Google Certified Professional Cloud Architect Practice Tests 1
一貫したホスト名が必要→スケーリングに問題あり→GKEで一貫した名前で区別するためには→StatefulSets
名前で一つずつ区別が必要→状態がある?
/icons/check.icon
BigQueryやDatalab、DataPortalを使った分析ではリアルタイムではないのでダメ
GCSで顧客が提供した暗号化キーを使用してファイルを暗号化する
boto構成ファイルに以下を指定する→あとは普通にgsutil使うだけ
encryption_key = YOUR_ENCRYPTION_KEY
/icons/check.icon
データをn年間保持して期間が過ぎたら削除
→GCSとライフサイクル
/icons/check.icon
監査のためにBigQueryで過去12ヶ月にどれだけクエリが流れたのか知りたい
→Audit logをBigQueryに入れて集計する
/icons/point.iconCloud Loggingでも確認できるけどBigQueryほど簡単にできない
/icons/check.icon
VMのシステムログとアドミンユーザのログが欲しい
VMのシステムログ→Cloud Logging AgentをVMにインストールする
アドミンユーザのログ→自動で収集されてる(audit log)
hiroki.iconVM(GCE)のログは自動で収集されないからagentをインストールする必要があるというのが問題の急所だね
/icons/check.icon
VPCのGCEインスタンスからオンプレのActiveDirectoryにだけアウトバンド通信を許可したい
ADイグレスを許可するルールを200で作成して、その他全てのイグレスを2000で拒否する
hiroki.iconデフォルトでは65535イグレスで暗黙で全て許可される
/icons/check.icon
オンプレで900TBのデータ、毎日10TBデータができる
Cloud VPNがダメな理由→375MBpsまで対応しているけど遅すぎるよね
/icons/check.icon
GKEクラスターのノードをCPU使用率に基づいてスケールアップ、ダウンさせる
→GKEクラスターオートスケーラーとHPAをCPU使用率で使用する
/icons/point.iconMIGのオートスケールとGKEクラスターオートスケーラを同時に有効するとコンフリクトして正常に動作しなくなるのでやめよう
GKEのノードをオートスケール=クラスターオートスケーラ
/icons/check.icon
リージョナルMIGでのシステムの耐障害性(resilience)のテスト
→MIGのインスタンスをゾーンレベルで全部シャットダウンしてみる
/icons/check.icon
app engine flexはゼロスケールはできない
オンプレのADをGCPにマイグレーションには?
GCPの場合は、G SuiteかGoogle Cloud Identityのどちらかにアイデンティティが必要になります。GCDS を使用すると、一方通行の同期が可能になり、Cloud Identity のユーザーが Active Directory のユーザーと一致するようになります。
BigQueryのテーブル有効期限を活用したデータの自動削除
→コスト最適化
GCSでリクエストエラー→HTTP Status code 429 Too Many Requests
/icons/check.icon
Googleアカウントを持っていない人への認証+24時間でトライアルサービス終了+GCSへのアクセス許可
CIアカウント作成して認証
24時間後にIAMロールを取り消す
めんどう
/icons/point.icon署名付きURL
BigQueryのデータ→国ごとのデータセットにしてその国のアナリストしか同じ国のデータセットにアクセスできないようにする
アナリスト全員が所属するグループ(global_analyst_group)を作成
全員追加
roles/bigquery.jobUserロールを付与
クエリながせる
それぞれのデータセットに対応したグループを(それぞれ_group)作成
対応したアナリストをそれぞれ追加
roles/bigquery.dataViewerロールを付与
データ見れる
hiroki.iconテーブル個別にアクセス権を付与することもできるがdatasetに何個テーブルがあるか分からないので大変すぎる。ベストプラクティスはdatasetレベルでのアクセス管理
/icons/check.icon
GAEで少数のライブトラフィックで修正コードの確認をしたい
GAEのトラフィック分割機能を使う
/icons/check.icon
Cloud CDNのキャッシュヒット率を上げたい
HTTP/HTTPSでのキャッシュキーを削除する
カスタムキャッシュキーを使ってHTTP/HTTPSを気にしないようにする
/icons/check.icon
OSへの依存とかもあるレガシーなアプリケーションをスケールするようにしたい
→全部プリインストールされたカスタムVMイメージを作ってMIG
hiroki.iconstartup scriptとかでやるとvmが起動する時にダウンロードになるから時間かかるよね
時間的クリティカルじゃなくて冪等なバッチワークロード&最適なコスト&HIPAA
HIPAAに準拠していないGCPサービス/APIの使用を停止し、それらを完全に無効にします。
/icons/check.icon
リージョナル障害に影響されないように
マルチリージョン(異なるリージョンにGCEデプロイ)
MIG
/icons/check.icon
パブリックアクセスできないオンプレDBにアクセスする
Cloud VPN
GAEスタンダードだとVPC外なのでVPN使えない→GAEフレキシブルを使うことになる
hiroki.iconVPC内のリソースならオケってことだね
GCPは個人データの処理に関してGDPRに準拠している →ひいてはあなたのwebアプリがGDPRに準拠しているのかを確認した方がいい
k8sのCronJobコントローラは稀にJobを二つ作っちゃったりJobが作成されなかったりするらしい ロバストで信頼性があるタスクスケジューリング→GAE Cronサービス /icons/check.icon
画像とアプリケーションログ→GCS、VM boot volume、VM data volume
オンプレとGCPのハイブリットネットワーク構成→SPOFにならないように Dedicated Interconnect→オンプレのでかいファイルとかのフェイルオーバー
Cloud VPN→上が死んだ時のため
オンプレとGCPのハイブリットネットワーク構成→リージョナル耐性
リージョナルVPN Gateway
/icons/point.iconグローバルなVPN Gatewayなんてものはない
イメージ→インスタンステンプレート→マネージドインスタンスグループ
pd | スナップショット→イメージ
hiroki.icon何から何が作れるのかちょっとややこしいな
/icons/check.icon
GCSはリージョナル | デュアルリージョナル | マルチリージョン
(一つのバケット)GCSマルチリージョン→地理的に分散しているユーザにコンテンツを届ける場合
米国とかのマルチリージョンで単一のバケットを作成するとアジアとかヨーロッパにはレイテンシが遅くなっちゃうよ
(複数のバケット)GCSマルチリージョン→世界中レベル
multiple Multi-Regional Cloud Storage buckets, one bucket per multi-region.
/icons/point.iconワールドワイド→multiple Multi-Regional Cloud Storage buckets
/icons/check.icon
GCSはソースIPを公開していない→ファイアーウォールのソースIPをGCSで許可するみたいなことはできない
Private Google Access enabled→VPCの内部IPからGCSにアクセスできる
インスタンス間の重要なトラフィック以外はすべてブロックする
→ネットワークタグで必要なトラフィックだけを許可する
Cloud Monitorでcpuの閾値を超えたらアラート→マシンタイプを手動で変更
/icons/check.icon
hiroki.icon試験では手動とは書いてなかったけど
Cloud SQLのフェイルオーバーHA
→フェイルオーバーレプリカを同一リージョン別ゾーンに作るとHAになる
/icons/point.iconリードレプリカを作ってもHAにはならない。だって読み込みしかできないもんね
インスタンステンプレートは更新できない
複数のプロジェクトにBigQuery。クエリ課金情報だけ一つのプロジェクトに集約したい(クエリオンリーアクセス)
SQLサーバのゾーナル耐性
複数のゾーンにインスタンスを配置
HAのためにフェイルオーバークラスタリング
/icons/check.icon