Professional-Cloud-Network-Engineer日本語無料問題集「Google Cloud Certified - Professional Cloud Network Engineer (Professional-Cloud-Network-Engineer日本語版)」

質問 1

プロジェクト内のすべてのインスタンスは、カスタムメタデータのenable-oslogin 値が FALSE に設定され、プロジェクト全体の SSH キーをブロックするように構成されています。どのインスタンスにも SSH キーが設定されておらず、プロジェクト全体の SSH キーも構成されていません。ファイアウォールルールは、任意の IP アドレス範囲からの SSH セッションを許可するように設定されています。1 つのインスタンスに SSH 接続したいとします。
あなたは何をするべきか？

（A）gcloud compute ssh を使用してインスタンスに Cloud Shell SSH を開きます。

（B）カスタムメタデータの enable-oslogin を TRUE に設定し、putty や ssh などのサードパーティツールを使用してインスタンスに SSH 接続します。

（C）新しい SSH キーペアを生成します。公開キーの形式を確認し、プロジェクトに追加します。Putty や ssh などのサードパーティツールを使用してインスタンスに SSH 接続します。

（D）新しい SSH キーペアを生成します。秘密キーの形式を確認し、インスタンスに追加します。Putty や ssh などのサードパーティツールを使用してインスタンスに SSH 接続します。

正解：A 解答を投票する

質問 2

あなたは、3 層アプリケーションアーキテクチャをオンプレミスから Google Cloud に移行しています。移行の最初のステップとして、外部 HTTP(S) ロードバランサを使用して新しい Virtual Private Cloud (VPC) を作成します。このロードバランサーは、プレゼンテーション層を実行するオンプレミスのコンピューティングリソースにトラフィックを転送します。悪意のあるトラフィックが VPC に入り、エッジでリソースを消費するのを阻止する必要があるため、IP アドレスをフィルタリングし、クロスサイトスクリプティング (XSS) 攻撃を阻止するようにこのポリシーを構成する必要があります。あなたは何をするべきか？

（A）Google Cloud Armor ポリシーを作成し、アンマネージドインスタンスグループバックエンドを使用するバックエンドサービスに適用します。

（B）VPC ファイアウォールルールセットを作成し、それを非マネージドインスタンスグループ内のすべてのインスタンスに適用します。

（C）Google Cloud Armor ポリシーを作成し、インターネットネットワークエンドポイントグループ (NEG) バックエンドを使用するバックエンドサービスに適用します。

（D）階層型ファイアウォールルールセットを作成し、VPC の親組織リソースノードに適用します。

正解：C 解答を投票する

質問 3

オンプレミスネットワークと Google Cloud の間には、2 つの Partner Interconnect 接続が確立されています。Partner Interconnect 接続をホストする VPC の名前は「vpc-a」で、3 つのリージョンにまたがる 3 つの VPC サブネット、Compute Engine インスタンス、および GKE クラスタが含まれています。オンプレミスユーザーは、Google が推奨するプラクティスに従って、Cloud DNS プライベートゾーンでホストされているレコードを解決したいと考えています。オンプレミスユーザーが Google Cloud でホストされているレコードを解決できるようにするソリューションを実装する必要があります。どうすればよいですか。

（A）プライベートゾーンを「vpc-a」に関連付けます。送信転送ポリシーを作成し、そのポリシーを「vpc-a」に関連付けます。オンプレミスの DNS サーバーを構成して、ポリシーが「vpc-a」にアタッチされたときに作成されたエントリポイントアドレスにプライベートゾーンのクエリを転送します。

（B）プライベートゾーンを「vpc-a」に関連付けます。受信転送ポリシーを作成し、そのポリシーを「vpc-a」に関連付けます。オンプレミスの DNS サーバーを構成して、ポリシーが「vpc-a」にアタッチされたときに作成されたエントリポイントアドレスにプライベートゾーンのクエリを転送します。

（C）GKE クラスタの 1 つ内に DNS プロキシサービスを設定します。GKE 内の DNS プロキシサービスを内部ロードバランサとして公開します。オンプレミスの DNS サーバーを設定して、プライベートゾーンのクエリを内部ロードバランサの IP アドレスに転送します。

（D）カスタムルートアドバタイズメントを使用して、BGP 経由で 169.254.169.254 をオンプレミス環境に通知します。オンプレミス DNS サーバーを構成して、DNS 要求を 169.254.169.254 に転送します。

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 4

フロントエンドアプリケーション VM とバックエンドデータベース VM はすべて同じ VPC にデプロイされていますが、サブネットは異なります。グローバルネットワークファイアウォールポリシールールは、フロントエンド VM からバックエンド VM へのトラフィックを許可するように構成されています。最近のコンプライアンス要件に基づき、このトラフィックは、同じ VPC にデプロイされているネットワーク仮想アプライアンス (NVA) ファイアウォールによって検査される必要があります。NVA は完全なネットワークプロキシとして構成されており、NAT 許可トラフィックを送信します。NVA がサブネット間のトラフィックを検査できるように、VPC ルーティングを構成する必要があります。どうすればよいでしょうか。

（A）NVA を ilb1 という名前の内部パススルーネットワークロードバランサーの背後に配置します。グローバルネットワークファイアウォールポリシールールを追加して、NVA を通過するトラフィックを許可します。バックエンド VM サブネットの送信元 IP 範囲、フロントエンド VM サブネットの宛先 IP 範囲、および ilb1 のネクストホップを使用して、ポリシーベースルート (PBR) を作成します。バックエンドネットワークタグを使用して、PBR の範囲を VM に設定します。バックエンドサーバーにバックエンドネットワークタグを追加します。

（B）複数のインターフェイスを持つ NVA を作成します。バックエンドサブネットの NVA 用に NIC0 を構成します。フロントエンドサブネットの NVA 用に NIC1 を構成します。NVA を ilb1 という名前の内部パススルーネットワークロードバランサーの背後に配置します。グローバルネットワークファイアウォールポリシールールを追加して、NVA を通過するトラフィックを許可します。バックエンド VM サブネットの宛先 IP 範囲、フロントエンドインスタンスタグ、および ilb1 のネクストホップを使用して、カスタムの静的ルートを作成します。フロントエンド VM にフロントエンドネットワークタグを追加します。

（C）NVA を ilb1 という名前の内部パススルーネットワークロードバランサーの背後に配置します。グローバルネットワークファイアウォールポリシールールを追加して、NVA を通過するトラフィックを許可します。フロントエンド VM サブネットのソース IP 範囲、バックエンド VM サブネットの宛先 IP 範囲、および ilb1 のネクストホップを使用して、ポリシーベースルート (PBR) を作成します。フロントエンドネットワークタグを使用して、PBR のスコープを VM に設定します。フロントエンドサーバーにフロントエンドネットワークタグを追加します。

（D）NVA を ilb1 という名前の内部パススルーネットワークロードバランサーの背後に配置します。グローバルネットワークファイアウォールポリシールールを追加して、NVA を通過するトラフィックを許可します。バックエンド VM サブネットの宛先 IP 範囲、フロントエンドインスタンスタグ、および ilb1 のネクストホップを使用して、カスタム静的ルートを作成します。フロントエンド VM にフロントエンドネットワークタグを追加します。

正解：C 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 5

ポート 80、8080、および 443 を使用して、IPv4 と IPv6 の両方の仮想 IP アドレスの背後で外部に公開される新しい HTTP アプリケーションを構成しています。us-west1 と us-east1 の 2 つのリージョンにバックエンドがあります。高可用性と自動スケーリングを確保しながら、可能な限り低い遅延でコンテンツを提供し、HTTP ホスト名とリクエストパスを使用してネイティブコンテンツベースのルールを作成したいと考えています。ロードバランサーに接続するクライアントの IP アドレスは、バックエンドから認識できる必要があります。どの構成を使用する必要がありますか?

（A）ネットワーク負荷分散を使用する

（B）PROXY プロトコルを有効にして TCP プロキシロードバランシングを使用します。

（C）URL マップと X-Forwarded-For ヘッダーを使用した外部 HTTP(S) ロードバランシングを使用する

（D）URL マップとカスタムヘッダーを使用して外部 HTTP(S) 負荷分散を使用する

正解：C 解答を投票する

質問 6

質問：
外部のグローバルアプリケーションロードバランサを使用するメインアプリケーションのユーザー動作を確認したところ、クライアントリクエストの不規則な急増によりバックエンドサーバーが過負荷になっていることがわかりました。同時セッションを制限し、Google が推奨するプラクティスに従いながら、クライアントに HTTP 429「リクエストが多すぎます」応答を返す必要があります。どうすればよいですか。

（A）Cloud Armor セキュリティポリシーを作成し、そのポリシーをロードバランサーに関連付けます。セキュリティポリシーの設定を次のように構成します: action: throttle、conform-action: allow、exceed-action: deny-429。

（B）Linux で VM を構成し、iptables を通じてレート制限を実装し、ファイアウォールルールを使用して HTTP 429 応答をクライアントアプリケーションに送信します。

（C）ロードバランサーを構成して、クライアント IP アドレスごとに定義された量のリクエストのみを受け入れ、より多くのトラフィックをサポートするためにバックエンドサーバーを増やし、トラフィックをバーストするためにトラフィックを別のバックエンドにリダイレクトします。

（D）Cloud Armor セキュリティポリシーを作成し、定義済みの Open Worldwide Application Security Project (OWASP) ルールを適用して、クライアント IP アドレスごとのレート制限を自動的に実装します。

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 7

質問：
組織では、グローバル外部ウェブアプリケーションを Compute Engine から GKE にシームレスに移行したいと考えています。両方のアプリケーションを公開し、リクエストの 10% を新しいアプリケーションに送信する、シンプルなクラウドファーストソリューションをデプロイする必要があります。どうすればよいでしょうか。

（A）重み付けされたリクエストミラーリングを使用してグローバル外部 Application Load Balancer を構成します。

（B）2 つの個別のグローバル外部アプリケーションロードバランサを構成し、Cloud DNS 地理位置情報ルーティングポリシーを使用します。

（C）重み付けトラフィック分割を使用してグローバル外部アプリケーションロードバランサーを構成します。

（D）VM で実行されているアプリケーションを指すサービス拡張機能を使用してグローバル外部 Application Load Balancer を構成し、各アプリケーションに送信されるリクエストを制御します。

正解：C 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 8

最近、Cloud VPN をデプロイして、オンプレミスのデータキャンターを Google Cloud に接続しました。この VPN の使用状況を監視し、トラフィックが許容最大値を超えた場合に備えてアラートを設定する必要があります。追加のリンクを追加するか、専用インターコネクトに移行するかを迅速に決定できる必要があります。あなたは何をするべきか？

（A）Google Cloud Console で、モニタリングクエリ言語を使用して帯域幅使用率のカスタムアラートを作成します。

（B）Network Intelligence Canter で、VPN 上のパケットドロップの数を確認します。

（C）Google Cloud Console の [モニタリング] セクションで、[ダッシュボード] セクションを使用して VPN 使用のためのデフォルトのダッシュボードを選択します。

（D）Google Cloud Console の VPN セクションで、ハイブリッド接続で VPN を選択し、モニタリングを選択してダッシュボードに使用率を表示します。

正解：B 解答を投票する

質問 9

質問：
クライアントが特定の Google API に接続できるように、組織のアーキテクチャを設計しています。
計画には、Cloud Storage と BigQuery に接続する方法が含まれている必要があります。また、トラフィックがインターネットを通過しないようにする必要があります。ソリューションはクラウドファーストで、構成手順は最小限に抑える必要があります。どうすればよいでしょうか?

（A）サブネットリソースにプライベート Google アクセスを構成します。インターネットへのデフォルトルートを作成します。

（B）VPC リソースにプライベート Google アクセスを設定します。インターネットへのデフォルトルートを作成します。

（C）グローバル Secure Web Proxy を設定し、インターネットへのデフォルトルートを削除します。

（D）Cloud NAT を設定し、インターネットへのデフォルトルートを削除します。

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 10

個人の SSH キーがプロジェクト内のすべてのインスタンスで機能することを確認する必要があります。これをできるだけ効率的に達成したいと考えています。
あなたは何をするべきか？

（A）公開 SSH キーをプロジェクトのメタデータにアップロードします。

（B）公開 SSH キーを各インスタンスのメタデータにアップロードします。

（C）gcloud compute ssh を使用して、公開 SSH キーをインスタンスに自動的にコピーします。

（D）公開 ssh キーが埋め込まれたカスタム Google Compute Engine イメージを作成します。

正解：A 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 11

デフォルトの Virtual Private Cloud (VPC) 内の仮想マシン (VM) の 1 つがサービス拒否攻撃を受けている疑いがあります。トラフィックの送信元を理解するには、VM の受信トラフィックを分析する必要があります。あなたは何をするべきか？

（A）サブネットのデータアクセス監査ログを有効にします。ログを分析し、networks.get フィールドから送信元 IP アドレスを取得します。

（B）VPC の VPC フローログを有効にします。ログを分析し、src_location フィールドから送信元 IP アドレスを取得します。

（C）VPC のデータアクセス監査ログを有効にします。ログを分析し、subnetworks.get フィールドから送信元 IP アドレスを取得します。

（D）サブネットの VPC フローログを有効にします。ログを分析し、接続フィールドから送信元 IP アドレスを取得します。

正解：D 解答を投票する

質問 12

あなたの会社は最近、オンプレミスデータセンターと Google Cloud Virtual Private Cloud (VPC) の間に Cloud VPN トンネルを設置しました。オンプレミスサーバーの Cloud Functions API へのアクセスを構成する必要があります。構成は次の要件を満たす必要があります。
特定のデータは、それが保存されているプロジェクト内に保持し、他のプロジェクトに持ち出さないようにする必要があります。
RFC 1918 アドレスを持つデータセンター内のサーバーからのトラフィックは、インターネットを使用して Google Cloud API にアクセスしません。
すべての DNS 解決はオンプレミスで実行する必要があります。
このソリューションは、VPC Service Controls と互換性のある API へのアクセスのみを提供する必要があります。
あなたは何をするべきか？

（A）199.36.153.8/30 のアドレス範囲を使用して、private.googleapis.com の A レコードを作成します。
A レコードを指す *.googleapis.com の CNAME レコードを作成します。
A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミスルーターを構成します。
Cloud VPN トンネルが終了する VPC からデフォルトのインターネットゲートウェイを削除します。

（B）199.36.153.4/30 のアドレス範囲を使用して、restricted.googleapis.com の A レコードを作成します。
A レコードを指す *.googleapis.com の CNAME レコードを作成します。
A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミスルーターを構成します。
Cloud VPN トンネルが終了する VPC からデフォルトのインターネットゲートウェイを削除します。

（C）199.36.153.8/30 のアドレス範囲を使用して、private.googleapis.com の A レコードを作成します。
A レコードを指す *.googleapis.com の CNAME レコードを作成します。
A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミスルーターを構成します。private.googleapis.com アドレスへのトラフィックを許可するようにオンプレミスのファイアウォールを構成します。

（D）199.36.153.4/30 のアドレス範囲を使用して、restricted.googleapis.com の A レコードを作成します。
A レコードを指す *.googleapis.com の CNAME レコードを作成します。
A レコードで使用したアドレスのネクストホップとして Cloud VPN トンネルを使用するようにオンプレミスルーターを構成します。
オンプレミスのファイアウォールを構成して、restricted.googleapis.com アドレスへのトラフィックを許可します。

正解：B 解答を投票する

質問 13

VPC ネットワークピアリングを使用してスポークをハブに接続するハブアンドスポークアーキテクチャを Google Cloud 環境にデプロイしました。セキュリティ上の理由から、コントロールプレーンのプライベートエンドポイントを備えたスポークプロジェクトの 1 つにプライベート Google Kubernetes Engine (GKE) クラスターをデプロイしました。承認済みネットワークが、GKE ノードがデプロイされるサブネット範囲になるように構成しました。別のスポークプロジェクトから GKE コントロールプレーンにアクセスしようとしても、アクセスできません。他のスポークプロジェクトから GKE コントロールプレーンへのアクセスを許可する必要があります。あなたは何をするべきか？

（A）他のスポークプロジェクトからのポート 443 を許可するファイアウォールルールを追加します。

（B）GKE ノードがデプロイされているスポークプロジェクトにプロキシをデプロイし、プロキシを通じてコントロールプレーンに接続します。

（C）GKE ノードがデプロイされているサブネットで限定公開の Google アクセスを有効にします。

（D）承認されたネットワークが他のスポークプロジェクトのサブネット範囲になるように構成します。

正解：D 解答を投票する

質問 14

アプリケーションの HTTP(S) 負荷分散が有効になっていますが、HTTP(S) リクエストが Compute Engine 仮想マシンインスタンスに正しく分散されていないとアプリケーション開発者から報告されました。リクエストがどのように分散されているかに関するデータを見つけたいと考えています。
これを達成できる 2 つの方法はどれですか? (2つお選びください。)

（A）Stackdriver Monitoring で、[リソース] > [Google Cloud ロードバランサ] を選択し、ダッシュボードの主要指標グラフを確認します。

（B）GCP Console のロードバランサの詳細ページで、[モニタリング] タブをクリックし、バックエンドサービスを選択してグラフを確認します。

（C）Stackdriver Error Reporting で、Cloud Load Balancer サービスの未確認のエラーを探します。

（D）Stackdriver Monitoring で、新しいダッシュボードを作成し、ロードバランサの https/backend_request_count 指標を追跡します。

（E）Stackdriver Monitoring で、[リソース] > [Metrics Explorer] を選択し、https/request_bytes_count 指標を検索します。

正解：B、D 解答を投票する

質問 15

あなたの会社では、各部門の親フォルダーとサブフォルダーを含むリソース階層を定義しています。各部門は、割り当てられたフォルダ内でそれぞれのプロジェクトと VPC を定義し、Google Cloud ファイアウォールルールを作成するための適切な権限を持っています。VPC 間でトラフィックが流れることを許可してはなりません。他の VPC を含むあらゆる送信元からのすべてのトラフィックをブロックし、VPC 内のファイアウォールルールのみをそれぞれの部門に委任する必要があります。あなたは何をするべきか？

（A）部門のフォルダーごとに 2 つの階層型ファイアウォールポリシーを作成し、それぞれに 2 つのルールを作成します。1 つはそれぞれの VPC に割り当てられたプライベート CIDR からのトラフィックと一致し、アクションを許可するように設定する優先度の高いルール、もう 1 つはブロックする優先度の低いルールです。他のソースからのトラフィック。

（B）部門のフォルダーごとに 2 つの階層型ファイアウォールポリシーを作成し、それぞれに 2 つのルールを作成します。1 つはそれぞれの VPC に割り当てられたプライベート CIDR からのトラフィックと一致し、アクションを goto_next に設定する優先度の高いルール、もう 1 つはブロックする優先度の低いルールです。他のソースからのトラフィック。

（C）各 VPC に VPC ファイアウォールルールを作成し、優先度 1000 であらゆる送信元からのトラフィックをブロックします。

（D）各 VPC に VPC ファイアウォールルールを作成し、優先度 0 で任意の送信元からのトラフィックをブロックします。

正解：C 解答を投票する

質問 16

質問：
組織では、Cloud Interconnect 接続を介した転送中の暗号化を確実にするために、Cloud Interconnect 経由で HA VPN をデプロイしたいと考えています。5 Gbps の容量と BGP 構成を持つ Cloud Router と 2 つの暗号化された VLAN アタッチメントを作成しました。BGP セッションは動作可能です。Cloud Interconnect 経由で HA VPN のデプロイを完了する必要があります。何をすべきでしょうか。

（A）VLAN アタッチメントで Cloud Interconnect の MACsec を有効にします。

（B）HA VPN ゲートウェイを作成し、ゲートウェイを 2 つの暗号化された VLAN アタッチメントに関連付けます。
新しい専用の HA VPN Cloud Router ピア VPN ゲートウェイリソースと HA VPN トンネルを作成します。

（C）HA VPN ゲートウェイを作成し、そのゲートウェイを 2 つの暗号化された VLAN アタッチメントに関連付けます。
HA VPN Cloud Router、ピア VPN ゲートウェイリソース、および HA VPN トンネルを構成します。Cloud Interconnect 層に使用されているものと同じ Cloud Router を使用します。

（D）パートナー相互接続で MACsec を有効にします。

正解：C 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

質問 17

Google Cloud の Cloud Next Generation Firewall (Cloud NGFW) 侵入防止サービスの一部としてファイアウォールエンドポイントを構成しています。脅威防止セキュリティプロファイルを構成したので、トラフィック検査用のエンドポイントを作成する必要があります。何をすればよいでしょうか。

（A）リージョン内にファイアウォールエンドポイントを作成し、エンドポイントを VPC ネットワークに関連付け、ファイアウォールポリシールールを使用して L7 検査を適用します。

（B）ゾーン内にファイアウォールエンドポイントを作成し、エンドポイントを VPC ネットワークに関連付け、ファイアウォールポリシールールを使用して L7 検査を適用します。

（C）プロファイルを VPC ネットワークに接続し、ゾーン内にファイアウォールエンドポイントを作成し、ファイアウォールポリシールールを使用して L7 検査を適用します。

（D）ゾーン内に Private Service Connect エンドポイントを作成し、エンドポイントを VPC ネットワークに関連付け、ファイアウォールポリシールールを使用して L7 検査を適用します。

正解：B 解答を投票する

解説: (JPNTest メンバーにのみ表示されます)

Professional-Cloud-Network-Engineer日本語無料問題集「Google Cloud Certified - Professional Cloud Network Engineer (Professional-Cloud-Network-Engineer日本語版)」

弊社を連絡する

関連リンク

トップ試験

Professional-Cloud-Network-Engineer日本語 無料問題集「Google Cloud Certified - Professional Cloud Network Engineer (Professional-Cloud-Network-Engineer日本語版)」

弊社を連絡する

関連リンク

トップ試験

Professional-Cloud-Network-Engineer日本語無料問題集「Google Cloud Certified - Professional Cloud Network Engineer (Professional-Cloud-Network-Engineer日本語版)」