GCP Professional Cloud Architect試験 雑メモ
試験概要
ケーススタディ
EHR Healthcare は、医療業界に電子カルテ ソフトウェアを提供している大手企業です。
現在、複数のコロケーション施設でホスト
顧客向けアプリケーションはウェブベースで、その多くは最近コンテナ化されており、Kubernetes クラスタのグループで実行
データの保存先にはリレーショナル データベースと NoSQL データベースが混在しています(MySQL、MS SQL Server、Redis、MongoDB)
技術要件
保険会社への従来のインターフェースを維持し、オンプレミス システムとクラウド プロバイダの両方に接続できるようにする
オンプレミス システムと Google Cloud の間に安全かつ高速な接続を提供する。
Helicopter Racing League(HRL)は、ヘリコプター レースを主催しているグローバルなスポーツ リーグ
HRL では、レースを世界中にストリーミングする有料サービスを提供しています。 その際、各レースにおけるライブでのテレメトリーと予測を行っています
中心となるミッション クリティカルなアプリケーションは、 同社が現在利用しているパブリック クラウド プロバイダで実行されています
動画の録画と編集はレース場で行われ、必要に応じてクラウドでコンテンツのエンコードやコード変換が行われます
Mountkirk Games は、モバイル プラットフォーム向けにセッション ベースのオンライン マルチプレーヤー型ゲームを開発している
オンプレミス環境から Google Cloud への移行を終え、 他のプラットフォームへの拡張を始めたところです。
最近は新たな挑戦として、レトロスタイルのファースト パーソン シューティング(FPS) ゲームを制作しています。このゲームでは、複数のプラットフォームと場所から何百人ものプレイヤーが同時に地域別のデジタル アリーナに参加できます。リアルタイムのデジタルバナーで、プレイ中のアリーナのすべてのトップ プレイヤーをグローバル リーダーボードに表示します。
ゲームのバックエンドは Google Kubernetes Engine にデプロイする予定です
グローバル リーダーボードの同期を維持するために、マルチリージョン Spanner クラスタを使用する予定です。
新しいゲームはすべてクラウドネイティブ設計の原則に基づいて制作するようになりました。 次のゲームは当社にとって史上最大の挑戦であり、初めてモバイル以外のゲーム プラットフォームに対応する予定です。
TerramEarth は鉱業および農業向け重機を製造しています。同社は現在、100 か国に 500 を超えるディーラーとサービス センターを展開しています。 同社の使命は顧客の生産性を上げる製品を製造することです。
フリート(車両)管理を円滑にするために、重要なデータの一部は車両からリアルタイムで送信されます。
それ以外のセンサーデータは収集・圧縮され、毎日、車両が拠点に戻ったときにアップロードされます
TerramEarth 社の車両データの集約と分析を行うインフラストラクチャは Google Cloud に置かれ、 世界中のクライアントにサービスを提供しています。
センサーデータの量は増加しており、 2 か所の主要な製造工場から取得され、在庫管理およびロジスティクス管理のためのレガシー システムが置かれたプライベート データセンターに送信されます。このプライベート データセンターでは Google Cloud との複数のネットワーク相互接続が構成されています。
技術要件
すべての CI / CD パイプラインを刷新し、 デベロッパーがスケーラビリティの高い環境にコンテナベースのワークロードをデプロイできるようにする。
複数のシステムを Google Cloud に移行し終えたため、現在は、トップクラスのオンライン フリート管理サービスをお客様に提供し、ディーラーのオペレーションを改善するための新たな方法を模索しています
Udemy 模擬試験
模擬試験 Vol.1
CloudCDNでキャッシュ率を上げるベストプラクティス
デフォルトの場合、Cloud CDN は完全なリクエスト URL を使用してキャッシュキーを構築します。パフォーマンスとスケーラビリティのためには、キャッシュヒット率を最適化することが重要です。キャッシュ ヒット率を最適化するためには、カスタム キャッシュキーを使用できます。
gsutil
boto 構成ファイルの変数は、構成ファイルを直接編集することで変更できます。大半のユーザーはこれらの変数を編集する必要はありませんが、編集の必要が生じる主な理由には以下のようなものがあります。
プロキシ経由で使用できるように gsutil を設定する。
顧客管理または顧客指定の暗号鍵を使用する。
独自の運用に合わせて gsutil の動作を全体的にカスタマイズする。
エンタープライズ企業のベストプラクティス
このガイドでは、Google Cloud への移行を進めている企業のお客様にベスト プラクティスを紹介します
「Google Cloud Dataflow」はデータパイプライン、従来の用語で言うとETL(Extract/Transform/Load)のマネージドサービスだ。典型的な使い方は、非同期メッセージングのCloud Pub/SubやストレージのCloud Datastoreなどからデータを取り込み、加工したうえでデータウエアハウスのBigQueryなどに送る、というものである。
実はCloud Dataprepのバックエンドでは、Cloud Dataflowが動いている。
BigQuery
Jobsテーブルでクエリを実行すれば各ユーザーが先月に実行したクエリの数などを確認することができる
Bigtable
Google Cloud Bigtable はリアルタイム アクセスとアナリティクスのワークロードの両方に適した、スケーラブルでフルマネージド ワイドカラム NoSQL データベースです。
PubSub
通常、Pub/Sub は各メッセージをパブリッシュされた順序で 1 回配信します。ただし、メッセージが順不同で配信される場合や複数回配信される場合があります。通常、複数回の配信に対応するには、メッセージの処理時にサブスクライバーがべき等である必要があります。Apache Beam programming model を使用して、Pub/Sub メッセージ ストリームを正確に 1 回だけ処理できます。Apache Beam I/O コネクタを使用すると、制御されたソースとシンクを介して Cloud Dataflow を操作できます。
Cloud Shell
ファイルをセッション間で保持できるようにするには ~/bin に保存すれば良い
Cloud Interconnect
Interconnectは、接続することで貴社のネットワークを Google ネットワークにできる限り近い状態にするという点で、ピアリングに似ています。相互接続(Interconnect)がピアリングと異なる点は、プライベート アドレス空間を使って Google Cloud VPC 内部に接続することです
ピアリングはプライベートIPの接続しない場合に使う
プライベートIP間で通信する必要もあって、環境のパフォーマンスが良い場合はVPNが1番お手軽
https://gyazo.com/91836c8b1ba6c7f1d4801f1c27dc830f
Google Cloudブログより画像引用
模擬試験Vol.2
App Engine
memcacheはグローバルであり、アプリケーションのフロントエンド、バックエンド、さらにアプリケーションのすべてのサービスとバージョンで共有される
Cloud Data Loss Prevention
特に機密性の高いデータを検出、分類、保護するためのフルマネージド サービス。
データをマスキングして匿名化ができたりするサービス
Transfer appliance
appliance: 機器、装置
Transfer Appliance は、業務を中断することなく、大量のデータ(数百テラバイトから 1 ペタバイトまで)を Google Cloud Platform に安全に移行できるハードウェア アプライアンスです。
GKE
次のオブジェクトが Kubernetes ワークロードを表します。これらのワークロードの Pod テンプレートを更新することで、ワークロードのローリング アップデートをトリガーできます。
DaemonSet
Deployment
StatefulSet
Cloud Load Balancing
WebSocketプロトコルもネイティブにサポートしている
デフォルトタイムアウトは30s
HTTP(S) LBのトラフィック管理
トラフィック ステアリング。HTTP(S) パラメータ(ホスト、パス、ヘッダー、その他のリクエスト パラメータ)に基づいてトラフィックをインテリジェントにルーティングします。
トラフィック アクション。リクエストとレスポンスに基づいてアクションを実行します(リダイレクト、ヘッダー変換など)。
トラフィック ポリシー。負荷分散の動作を微調整します。たとえば、高度な負荷分散アルゴリズムを使用します。
模擬試験Vol.3
GCE
startup script
key startup-script でVMのカスタムメタデータに渡す
shutdown script
key shutdown-script でVMのカスタムメタデータに渡す
シャットダウン スクリプトは、インスタンスが停止するまでの限られた時間で実行を完了する必要があります。
オンデマンド インスタンス: インスタンスの停止または削除後 90 秒
プリエンプティブル インスタンス: インスタンスのプリエンプションの開始後 30 秒
IoT Core
広範囲に分散したデバイスの接続、管理、データ取り込みを、セキュリティを維持しながら簡単に行うためのフルマネージド サービス。
Cloud Console のアクティビティ ページでは監査ログの概要を俯瞰的に見ることができます。
Big Query
ジョブとは、データの読み込み、データのエクスポート、データのクエリ、データのコピーなど、BigQuery がユーザーに代わって実行するアクションのことです。
Cloud Console または bq コマンドライン ツールを使用してデータの読み込み、エクスポート、クエリ、コピーを行うと、ジョブリソースが自動的に作成され、スケジュールが設定されて実行されます。
bigquery.jobs.create プロジェクト内でジョブ(クエリを含む)を実行します。
BigQuery ユーザー(roles/bigquery.user)
このロールをデータセットに適用すると、データセットのメタデータを読み取り、データセット内のテーブルを一覧表示できます。
プロジェクトに適用すると、プロジェクト内でクエリなどのジョブを実行することもできるようになります
有効期限
テーブルでもパーティション分割テーブルでも設定できる
Cloud Storage
ブロブと呼ばれるデータ オブジェクトを提供できます。 Blob は動画ファイルや画像ファイルなどの大容量のファイルを提供したり、ユーザーが大容量のデータファイルをアップロードできるようにする場合に便利です
Cloud SQL
リードレプリカには、フェイルオーバー機能がありません。インスタンスにフェイルオーバー機能を提供する方法については、インスタンスの高可用性向け構成をご覧ください。 高可用性のレガシー構成では、failover replica インスタンスを使用していました。新しい構成では failover replica を使用しません。代わりに、Google のリージョン永続ディスクを使用して、リージョン内の 2 つのゾーン間でブロックレベルでデータを同期的に複製します。
Resource Manager
Google Cloud Platform では、組織、フォルダ、プロジェクトなどのリソース コンテナを使うことで、他の GCP のリソースをグループ化したり、階層的にまとめたりすることができます。この階層的組織を使うと、アクセス管理や構成設定など、リソースに共通のルールを簡単に管理できます。Resource Manager では、これらのリソース コンテナをプログラムによって管理できます。
フォルダは、Cloud Platform リソース階層のノードです。フォルダ内には、プロジェクトや他のフォルダが存在します。フォルダを使用すると、階層内の組織ノードにあるプロジェクトをグループ化できます。たとえば、組織には複数の部門があり、それぞれが独自の Google Cloud リソースセットを使用している場合があります。フォルダを使用すると、これらのリソースを部門別にグループ化できます。フォルダは、共通の IAM ポリシーを共有するリソースのグループ化に使用します。フォルダには複数のフォルダやリソースを入れることができますが、1 つのフォルダやリソースに対する親は 1 つだけです。
https://gyazo.com/f4144c2d11a06ddd90054924ee058deb
Google Cloud Documentより引用
模擬試験Vol.4
GCE
GCPにはCompute Engine(VM)を1年、または3年間の期間利用を確約することにより得られる割引方法「確約利用割引」と、特定のリソースの実行時間が一定の割合を超えた場合に、自動的に割引が適用される「継続利用割引」があります。
アクセススコープとSA
SAに権限を与えて、VMごとにアクセススコープでアクセス範囲を絞れるようなイメージ。
VPC
ファイアウォール ルールの優先度は、0 から 65535 までの整数です。小さい整数が高い優先度を示します。ルールの作成時に優先度を指定しない場合、優先度 1000 が割り当てられます。
Cloud SQL
Cloud SQL は、MySQL、PostgreSQL、SQL Server で使用できます。
Cloud Storage
高いリクエスト レートを維持するためには、シーケンシャルな名前は使用しないでください。完全にランダムなオブジェクト名を使用することで、最適な負荷分散が実現します。
雑メモ
GKE
クラスタの自動スケーリングコマンド
code:sdk
gcloud container clusters create cluster-name --num-nodes 30 \
https://gyazo.com/2d18f3d6984ec82a3fc160b698e8e8df
VPC1 と VPC2〜4 を VPC ピアリングで接続してしまうと、 VPC ピアリングによくある「推移的ピアリング (Transitive peering)はサポートされていない」という制限により VPC2〜4 はお互いに通信できません。一方、図のように VPC 同士を VPN で接続しておけば、そのような制限に縛られることはなくなり、クラウド内においてとり得るネットワークアーキテクチャの幅が広がります。
Autopilot とは、GKE がユーザーに代わってクラスタの基盤となるインフラストラクチャをプロビジョニングして管理することを意味します。Autopilot では、次のような項目が管理されます。
ノードとノードプール
リソースのプロビジョニング
ノードイメージのタイプ
クラスタの種類や CIDR 範囲などのネットワーク機能
Workload Identity や Shielded VM などのセキュリティ機能
Autopilotはリージョンクラスタ
Cloud Armor
VPCレベルで攻撃をブロック
VMのファイアウォールルールはVMレベルで攻撃をブロックするものなのでちょっと違う
VPC Service Controls を使用すると、Cloud Storage や BigQuery などの Google Cloud サービスからデータが漏洩するリスクを軽減できます。VPC Service Controls を使用すると、明示的に指定したサービスのリソースとデータを保護する境界を作成できます。
サービス境界を作って、サービスを保護をすることができる
Identity Aware Proxy(IAP)を使用すると、Google Cloud の外部にある HTTP ベースアプリへのアクセスを管理できます。これには、企業のデータセンター内にあるオンプレミスのアプリも含まれます。
jiroshin.icon 受かったー!