GCP Cloud assosiate certificate
resource
模擬試験で間違えた、わかってなかった部分のメモ
Kubernetes Engineクラスタで複数ポッドのdeploy, コンテナログをBigQueryに。
stackdriver loggingを使う
stackdrive loggingのexportで、BigQueryにsinkする
Kubernetesクラスタで、ワーカーノードを自動スケーリングしたい。
Kubernetes Engineでクラスタを作れば、自動スケーリングしてくれる
Kubernetesクラスタで、ノードプールにノードを追加したい。
gcloud container clusters resize
Kubernetesデプロイメントで、別のデプロイメントからアクセスしたいが、外部非公開にしたい
非公開のデプロイメントに ClusterIPサービスを追加して、別のデプロイメントはそのIPにアクセスする
GCPの組織、この単位で、ロールを作成できる
役割を特定のメールアドレスの人(group)の付与するには、
gcloud projects add-iam-policy-binding
基本的には、Kubernetesを触ったことないので、そこがわかってない。
用語の把握レベルで怪しい
IAMもなあなあでやってるので、わかってないところが散見された。
問題自体は易しい感じ。単語の意味されわかってればのレベルに見える。
ここで勉強するのが早い?
大雑把に理解だけしたいので、コピペしてコメントする ( kubernetes を使うわないので、概念理解が..)
セクション 1クラウド ソリューション環境の設定
1.1 クラウド プロジェクトとアカウントを設定する。次のような作業が含まれます。
リソース階層の作成
リソース階層への組織のポリシーの適用
プロジェクト内の IAM ロールをメンバーに付与する
Cloud Identity でのユーザーとグループの管理(手動および自動)
プロジェクトで API を有効にする
Google Cloud のオペレーション スイートでのプロダクトのプロビジョニングと設定
1.2 課金構成を管理する。次のような流れになります。
請求先アカウントを作成する
プロジェクトを請求先アカウントにリンクする
課金の予算とアラートを設定する
課金データのエクスポートの設定
1.3 コマンドライン インターフェース(CLI)
具体的には Cloud SDK をインストールして構成する(デフォルト プロジェクトの設定など)。
セクション 2クラウド ソリューションの計画と構成
2.1 料金計算ツールを使用して Google Cloud プロダクトの使用量の計画と見積もりを作成する
2.2 コンピューティング リソースを計画し、構成する。以下のような点を考察します。
ワークロードに適したコンピューティング サービスを選択する(Compute Engine、Google Kubernetes Engine、Cloud Run、Cloud Functions など)
必要に応じてプリエンプティブル VM とカスタム マシンタイプを使用する
2.3 データ ストレージ オプションを計画し、構成する。 以下のような点を考察します。
プロダクトの選択(Cloud SQL、BigQuery、Firestore、Cloud Spanner、Cloud Bigtable など)
ストレージ オプションの選択(ゾーン永続ディスク、リージョン バランス永続ディスク、標準、Nearline、Coldline、Archive など)
2.4 ネットワーク リソースを計画し、構成する。次のようなタスクが含まれます。
負荷分散オプションの違いを見分ける
可用性を考慮してネットワーク内のリソースのロケーションを決定する
Cloud DNS を構成する
セクション 3. クラウド ソリューションのデプロイメントと実装
3.1 Compute Engine リソースをデプロイし、実装する。以下のようなタスクを行います。
Cloud Console と Cloud SDK(gcloud)を使用してコンピューティング インスタンスを起動する
(例: ディスク、可用性ポリシー、SSH 認証鍵の割り当て)
96vcpuくらいの instance template?はある
インスタンス テンプレートを使用して、自動スケーリングされるマネージド インスタンス グループを作成する
インスタンス用のカスタム SSH 認証鍵の生成 / アップロード
Cloud Monitoring と Cloud Logging のエージェントをインストールし、構成する
コンピューティングの割り当てを評価し、割り当ての増加をリクエストする
3.2 Google Kubernetes Engine リソースをデプロイし、実装する。以下のようなタスクを行います。
Kubernetes 用のコマンドライン インターフェース(CLI)である kubectl をインストールして構成する
AutoPilot、リージョン クラスタ、限定公開クラスタなど、さまざまな構成で Google Kubernetes Engine クラスタをデプロイする
コンテナ化したアプリケーションを Google Kubernetes Engine にデプロイする
Google Kubernetes Engine のモニタリングとロギングを構成する
3.3 Cloud Run リソース、Cloud Functions リソースをデプロイし、実装する。以下のようなタスクがあります(該当する場合)。
アプリケーションをデプロイし、スケーリング構成、バージョン、トラフィック分割を更新する
Google Cloud イベント(Cloud Pub/Sub イベント、Cloud Storage オブジェクト変更通知イベントなど)を受け取るアプリケーションをデプロイする
3.4 データ ソリューションをデプロイし、実装する。次のようなタスクが含まれます
製品を使用してデータシステムを初期化する(Cloud SQL、Firestore、BigQuery、Cloud Spanner、Pub/Sub、Cloud Bigtable、Dataproc、Dataflow、Cloud Storage など)
データを読み込む(コマンドラインによるアップロード、API による転送、インポート / エクスポート、Cloud Storage からのデータの読み込み、Cloud Pub/Sub へのデータのストリーミングなど)
3.5 ネットワーキング リソースをデプロイし、実装する。以下のようなタスクを行います。
サブネットを持つ VPC を作成する(カスタムモード VPC、共有 VPC など)
カスタム ネットワーク構成を持つ Compute Engine インスタンスを起動する(内部専用 IP アドレス、限定公開の Google アクセス、静的外部 IP アドレスとプライベート IP アドレス、ネットワーク タグなど)
VPC 用の上り(内向き)および下り(外向き)ファイアウォール ルール(例: IP サブネット、ネットワーク タグ、サービス アカウント)を作成する
Cloud VPN を使用して Google VPC と外部ネットワークとの間の VPN を作成する
アプリケーションへのネットワーク トラフィックを分散するロードバランサの作成(グローバル HTTP(S) ロードバランサ、グローバル SSL プロキシ ロードバランサ、グローバル TCP プロキシ ロードバランサ、リージョン ネットワーク ロードバランサ、リージョン内部ロードバランサなど)
3.6 Cloud Marketplace を使用してソリューションをデプロイする。以下のようなタスクを行います
Cloud Marketplace カタログを閲覧し、ソリューションの詳細を見る
Cloud Marketplace ソリューションをデプロイする
3.7 Infrastructure as Code を介してリソースを実装する。以下のようなタスクを行います。
Cloud Foundation Toolkit テンプレートを使用してインフラストラクチャを構築し、ベスト プラクティスを実装する
Google Kubernetes Engine に Config Connector をインストールして構成し、リソースの作成、更新、削除、保護に利用する
セクション 4 クラウド ソリューションの正常なオペレーションの確保
4.1 Compute Engine リソースを管理する。以下のようなタスクを行います。
単一の VM インスタンスを管理する(起動、停止、構成の編集、インスタンスの削除など)
VM停止して、メモリなどを変更して、再度起動などが可能
インスタンスへリモート接続する
GPU を新しいインスタンスに接続し、必要な依存関係をインストールする
現在実行されている VM のインベントリ(インスタンス ID、詳細)を見る
スナップショットを操作する(VM からのスナップショットの作成、スナップショットの表示、スナップショットの削除など)
イメージを操作する(VM またはスナップショットからのイメージの作成、イメージの表示、イメージの削除など)
インスタンス グループを操作する(自動スケーリング パラメータの設定、インスタンス テンプレートの割り当てや作成、インスタンス グループの削除など)
管理インターフェースを操作する(Cloud Console、Cloud Shell、Cloud SDK など)
4.2 Google Kubernetes Engine リソースを管理する。次のようなタスクが含まれます。
現在実行されているクラスタのインベントリ(ノード、Pod、サービス)を見る
Docker イメージを参照し、その詳細を Artifact Registry で確認する
イメージを Registryにアップロードし、そのイメージを参照する deployment.yamlを作成して、kubectlでデプロイ操作をする
ノードプールを操作する(ノードプールの追加、編集、削除など)
Pod を操作する(Pod の追加、編集、削除など)
GKEサンドボックスでgvisorを使う
サービスを操作する(サービスの追加、編集、削除など)
ステートフル アプリケーションを操作する(永続ボリューム、ステートフル セットなど)
水平自動スケーリングと垂直自動スケーリングの構成を管理する
管理インターフェースの操作(Cloud Console、Cloud Shell、Cloud SDK、kubectl など)
4.3 Cloud Run リソースを管理する。以下のようなタスクを行います。
アプリケーションのトラフィック分割パラメータを調整する
自動スケーリング インスタンスのスケーリング パラメータを設定する
Cloud Run(フルマネージド)と Cloud Run for Anthos のどちらを実行するかを決定する
4.4 ストレージとデータベースのソリューションを管理する。以下のようなタスクを行います。
Cloud Storage のバケット内またはバケット間でオブジェクトを管理、保護する
Cloud Storage バケットのオブジェクト ライフサイクル管理ポリシーを設定する
データ インスタンス(Cloud SQL、BigQuery、Cloud Spanner、Cloud Datastore、Cloud Bigtable など)からデータを取得するクエリを実行する
データ ストレージ リソースのコストを見積もる
データ インスタンス(Cloud SQL、Datastore など)のバックアップと復元を行う
Dataproc、Dataflow、BigQuery のジョブ ステータスを確認する
4.5 ネットワーキング リソースを管理する。以下のようなタスクを行います。
既存の VPC にサブネットを追加する
サブネットを拡張して IP アドレスを増やす
静的外部または内部 IP アドレスを予約する
CloudDNS、CloudNAT、ロードバランサ、ファイアウォール ルールを操作する
4.6 モニタリングとロギングを行う。以下のようなタスクを行います。
リソース指標に基づく Cloud Monitoring アラートの作成
Cloud Monitoring のカスタム指標(アプリケーションやログなどの指標)の作成と取り込み
ログが外部システムにエクスポートされるようにログシンクを構成する(オンプレミスまたは BigQuery など)
ログルーターを構成する
Cloud Logging のログを表示、フィルタリングする
Cloud Logging で特定のログメッセージの詳細を見る
Cloud Diagnostics を使用してアプリケーションの問題を調査する(Cloud Trace データの表示、Cloud Debug を使用したアプリケーションのポイントインタイムの表示など)
Google Cloud のステータスを確認する
セクション 5アクセスとセキュリティの構成
5.1 Identity and Access Management(IAM)を管理する。 以下のようなタスクを行います。
IAM ポリシーの表示
IAM ポリシーの作成
さまざまなロールタイプの管理とカスタム IAM ロールの定義(基本ロール、事前定義ロール、カスタムロールなど)
5.2 サービス アカウントを管理する。以下のようなタスクを行います。
サービス アカウントの作成
最小限の権限を持つ IAM ポリシー内のサービス アカウントを使用する
サービス アカウントをリソースに割り当てる
VMに割り当てる際は、作成時に Identity and API Accessのセクションで設定できる
サービス アカウントの IAM の管理
サービス アカウントの権限借用の管理
有効期間が短いサービス アカウント認証情報の作成と管理
5.3 監査ログの表示
監査ログのの保存は、Cloud Auditから coldline storageを使用して、長期保存を行う
coldline storageは、4半期に一度くらいのアクセス向け