ハブVPCをターゲットとします。 3. Cloud Routerで35.199.192.0/19のカスタムルート広告を設定します。 4. 各スポークVPCにハブアンドスポークVPNデプロイメントを作成し、ハブVPCに接続します。
227問中 26-30問目
最初へ前へ45678次へ最後へ