2 つの Google Cloud VPC 10.1.0.0/16 と 172.16.0.0/16 の間に作成した VPN トンネルのボーダー ゲートウェイ プロトコル (BGP) セッションを構成する必要があります。10.1.0.0/16 ネットワークに Cloud Router (router-1) があり、172.16.0.0/16 ネットワークに 2 番目の Cloud Router (router-2) があります。BGP セッションにはどの構成を使用する必要がありますか?
A.
B.
C.
D.
正解:C
質問 2:
あなたは、Google Cloud で会社のファイアウォール ポリシーを構成する責任があります。セキュリティ チームには、ファイアウォール ルールを構成するために満たさなければならない一連の厳格な要件があります。
企業 IP アドレスからの Secure Shell (SSH) を常に許可します。
他のすべての IP アドレスからの SSH アクセスを制限します。
Google Cloud 組織には複数のプロジェクトと VPC があります。他の VPC ファイアウォール ルールがセキュリティ チームの要件をバイパスできないことを確認する必要があります。あなたは何をするべきか?
A. 優先度 1 の企業 IP アドレスの TCP ポート 22 を許可するように組織ノードに階層型ファイアウォール ポリシーを構成します。優先度 0 のすべての IP アドレスに対して TCP ポート 22 を拒否するように組織ノードに階層型ファイアウォール ポリシーを構成します。
B. 優先度 1 の企業 IP アドレスの TCP ポート 22 を許可するように VPC ファイアウォール ルールを構成します。
優先度 0 のすべての IP アドレスに対して TCP ポート 22 を拒否するように VPC ファイアウォール ルールを構成します。
C. 組織ノードに対して階層型ファイアウォール ポリシーを構成し、優先度 0 の企業 IP アドレスの TCP ポート 22 を許可します。
優先順位 1 のすべての IP アドレスに対して TCP ポート 22 を拒否するように、組織ノードに対して階層型ファイアウォール ポリシーを構成します。
D. 優先度 0 の企業 IP アドレスの TCP ポート 22 を許可するように VPC ファイアウォール ルールを構成します。
優先度 1 のすべての IP アドレスに対して TCP ポート 22 を拒否するように VPC ファイアウォール ルールを構成します。
正解:C
質問 3:
あなたは GCP への移行計画の初期段階にいます。本番環境への実装を開始する前に、ハイブリッド クラウド設計の機能をテストしたいと考えています。この設計には、プライベート IP アドレスを使用してオンプレミス サーバーと通信する必要がある Compute Engine 仮想マシン インスタンス上で実行されるサービスが含まれています。オンプレミス サーバーはインターネットに接続できますが、Cloud Interconnect 接続はまだ確立されていません。インスタンスとオンプレミス サーバー間の接続を有効にする最も低コストの方法を選択し、テストを 24 時間以内に完了したいと考えています。
どの接続方法を選択する必要がありますか?
A. 単一の VLAN アタッチメントを備えた専用インターコネクト
B. クラウド VPN
C. 50 Mbps パートナー VLAN アタッチメント
D. 専用相互接続ですが、VLAN アタッチメントをプロビジョニングしません
正解:B
質問 4:
トラフィックを検査するためにサードパーティの次世代ファイアウォールを使用しています。送信トラフィックをファイアウォールにルーティングするカスタム ルート 0.0.0.0/0 を作成しました。パブリック IP アドレスを持たない VPC インスタンスが、ファイアウォールを介してトラフィックを送信せずに BigQuery および Cloud Pub/Sub API にアクセスできるようにしたいと考えています。
どの 2 つのアクションを取る必要がありますか? (2つお選びください。)
A. VPC レベルでプライベート サービス アクセスをオンにします。
B. デフォルトのインターネット ゲートウェイ経由で Google API およびサービスの外部 IP アドレスにトラフィックを送信するためのカスタム静的ルートのセットを作成します。
C. デフォルトのインターネット ゲートウェイ経由で Google API およびサービスの内部 IP アドレスにトラフィックを送信するためのカスタム静的ルートのセットを作成します。
D. サブネット レベルで限定公開の Google アクセスをオンにします。
E. VPC レベルで限定公開の Google アクセスを有効にします。
正解:B,D
解説: (Pass4Test メンバーにのみ表示されます)
質問 5:
単一の Dended Interconnect が正常にプロビジョニングされました。物理接続は、us-west2 に最も近いコロケーション施設にあります。ワークロードの 75% は us-east4 にあり、ワークロードの残りの 25% は us-central1 にあります。すべてのワークロードは同じネットワーク トラフィック プロファイルを持ちます。VLAN アタッチメントを展開するときは、データ転送コストを最小限に抑える必要があります。あなたは何をするべきか?
A. us-east4 に最も近いコロケーション施設用に新しい専用インターコネクトを注文し、VPC グローバル ルーティングを使用して us-central1 のワークロードにアクセスします。
B. us-central1 に最も近いコロケーション施設用に新しい専用インターコネクトを注文し、VPC グローバル ルーティングを使用して us-east4 のワークロードにアクセスします。
C. 既存の専用インターコネクトを維持します。VLAN アタッチメントを us-west2 の Cloud Router にデプロイし、VPC グローバル ルーティングを使用して us-east4 と us-central1 のワークロードにアクセスします。
D. 既存の専用インターコネクトを維持します。VLAN アタッチメントを us-east4 の Cloud Router にデプロイし、別の VLAN アタッチメントを us-central1 の Cloud Router にデプロイします。
正解:A
質問 6:
特定の IP アドレスのみが接続できるように、Google Cloud 負荷分散アプリケーションへのアクセスを制限する必要があります。
あなたは何をするべきか?
A. バックエンド インスタンスに「アプリケーション」というラベルを付け、ターゲット ラベル「アプリケーション」、許可されたクライアントのソース IP 範囲と Google ヘルス チェックの IP 範囲を使用してファイアウォール ルールを作成します。
B. VPC Service Controls を使用して安全な境界を作成し、許可されたクライアントのソース IP 範囲と Google ヘルスチェックの IP 範囲に制限されたサービスとしてロード バランサーをマークします。
C. VPC Service Controls の Access Context Manager 機能を使用して安全な境界を作成し、許可されたクライアントのソース IP 範囲と Google ヘルスチェックの IP 範囲へのアクセスを制限します。
D. バックエンド インスタンスに「アプリケーション」というタグを付け、ターゲット タグ「アプリケーション」、許可されたクライアントのソース IP 範囲、および Google ヘルス チェックの IP 範囲を使用してファイアウォール ルールを作成します。
正解:D
解説: (Pass4Test メンバーにのみ表示されます)
Mizusawa -
休みの時間をかけて練習を全部勉強して、試験合格しました。よかったです。ありがとうございました。