Professional-Cloud-DevOps-Engineer日本語のPDF問題集で2024年03月15日最近更新された問題 [Q11-Q34]

Professional-Cloud-DevOps-Engineer日本語のPDF問題集で2024年03月15日最近更新された問題

Professional-Cloud-DevOps-Engineer日本語試験問題有効なProfessional-Cloud-DevOps-Engineer日本語問題集PDF

質問 # 11
セキュリティを左にシフトするという企業の取り組みの一環として、infoSec チームはすべてのチームに、信頼され承認されたイメージのデプロイのみを許可するガード レールをすべての Google Kubernetes Engine (GKE) クラスタに実装するよう求めています。 InfoSec チームの目標は、セキュリティを左にシフトすることです。
あなたは何をするべきか？

• A. Falco または Twistlock を GKE にデプロイして、実行中の Pod の脆弱性をモニタリングします。
• B. Artifact Registry でコンテナー分析を有効にし、コンテナー イメージ内の一般的な脆弱性と露出 (CVE) を確認します。
• C. Binary Authorization を使用して、CI CD パイプライン中にイメージを証明します
• D. Identity and Access Management (1AM) ポリシーを構成して、GKE クラスタに最小権限モデルを作成する

正解：C

解説：
Explanation
The best option for implementing guard rails on all GKE clusters to only allow the deployment of trusted and approved images is to use Binary Authorization to attest images during your CI/CD pipeline. Binary Authorization is a feature that allows you to enforce signature-based validation when deploying container images. You can use Binary Authorization to create policies that specify which images are allowed or denied in your GKE clusters. You can also use Binary Authorization to attest images during your CI/CD pipeline by using tools such as Container Analysis or third-party integrations. An attestation is a digital signature that certifies that an image meets certain criteria, such as passing vulnerability scans or code reviews. By using Binary Authorization to attest images during your CI/CD pipeline, you can ensure that only trusted and approved images are deployed to your GKE clusters.

質問 # 12
あなたは、開発、品質保証 (QA)、実稼働という 3 つの異なる環境を備えたシステムを設計しています。
各環境は Terraform でデプロイされ、アプリケーション チームがアプリケーションをデプロイできるように、Google Kubemetes Engine (GKE) クラスターが作成されます。Anthos Config Management は、各 GKE クラスタにインフラストラクチャ レベルのリソースをデプロイするために使用およびテンプレート化されます。すべてのユーザー (インフラストラクチャ オペレータやアプリケーション所有者など) が GitOps を使用します。Infrastructure as Code (laC) とアプリケーション コードの両方のソース管理リポジトリをどのように構成すればよいでしょうか?

• A. クラウド インフラストラクチャ (Terraform) リポジトリが共有されています: 異なるブランチは異なる環境です GKE インフラストラクチャ (Anthos Config Management KusTOMize マニフェスト) リポジトリが共有されています: 異なるオーバーレイ ディレクトリは異なる環境です アプリケーション (アプリのソース コード) リポジトリが共有されています:
  ディレクトリが異なれば機能も異なります
• B. クラウド インフラストラクチャ (Terraform) リポジトリが共有されています: 異なるディレクトリは異なる環境です GKE インフラストラクチャ (Anthos Config Management KusTOMize マニフェスト) リポジトリが共有されています: 異なるオーバーレイ ディレクトリは異なる環境です アプリケーション (アプリのソース コード) リポジトリは分離されています:
  ブランチが異なれば機能も異なります
• C. クラウド インフラストラクチャ (Terraform) リポジトリが分離されている: 異なるブランチは異なる環境 GKE インフラストラクチャ (Anthos Config Management KusTOMize マニフェスト) リポジトリが分離されている: 異なるオーバーレイ ディレクトリが異なる環境 アプリケーション (アプリのソース コード) リポジトリが分離されている: 異なるブランチがさまざまな機能
• D. クラウド インフラストラクチャ (Terraform) リポジトリは共有されます。異なるディレクトリは異なる環境です。GKE インフラストラクチャ（Anthos Config Management KusTOMize マニフェスト）リポジトリは分離されています。
  異なるブランチは異なる環境です アプリケーション (アプリのソース コード) リポジトリは分離されています。
  ブランチが異なれば機能も異なります

正解：D

解説：
Explanation
The correct answer is B. Cloud Infrastructure (Terraform) repository is shared: different directories are different environments. GKE Infrastructure (Anthos Config Management Kustomize manifests) repositories are separated: different branches are different environments. Application (app source code) repositories are separated: different branches are different features.
This answer follows the best practices for using Terraform and Anthos Config Management with GitOps, as described in the following sources:
For Terraform, it is recommended to use a single repository for all environments, and use directories to separate them. This way, you can reuse the same Terraform modules and configurations across environments, and avoid code duplication and drift. You can also use Terraform workspaces to isolate the state files for each environment12.
For Anthos Config Management, it is recommended to use separate repositories for each environment, and use branches to separate the clusters within each environment. This way, you can enforce different policies and configurations for each environment, and use pull requests to promote changes across environments. You can also use Kustomize to create overlays for each cluster that apply specific patches or customizations34.
For application code, it is recommended to use separate repositories for each application, and use branches to separate the features or bug fixes for each application. This way, you can isolate the development and testing of each application, and use pull requests to merge changes into the main branch. You can also use tags or labels to trigger deployments to different environments5 .
References:
1: Best practices for using Terraform | Google Cloud
2: Terraform Recommended Practices - Part 1 | Terraform - HashiCorp Learn
3: Deploy Anthos on GKE with Terraform part 1: GitOps with Config Sync | Google Cloud Blog
4: Using Kustomize with Anthos Config Management | Anthos Config Management Documentation | Google Cloud
5: Deploy Anthos on GKE with Terraform part 3: Continuous Delivery with Cloud Build | Google Cloud Blog GitOps-style continuous delivery with Cloud Build | Cloud Build Documentation | Google Cloud

質問 # 13
Compute Engine でホストされているウェブ アプリケーションをサポートしているとします。このアプリケーションは、数千人のユーザーに予約サービスを提供します。新機能のリリース直後、監視ダッシュボードには、すべてのユーザーがログイン時に遅延を経験していることが表示されます。サービスのユーザーに対するインシデントの影響を軽減したいと考えています。まず何をすべきでしょうか?

• A. 新しいリリースをデプロイして、問題が解決されるかどうかを確認します。
• B. Stackdriver モニタリングを確認します。
• C. 最近のリリースをロールバックします。
• D. ログイン サービスを実行している仮想マシンをアップサイズします。

正解：D

解説：
Rollback to previous stable version. Then you need to find what is causing the issue.

質問 # 14
Cl パイプラインを構成しています。Cl パイプライン統合テストのビルド ステップでは、プライベート VPC ネットワーク内の API にアクセスする必要があります。セキュリティ チームは、API トラフィックを公に公開しないことを要求しています。管理オーバーヘッドを最小限に抑えるソリューションを実装する必要があります。あなたは何をするべきか？

• A. Cloud Build プライベート プールを使用してプライベート VPC に接続します。
• B. Cloud Build をパイプライン ランナーとして使用します。API アクセス用に内部 HTTP(S) ロード バランシングを構成します。
• C. Cloud Build をパイプライン ランナーとして使用します。API アクセス用の Google Cloud Armor ポリシーを使用して外部 HTTP(S) ロード バランシングを構成します。
• D. Spinnaker for Google Cloud を使用してプライベート VPC に接続します。

正解：A

解説：
Cloud Build is a service that executes your builds on Google Cloud Platform infrastructure1. Cloud Build can be used as a pipeline runner for your CI pipeline, which is a process that automates the integration and testing of your code2. Cloud Build private pools are private, dedicated pools of workers that offer greater customization over the build environment, including the ability to access resources in a private VPC network3. A VPC network is a virtual network that provides connectivity for your Google Cloud resources and services. By using Cloud Build private pools, you can implement a solution that minimizes management overhead, as Cloud Build private pools are hosted and fully-managed by Cloud Build and scale up and down to zero, with no infrastructure to set up, upgrade, or scale3. You can also implement a solution that meets your security requirement, as Cloud Build private pools use network peering to connect into your private VPC network and do not expose API traffic publicly.

質問 # 15
開発チームは、サービスの API の新しいバージョンを作成しました。サードパーティの開発者や、サードパーティがインストールしたアプリケーションのエンド ユーザーへの影響を最小限に抑えながら、新しいバージョンの API をデプロイする必要があります。あなたは何をするべきか？

• A. 新しいバージョンの API を導入します。
  古いバージョンの API の廃止を発表します。
  古いバージョンの API を非推奨にします。
  古い API の残りのユーザーに問い合わせてください。
  古い API のユーザーにベスト エフォート型のサポートを提供します。
  古いバージョンの API を無効にします。
• B. 古いバージョンの API の廃止を発表します。
  古い API の残りのユーザーに問い合わせてください。
  新しいバージョンの API を導入します。
  古いバージョンの API を非推奨にします。
  古い API のユーザーにベスト エフォート型のサポートを提供します。
  古いバージョンの API を無効にします。
• C. API の新しいバージョンを導入します。
  古い API の残りのユーザーに問い合わせてください。
  古いバージョンの API の廃止を発表します。
  古いバージョンの API を非推奨にします。
  古いバージョンの API を無効にします。
  古い API のユーザーにベスト エフォート型のサポートを提供します。
• D. 古いバージョンの API の廃止を発表します。
  新しいバージョンの API を導入します。
  古い API の残りのユーザーに問い合わせてください。
  古いバージョンの API を非推奨にします。
  古いバージョンの API を無効にします。
  古い API のユーザーにベスト エフォート型のサポートを提供します。

正解：A

質問 # 16
明確に定義されたサービス レベル目標 (SLO) を持つサービスをサポートします。過去 6 か月間、貴社のサービスは一貫して SLO を満たしており、顧客満足度も一貫して高くなっています。サービスの運用タスクのほとんどは自動化されており、頻繁に発生する反復的なタスクはほとんどありません。サイト信頼性エンジニアリングのベスト プラクティスに従いながら、信頼性と導入速度のバランスを最適化したいと考えています。あなたは何をするべきか？(2つお選びください。)

• A. エンジニアリング時間をより信頼性が必要な他のサービスに移します。
• B. サービスの SLO を厳しくします。
• C. サービスの導入速度やリスクを高めます。
• D. サービス レベル インジケーター (SLI) の実装を変更して、適用範囲を拡大します。
• E. 製品チームに新機能よりも信頼性への取り組みを優先させます。

正解：A、C

解説：
(https://sre.google/workbook/implementing-slos/#slo-decision-matrix)

質問 # 17
インフラストラクチャを定義する Terraform テンプレートを作成および変更するのはユーザーの責任です。2 人の新しいエンジニアも同じコードに取り組むことになるため、プロセスを定義し、お互いのコードを上書きしないようにするツールを導入する必要があります。また、最新バージョンのすべての更新を確実にキャプチャする必要もあります。あなたは何をするべきか？

• A. * ファイルを整理する定義されたフォルダー構造内の Google ドライブにコードをテキスト ファイルとして保存します。
  * 毎日の終わりに。すべての変更がフォルダー構造内のファイルにキャプチャされていることを確認します。
  * バージョンをインクリメントする事前定義された命名規則に従ってフォルダー構造の名前を変更します。
• B. * コードを Git ベースのバージョン管理システムに保存します。
  * 開発者が毎日の終わりに自分の変更をマージできるプロセスを確立します。
  * コードをパッケージ化して、バージョン管理された Cloud Storage バケットに最新のマスター バージョンとしてアップロードします。
• C. * ファイルを整理する定義されたフォルダー構造内の Google ドライブにコードをテキスト ファイルとして保存します。
  * 毎日の終わりに、すべての変更がフォルダー構造内のファイルにキャプチャされていることを確認し、事前定義された命名規則で新しい .zip アーカイブを作成します。
  * .zip アーカイブをバージョン管理された Cloud Storage バケットにアップロードし、最新バージョンとして受け入れます。
• D. * コードを Git ベースのバージョン管理システムに保存します。
  * コードを統合する前に、ピアによるコード レビューと単体テストを含むプロセスを確立して、整合性と機能を確認します。
  * リポジトリに完全に統合されたコードが最新のマスター バージョンになるプロセスを確立します。

正解：D

質問 # 18
ユーザー向け Web アプリケーションをサポートしている 過去 6 か月間、アプリケーションのエラー バジェットを分析したところ、アプリケーションがエラー バジェットの 5% を超えて消費したことがないことに気づきました ビジネス関係者と SLO レビューを開催し、SLO が適切に設定されていることを確認しましたアプリケーションの信頼性がその SLO をより正確に反映するようにしたいと考えています。速度、信頼性、ビジネス ニーズのバランスをとりながら、その目標をさらに進めるためにどのような手順を実行できますか?
2 つの答えを選択してください

• A. アプリケーションのリリースがより頻繁であるか、潜在的にリスクがある
• B. 計画的なダウンタイムを発表して、より多くのエラー バジェットを消費し、ユーザーがより厳しい SLO に依存しないようにします。
• C. アプリケーションに利用可能な他のすべての SLI を実装して測定します。
• D. アプリケーションのすべてのゾーンに処理能力を追加します。
• E. アプリケーションの観測された信頼性に一致するように SLO を厳しくします。

正解：A、E

解説：
The best options for furthering your application's reliability goal while balancing velocity, reliability, and business needs are to have more frequent or potentially risky application releases and to tighten the SLO to match the application's observed reliability. Having more frequent or potentially risky application releases can help you increase the change velocity and deliver new features faster. However, this also increases the likelihood of consuming more error budget and reducing the reliability of your service. Therefore, you should monitor your error budget consumption and adjust your release policies accordingly. For example, you can freeze or slow down releases when the error budget is low, or accelerate releases when the error budget is high. Tightening the SLO to match the application's observed reliability can help you align your service quality with your users' expectations and business needs. However, this also means that you have less room for error and need to maintain a higher level of reliability. Therefore, you should ensure that your SLO is realistic and achievable, and that you have sufficient engineering resources and processes to meet it.

質問 # 19
マイクロサービス アーキテクチャを使用してトラフィックの多い Web アプリケーションをサポートするとします。アプリケーションのホームページには、現在の天気、株価、ニュースの見出しなどのコンテンツを含む複数のウィジェットが表示されます。メインの処理スレッドは、各ウィジェットの専用マイクロサービスを呼び出し、ユーザーのためにホームページをレイアウトします。マイクロサービスは時々失敗します。その場合、提供スレッドは一部のコンテンツが欠落している状態でホームページを提供します。アプリケーションのユーザーは、この劣化モードが頻繁に発生すると不満を感じますが、コンテンツをまったく提供しないよりは、何らかのコンテンツを提供したいと考えます。ユーザー エクスペリエンスが過度に低下しないようにサービス レベル目標 (SLO) を設定したいと考えています。これを測定するにはどのサービス レベル インジケーター (SLI) を使用する必要がありますか?

• A. 可用性 SLI: マイクロサービスの総数に対する正常なマイクロサービスの割合
• B. 品質 SLI: 総応答に対する非劣化応答の割合
• C. 鮮度 SLI: 過去 10 分間に更新されたウィジェットの割合
• D. レイテンシー SLI: マイクロサービス呼び出しの総数に対する 100 ミリ秒未満で完了するマイクロサービス呼び出しの割合

正解：A

解説：
https://cloud.google.com/blog/products/gcp/available-or-not-that-is-the-question-cre-life-lessons

質問 # 20
チームが 3 つの Google Kubernetes Engine (GKE) 環境にアプリケーションをデプロイしている 開発ステージングと本番環境 GitHub リポストンを信頼できる情報源として使用している 3 つの環境が一貫していることを確認する必要がある Google が推奨するプラクティスに従って、ネットワーク ポリシーを適用およびインストールしたいそれらの環境内のすべての GKE クラスタにロギング DaemonSet が必要です。どうすればよいでしょうか。

• A. Cloud Build を使用してネットワーク ポリシーをレンダリングおよびデプロイし、DaemonSet Set up Config Sync を使用して 3 つの環境の構成を同期します。
• B. Google Cloud Deploy を使用してネットワーク ポリシーと DaemonSet をデプロイします。ネットワーク ポリシーと DaemonSet がリポジトリ内のソースから逸脱した場合に、Cloud Monitoring を使用してアラートをトリガーします。
• C. Google Cloud Deploy を使用して DaemonSet をデプロイし、Policy Controller を使用してネットワーク ポリシーを構成します。 Cloud Monitoring を使用してリポジトリ内のソースからのドリフトを検出し、Cloud Functions を使用してドリフトを修正します。
• D. Cloud Build を使用してネットワーク ポリシーと DaemonSet をレンダリングおよびデプロイします。ポリシー コントローラーをセットアップして 3 つの環境の構成を適用します。

正解：A

解説：
Explanation
The best option for ensuring that the three environments are consistent and following Google-recommended practices is to use Cloud Build to render and deploy the network policies and the DaemonSet, and set up Config Sync to sync the configurations for the three environments. Cloud Build is a service that executes your builds on Google Cloud infrastructure. You can use Cloud Build to render and deploy your network policies and DaemonSet as code using tools like Kustomize, Helm, or kpt. Config Sync is a feature that enables you to manage the configurations of your GKE clusters from a single source of truth, such as a Git repository. You can use Config Sync to sync the configurations for your development, staging, and production environments and ensure that they are consistent.

質問 # 21
Spinnaker を使用してアプリケーションをデプロイし、パイプラインにカナリア デプロイメント ステージを作成しました。アプリケーションには、起動時にオブジェクトをロードするメモリ内キャッシュがあります。カナリア バージョンと製品バージョンの比較を自動化したいと考えています。カナリア分析をどのように構成すればよいでしょうか?

• A. カナリアを以前の製品バージョンの新しいデプロイメントと比較します。
• B. カナリアを現在の運用バージョンの既存のデプロイメントと比較します。
• C. カナリアを以前の製品バージョンのスライディング ウィンドウの平均パフォーマンスと比較します。
• D. カナリアを現在の製品バージョンの新しいデプロイメントと比較します。

正解：D

解説：
Explanation
https://cloud.google.com/architecture/automated-canary-analysis-kubernetes-engine-spinnaker
https://spinnaker.io/guides/user/canary/best-practices/#compare-canary-against-baseline-not-against-production

質問 # 22
組織が Helm を使用してコンテナ化されたアプリケーションをパッケージ化している アプリケーションがパブリック チャートとプライベート チャートの両方を参照している セキュリティ チームが、パブリック Helm リポジトリを依存関係として使用することはリスクであるとフラグを立てている ネイティブ アクセス コントロールと VPC Service Controls を使用して、すべてのチャートを均一に管理したいやるべきですか？

• A. Git リポジトリを使用してパブリック チャートとプライベート チャートを保存する リポジトリの内容を Cloud Storage バケットに同期するように Cloud Build を構成する https:// [bucket] を使用して Helm をバケットに接続する
  Helm リポジトリとして .srorage.googleapis.com/ [holnchart]
• B. Google Workspace を ID プロバイダーとして GitHub Enterprise を使用して、パブリック グラフとプライベート グラフを保存します。
• C. Artifact Registry を使用して、パブリック チャートとプライベート チャートを OCI 形式で保存します
• D. Cloud Storage バケットをストレージ バックエンドとして使用して、Google Kubernetes Engine (GKE) で実行されるように Helm チャート リポジトリ サーバーを構成します。

正解：C

解説：
Explanation
The best option for managing all charts uniformly, with native access control and VPC Service Controls is to store public and private charts in OCI format by using Artifact Registry. Artifact Registry is a service that allows you to store and manage container images and other artifacts in Google Cloud. Artifact Registry supports OCI format, which is an open standard for storing container images and other artifacts such as Helm charts. You can use Artifact Registry to store public and private charts in OCI format and manage them uniformly. You can also use Artifact Registry's native access control features, such as IAM policies and VPC Service Controls, to secure your charts and control who can access them.

質問 # 23
アプリケーションを Cloud Run にデプロイしています。アプリケーションを起動するにはパスワードが必要です。組織では、すべてのパスワードを 24 時間ごとにローテーションすることが要求されており、アプリケーションには最新のパスワードが必要です。ダウンタイムなしでアプリケーションをデプロイする必要があります。あなたは何をするべきか？

• A. パスワードを Secret Manager に保存し、アプリケーション内のボリュームとしてシークレットをマウントします。
• B. Cloud Build を使用して、ビルド時にパスワードをアプリケーション コンテナに追加します。Artifact Registry がパブリック アクセスから保護されていることを確認します。
• C. パスワードを Secret Manager に保存し、環境変数を使用してアプリケーションにシークレットを送信します。
• D. パスワードをコードに直接保存します。パスワードが変更されるたびに、Cloud Build を使用してアプリケーションを再構築してデプロイします。

正解：A

解説：
Explanation
The correct answer is B. Store the password in Secret Manager and mount the secret as a volume within the application.
Secret Manager is a service that allows you to securely store and manage sensitive data such as passwords, API keys, certificates, and tokens. You can use Secret Manager to rotate your secrets automatically or manually, and access them from your Cloud Run applications1.
There are two ways to use secrets from Secret Manager in Cloud Run:
As environment variables: You can set environment variables that point to secrets in Secret Manager.
Cloud Run will resolve the secrets at runtime and inject them into the environment of your application.
However, this method has some limitations, such as:
The environment variables are cached for up to 10 minutes, so you may not get the latest version of the secret immediately.
The environment variables are visible in plain text in the Cloud Console and the Cloud SDK, which may expose sensitive information.
The environment variables are limited to 4 KB of data, which may not be enough for some secrets.2 As file system volumes: You can mount secrets from Secret Manager as files in a volume within your application. Cloud Run will create a tmpfs volume and write the secrets as files in it. This method has some advantages, such as:
The files are updated every 30 seconds, so you can get the latest version of the secret faster.
The files are not visible in the Cloud Console or the Cloud SDK, which provides better security.
The files can store up to 64 KB of data, which allows for larger secrets.3 Therefore, for your use case, it is better to use the second method and mount the secret as a file system volume within your application. This way, you can ensure that your application has the latest password, and you can deploy it with no downtime.
To mount a secret as a file system volume in Cloud Run, you can use the following command:
gcloud beta run deploy SERVICE --image IMAGE_URL --update-secrets=/path/to/file=secretName:version where:
SERVICE is the name of your Cloud Run service.
IMAGE_URL is the URL of your container image.
/path/to/file is the path where you want to mount the secret file in your application.
secretName is the name of your secret in Secret Manager.
version is the version of your secret. You can use latest to get the most recent version.3 You can also use the Cloud Console to mount secrets as file system volumes. For more details, see Mounting secrets from Secret Manager.
References:
1: Overview | Secret Manager Documentation | Google Cloud
2: Using secrets as environment variables | Cloud Run Documentation | Google Cloud
3: Mounting secrets from Secret Manager | Cloud Run Documentation | Google Cloud

質問 # 24
Cloud Build を使用して新しい Docker イメージを構築し、Docker Hub にプッシュする CI/CD パイプラインがあります。コードのバージョン管理には Git を使用します。Cloud Build YAML 構成を変更した後、パイプラインによって新しいアーティファクトが構築されていないことがわかります。サイト信頼性エンジニアリングの実践に従って問題を解決する必要があります。あなたは何をするべきか？

• A. CI パイプラインを変更して、アーティファクトを Docker Hub ではなく Container Registry にプッシュします。
• B. 構成 YAML ファイルを Cloud Storage にアップロードし、エラー報告を使用して問題を特定して修正します。
• C. 以前と現在の Cloud Build 構成ファイルの間で Git 比較を実行し、バグを見つけて修正します。
• D. CI パイプラインを無効にし、手動でのアーティファクトの構築とプッシュに戻します。

正解：C

解説：
"After making a change in the Cloud Build YAML configuration, you notice that no new artifacts are being built by the pipeline"- means something wrong on the recent change not with the image registry.

質問 # 25
あなたは、Python で記述され、App Engine フレキシブル環境でホストされる取引アプリケーションをサポートしています。Stackdriver Error Reporting に送信されるエラー情報をカスタマイズしたいと考えています。あなたは何をするべきか？

• A. Python 用 Stackdriver Error Reporting ライブラリをインストールし、Google Kubernetes Engine でコードを実行します。
• B. Python 用 Stackdriver Error Reporting ライブラリをインストールし、App Engine フレキシブル環境でコードを実行します。
• C. Python 用 Stackdriver Error Reporting ライブラリをインストールし、Compute Engine VM でコードを実行します。
• D. Stackdriver Error Reporting API を使用してアプリケーションからエラーを ReportedErrorEvent に書き込み、適切な形式のエラー メッセージを含むログエントリを Stackdriver Logging に生成します。

正解：D

解説：
Explanation
https://cloud.google.com/error-reporting/docs/formatting-error-messages
https://cloud.google.com/error-reporting/docs/reference/libraries#client-libraries-install-python no need to install error reporting library on App Engine Flex.

質問 # 26
あなたの会社では、Google Kubernetes Engine (GKE) でアプリケーションを実行しています。いくつかのアプリケーションは一時ボリュームに依存しています。ワーカー ノード上の DiskPressure ノードの状態が原因で、一部のアプリケーションが不安定になっていることがわかりました。どのポッドが問題の原因となっているかを特定する必要がありますが、ワークロードとノードへの実行アクセス権がありません。あなたは何をするべきか？

• A. emptyDir ボリュームを持つすべての Pod を見つけます。df-h コマンドを使用して、ボリュームのディスク使用量を測定します。
• B. Metrics Explorer を使用して、node/ephemeral_storage/used_bytes メトリックを確認します。
• C. emptyDir ボリュームを持つすべての Pod を見つけます。du -sh * コマンドを使用して、ボリュームのディスク使用量を測定します。
• D. Metrics Explorer を使用してメトリックを確認します。

正解：B

解説：
The correct answer is A, Check the node/ephemeral_storage/used_bytes metric by using Metrics Explorer.
The node/ephemeral_storage/used_bytes metric reports the total amount of ephemeral storage used by Pods on each node1. You can use Metrics Explorer to query and visualize this metric and filter it by node name, namespace, or Pod name2. This way, you can identify which Pods are consuming the most ephemeral storage and causing disk pressure on the nodes. You do not need to have execute access to the workloads or nodes to use Metrics Explorer.
The other options are incorrect because they require execute access to the workloads or nodes, which you do not have. The df -h and du -sh * commands are Linux commands that can measure disk usage, but you need to run them inside the Pods or on the nodes, which is not possible in your scenario34.
Reference:
Monitoring metrics for Kubernetes system components, Node metrics, node/ephemeral_storage/used_bytes. Using Metrics Explorer, Querying metrics. How do I find out disk space utilization information using Linux command line?, df command. How to check disk space in Linux from the command line, du command.

質問 # 27
App Engine 上で実行され、データ ストレージに CloudSQL と Cloud Storage を使用するウェブ アプリケーションをサポートしているとします。Web サイトのトラフィックが短期間急増した後、すべてのユーザー リクエストのレイテンシーが大幅に増加し、CPU 使用率が増加し、アプリケーションを実行しているプロセスの数が増加していることに気づきます。最初のトラブルシューティングでは次のことが明らかになります。
トラフィックが最初に急増した後、負荷レベルは通常に戻りましたが、ユーザーは依然として高い遅延を経験します。
CloudSQL データベースからのコンテンツと Cloud Storage からの画像のリクエストでは、同様に高いレイテンシが発生します。
遅延が増加した前後に Web サイトに変更は加えられませんでした。
ユーザーのエラー数が増加することはありません。
あなたは、今後数日間で Web サイトのトラフィックが再び急増すると予想されており、ユーザーが遅延を経験しないようにしたいと考えています。あなたは何をするべきか？

• A. GCS バケットをマルチリージョンにアップグレードします。
• B. App Engine 構成を変更して、アイドル状態のインスタンスを追加します。
• C. CloudSQL インスタンスで高可用性を有効にします。
• D. アプリケーションを App Engine から Compute Engine に移動します。

正解：B

解説：
Scaling App Engine scales the number of instances automatically in response to processing volume. This scaling factors in the automatic_scaling settings that are provided on a per-version basis in the configuration file. A service with basic scaling is configured by setting the maximum number of instances in the max_instances parameter of the basic_scaling setting. The number of live instances scales with the processing volume. You configure the number of instances of each version in that service's configuration file. The number of instances usually corresponds to the size of a dataset being held in memory or the desired throughput for offline work. You can adjust the number of instances of a manually-scaled version very quickly, without stopping instances that are currently running, using the Modules API set_num_instances function. https://cloud.google.com/appengine/docs/standard/python/how-instances-are-managed
https://cloud.google.com/appengine/docs/standard/python/config/appref
max_idle_instances Optional. The maximum number of idle instances that App Engine should maintain for this version. Specify a value from 1 to 1000. If not specified, the default value is automatic, which means App Engine will manage the number of idle instances. Keep the following in mind: A high maximum reduces the number of idle instances more gradually when load levels return to normal after a spike. This helps your application maintain steady performance through fluctuations in request load, but also raises the number of idle instances (and consequent running costs) during such periods of heavy load.

質問 # 28
あなたの会社は、Google Kubernetes Engine (GKE) にデプロイされるアプリケーションを開発しています。 各チームが異なるアプリケーションを管理しています。 コストを最小限に抑えながら、各チームの開発環境と本番環境を作成する必要があります。 異なるチームが他のチームの環境にアクセスできないようにする必要があります。 Google が推奨する方法に従うにはどうすればよいですか?

• A. 開発用と本番用の GKE クラスタを別のプロジェクトに作成する 各クラスタでチームごとに Kubernetes 名前空間を作成し、各チームが自分の名前空間にのみアクセスできるように Identity-Aware Proxy を構成します
• B. 開発用と本番用の GKE クラスタを別のプロジェクトに作成する 各クラスタでチームごとに Kubernetes 名前空間を作成し、各チームが自分の名前空間にのみアクセスできるように Kubernetes ロールベースのアクセス制御 (RBAC) を構成します。
• C. チームごとに 1 つの Google Cloud プロジェクトを作成します。 各プロジェクトで、開発用のクラスタと本番用のクラスタを作成します。 チームにそれぞれのクラスタへの Identity and Access Management（1AM）アクセス権を付与します。
• D. チームごとに 1 つの Google Cloud プロジェクトを作成します。 各プロジェクトで、開発用と本番用の Kubernetes 名前空間を持つクラスタを作成します。 チームにそれぞれのクラスタへの Identity and Access Management (1AM) アクセス権を付与します。

正解：B

解説：
Explanation
The best option for creating the development and production environments for each team while minimizing costs and ensuring isolation is to create a development and a production GKE cluster in separate projects, in each cluster create a Kubernetes namespace per team, and then configure Kubernetes role-based access control (RBAC) so that each team can only access its own namespace. This option allows you to use fewer clusters and projects than creating one project or cluster per team, which reduces costs and complexity. It also allows you to isolate each team's environment by using namespaces and RBAC, which prevents teams from accessing other teams' environments.

質問 # 29
間もなく公開されるサービスの Cloud Monitoring SLO を作成する必要があります。サービスへのリクエストが暦月あたり少なくとも 90% の時間で 300 ミリ秒未満で処理されることを確認したいと考えています。
使用する指標と評価方法を特定する必要があります。あなたは何をするべきか？

• A. ウィンドウベースの評価方法の遅延メトリックを選択します。
• B. リクエストベースの評価方法のレイテンシ メトリックを選択します。
• C. ウィンドウベースの評価方法の可用性メトリックを選択します。
• D. リクエストベースの評価方法の可用性メトリックを選択します。

正解：B

解説：
Explanation
The correct answer is A. Select a latency metric for a request-based method of evaluation.
A latency metric measures how responsive your service is to users. For example, you can use the cloud.googleapis.com/http/server/response_latencies metric to measure the latency of HTTP requests to your service1. A request-based method of evaluation counts the number of successful requests that meet a certain criterion, such as being below a latency threshold, and compares it to the number of all requests. For example, you can define an SLI as the ratio of requests with latency below 300 ms to all requests2. A request-based method of evaluation is suitable for measuring performance over time, such as per calendar month. You can set an SLO for the SLI to be at least 90%, which means that you expect 90% of the requests to have latency below 300 ms in a month3.

質問 # 30
ロード バランサーを使用せずに HTTP エンドポイントを公開するアプリケーションを管理しています。HTTP 応答の遅延は、ユーザー エクスペリエンスにとって重要です。すべてのユーザーが経験している HTTP 遅延を把握したいと考えています。Stackdriver Monitoring を使用します。あなたは何をするべきか？

• A. * アプリケーションで、metricKind を CUMULATIVE に設定し、valueType を DOUBLE に設定してメトリックを作成します。
  * Stackdriver の Metrics Explorer では、折れ線グラフを使用して指標を視覚化します。
• B. * アプリケーションで、metricKind を使用してメトリックを作成します。METRlc_KIND_UNSPECIFIED に​​設定し、valueType を INT64 に設定します。
  * Stackdriver の Metrics Explorer では、積み上げ面グラフを使用して指標を視覚化します。
• C. * アプリケーションで、metricKind をゲージに設定し、valueType を distribution に設定してメトリックを作成します。
  * Stackdriver の Metrics Explorer では、ヒートマップ グラフを使用して指標を視覚化します。
• D. * アプリケーションで、metricKind を DELTA に設定し、valueType を DOUBLE に設定してメトリックを作成します。
  * Stackdriver の Metrics Explorer では、緩み棒グラフを使用して指標を視覚化します。

正解：C

解説：
https://sre.google/workbook/implementing-slos/
https://cloud.google.com/architecture/adopting-slos/
Latency is commonly measured as a distribution. Given a distribution, you can measure various percentiles. For example, you might measure the number of requests that are slower than the historical 99th percentile.

質問 # 31
パブリック IP アドレスを持つ Compute Engine インスタンス上で実行される新しいアプリケーション用に Cloud Logging を構成しています。ユーザー管理のサービス アカウントがインスタンスにアタッチされます。必要なエージェントがインスタンス上で実行されていることを確認しましたが、Cloud Logging でインスタンスからのログエントリが表示されません。Google が推奨する方法に従って問題を解決したいと考えています。あなたは何をするべきか？

• A. ログ ライター ロールをサービス アカウントに追加します。
• B. サービス アカウント キーをエクスポートし、そのキーを使用するようにエージェントを構成します。
• C. デフォルトの Compute Engine サービス アカウントを使用するようにインスタンスを更新します。
• D. インスタンスが存在するサブネットで限定公開の Google アクセスを有効にします。

正解：A

解説：
Explanation
The correct answer is A. Add the Logs Writer role to the service account.
To use Cloud Logging, the service account attached to the Compute Engine instance must have the necessary permissions to write log entries. The Logs Writer role (roles/logging.logWriter) provides this permission. You can grant this role to the user-managed service account at the project, folder, or organization level1.
Private Google Access is not required for Cloud Logging, as it allows instances without external IP addresses to access Google APIs and services2. The default Compute Engine service account already has the Logs Writer role, but it is not a recommended practice to use it for user applications3. Exporting the service account key and configuring the agents to use the key is not a secure way of authenticating the service account, as it exposes the key to potential compromise4.
References:
1: Access control with IAM | Cloud Logging | Google Cloud
2: Private Google Access overview | VPC | Google Cloud
3: Service accounts | Compute Engine Documentation | Google Cloud
4: Best practices for securing service accounts | IAM Documentation | Google Cloud

質問 # 32
新しいサービスを実稼働環境にデプロイする必要があります。サービスはマネージド インスタンス グループ (MIG) を使用して自動的にスケーリングする必要があり、複数のリージョンにデプロイする必要があります。このサービスはインスタンスごとに大量のリソースを必要とするため、容量を計画する必要があります。あなたは何をするべきか？

• A. サービスを 1 つのリージョンにデプロイし、グローバル ロード バランサーを使用してトラフィックをこのリージョンにルーティングします。
• B. MIG の構成で n1-highcpu-96 マシン タイプを使用します。
• C. リソース要件が各リージョンの利用可能なクォータ制限内にあることを検証します。
• D. Stackdriver Trace の結果をモニタリングして、必要なリソースの量を判断します。

正解：C

解説：
Explanation
https://cloud.google.com/compute/quotas#understanding_quotas
https://cloud.google.com/compute/quotas

質問 # 33
あなたの会社はサイト信頼性エンジニアリングの慣行に従っています。あなたは新しい事件の指揮官です。顧客に影響を与えた事件。効果的なインシデント対応を支援するには、ただちに 2 つのインシデント管理役割を割り当てる必要があります。どのような役割を割り当てるべきですか?
2 つの答えを選択してください

• A. エンジニアリングリード
• B. オペレーション リード
• C. コミュニケーションリーダー
• D. 顧客影響評価者
• E. 外部顧客コミュニケーション リード

正解：B、C

解説：
https://sre.google/workbook/incident-response/
"The main roles in incident response are the Incident Commander (IC), Communications Lead (CL), and Operations or Ops Lead (OL)." The Operations Lead is responsible for managing the operational aspects of the incident, such as deploying fixes, rolling back changes, or restoring backups. The External Customer Communications Lead is not a standard role in incident response, but it could be delegated by the Communications Lead if needed.

質問 # 34
......

Professional-Cloud-DevOps-Engineer日本語問題集合格確定させる練習には166問があります：https://www.passtest.jp/Google/Professional-Cloud-DevOps-Engineer-JPN-shiken.html