Google Cloud認定資格Professional Cloud Network Engineer100題 問題集全問解答＋全問解説付き

Google Cloud認定資格Professional Cloud Network Engineerの過去問100題を全問解答＋全問解説付き

Google Cloud Professional Cloud Network Engineerの最新の問題になります。

筆者が実際に受験して、問題を収集し解答とその解説を全問付けております。
問題数は合計100題。
実際に受験し、重複問題や類似問題を削除しています。
この100問の問題の解答を理解できれば、ほぼ間違いなく、合格すると思います。

ここから問題と解答/解説になります。

100題、全問解答＋全問解説付きになります。

1.

オンプレミス ホストに HTTP および TFTP サービスを提供する新しい内部アプリケーションをデプロイしました。複数の Compute Engine インスタンスにトラフィックを分散できるようにしたいと考えていますが、クライアントが両方のサービスで特定のインスタンスに固定されるようにする必要があります。
どのセッション アフィニティを選択する必要がありますか?

A. クライアント IP、ポート、およびプロトコル
B. クライアント IP とプロトコル
C. なし
D. クライアント IP

正解：D

解説：
解説：

D. クライアント IP が正解です。

このシナリオでは、クライアントが両方のサービスで特定のインスタンスに固定されるようにする必要があります。クライアント IP アドレスに基づくセッション アフィニティを使用すると、クライアントは、最初の接続で割り当てられたインスタンスに、同じセッションのすべての後続の接続で固定されます。

その他の選択肢の説明：

• A. クライアント IP、ポート、およびプロトコル

  • このオプションは、クライアント IP アドレス、ポート番号、およびプロトコルに基づいてセッション アフィニティを決定します。このオプションは、クライアントが両方のサービスで同じインスタンスに固定されるようにするためには必要ありません。

• B. クライアント IP とプロトコル

  • このオプションは、クライアント IP アドレスとプロトコルに基づいてセッション アフィニティを決定します。このオプションは、クライアントが両方のサービスで同じインスタンスに固定されるようにするためには必要ありません。

• C. なし

  • このオプションは、セッション アフィニティを無効にします。このオプションを選択すると、クライアントは、ロード バランサによって選択された任意のインスタンスに接続できます。このオプションは、クライアントが両方のサービスで同じインスタンスに固定されるようにするためには適切ではありません。

---

2.

Cloud NAT を設定することにしました。構成を完了した後、インスタンスの 1 つがアウトバウンド NAT に Cloud NAT を使用していないことがわかりました。
この問題の最も可能性の高い原因は何ですか?

A. インスタンスは複数のインターフェースで構成されています。
B. インスタンスに外部 IP アドレスが構成されています。
C. RFC1918 範囲を使用する静的ルートを作成しました。
D. インスタンスは、ロード バランサーの外部 IP アドレスでアクセスできます。

正解：B

解説:
B. インスタンスに外部 IP アドレスが構成されています。 が正解です。
Cloud NAT は、インスタンスに外部 IP アドレスが構成されていない場合にのみ使用されます。インスタンスに外部 IP アドレスが構成されている場合、Cloud NAT は使用されません。
その他の選択肢の説明：

• A. インスタンスは複数のインターフェースで構成されています。

  • インスタンスが複数のインターフェースで構成されている場合でも、Cloud NAT は使用できます。ただし、インスタンスに外部 IP アドレスが構成されている場合は、Cloud NAT は使用されません。

• C. RFC1918 範囲を使用する静的ルートを作成しました。

  • RFC1918 範囲を使用する静的ルートを作成しても、Cloud NAT の動作に影響はありません。

• D. インスタンスは、ロード バランサーの外部 IP アドレスでアクセスできます。

  • インスタンスが、ロード バランサーの外部 IP アドレスでアクセスできる場合でも、Cloud NAT の動作に影響はありません。

したがって、このシナリオでは、インスタンスに外部 IP アドレスが構成されていることが、Cloud NAT が使用されていない最も可能性の高い原因です。
tuneshare
more_vert

---

3.

ユーザーが 3 つの VPC すべてのリソースにアクセスできるように、3 つの Virtual Private Cloud ネットワーク、Sales、Marketing、および Finance 間のネットワーク接続を確立する必要があります。Sales VPC と Finance VPC の間に VPC ピアリングを設定します。また、Marketing VPC と Finance VPC の間の VPC ピアリングも構成します。設定を完了した後、一部のユーザーは Sales VPC と Marketing VPC のリソースに接続できません。問題を解決したい。
あなたは何をするべきか？

A. 3 つすべての VPC 間の接続を許可するネットワーク タグを作成します。
B. フル メッシュで VPC ピアリングを構成します。
C. レガシー ネットワークを削除して再作成し、推移的なピアリングを許可します。
D. ルーティング テーブルを変更して、非対称ルートを解決します。

正解：B

解説：
B. フル メッシュで VPC ピアリングを構成します。 が正解です。
このシナリオでは、Sales VPC と Marketing VPC の間で直接 VPC ピアリングが構成されていません。そのため、Sales VPC と Marketing VPC の間で通信するユーザーは、Finance VPC を経由して通信する必要があります。
フル メッシュで VPC ピアリングを構成すると、すべての VPC 間で直接の接続が確立されます。これにより、Sales VPC と Marketing VPC の間で直接通信できるようになります。
その他の選択肢の説明：

• A. 3 つすべての VPC 間の接続を許可するネットワーク タグを作成します。

  • ネットワーク タグを作成しても、VPC ピアリング間の接続は確立されません。

• C. レガシー ネットワークを削除して再作成し、推移的なピアリングを許可します。

  • レガシー ネットワークを削除して再作成しても、VPC ピアリング間の接続は確立されません。

• D. ルーティング テーブルを変更して、非対称ルートを解決します。

  • ルーティング テーブルを変更しても、Sales VPC と Marketing VPC の間で直接通信することはできません。

したがって、このシナリオでは、フル メッシュで VPC ピアリングを構成することで、問題を解決できます。

---

4.

あなたは共有 VPC アーキテクチャを設計しています。ネットワークおよびセキュリティ チームは、部門間で公開されるルートを厳密に管理しています。生産部門とステージング部門は互いに通信できますが、特定のネットワークを介してのみ通信できます。Google が推奨するプラクティスに従う必要があります。
このトポロジをどのように設計する必要がありますか?

A. 共有 VPC ホスト プロジェクト内に 2 つの共有 VPC を作成し、それらの間で VPC ピアリングを有効にします。
ファイアウォール ルールを使用して、特定のネットワーク間のアクセスをフィルタリングします。
B. 共有 VPC ホスト プロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。
フレキシブル ルート アドバタイズメント (FRA) を使用して、特定のネットワーク間のアクセスをフィルタリングします。
C. 共有 VPC サービス プロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。
フレキシブル ルート アドバタイズメント (FRA) を使用して、特定のネットワーク間のアクセスをフィルタリングします。
D. 共有 VPC ホスト プロジェクト内に 1 つの VPC を作成し、個々のサブネットをサービス プロジェクトと共有して、特定のネットワーク間のアクセスをフィルタリングします。

正解：D

解説：
D. 共有 VPC ホスト プロジェクト内に 1 つの VPC を作成し、個々のサブネットをサービス プロジェクトと共有して、特定のネットワーク間のアクセスをフィルタリングします。 が正解です。
この選択肢は、Google が推奨する共有 VPC アーキテクチャのベスト プラクティスに従っています。共有 VPC ホスト プロジェクト内に 1 つの VPC を作成し、個々のサブネットをサービス プロジェクトと共有することで、ネットワークおよびセキュリティ チームは、部門間で公開されるルートを厳密に管理できます。
具体的には、生産部門とステージング部門は、それぞれのサービス プロジェクトに個別のサブネットを共有します。ネットワークおよびセキュリティ チームは、これらのサブネットにルーティングを構成することで、特定のネットワーク間のアクセスをフィルタリングできます。
その他の選択肢の説明：

• A. 共有 VPC ホスト プロジェクト内に 2 つの共有 VPC を作成し、それらの間で VPC ピアリングを有効にします。ファイアウォール ルールを使用して、特定のネットワーク間のアクセスをフィルタリングします。

  • この選択肢は、ネットワークおよびセキュリティ チームが部門間で公開されるルートを厳密に管理することを可能にしますが、フレキシブル ルート アドバタイズメント (FRA) を使用することで、より効率的にルーティングを管理できます。

• B. 共有 VPC ホスト プロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブル ルート アドバタイズメント (FRA) を使用して、特定のネットワーク間のアクセスをフィルタリングします。

  • この選択肢は、FRA を使用してルーティングを管理することはできますが、2 つの共有 VPC を作成する必要があるため、コストがかかる可能性があります。

• C. 共有 VPC サービス プロジェクト内に 2 つの共有 VPC を作成し、その間に Cloud VPN/Cloud Router を作成します。フレキシブル ルート アドバタイズメント (FRA) を使用して、特定のネットワーク間のアクセスをフィルタリングします。

  • この選択肢は、FRA を使用してルーティングを管理することはできますが、2 つの共有 VPC を作成する必要があるため、コストがかかる可能性があります。また、ネットワークおよびセキュリティ チームが部門間で公開されるルートを厳密に管理することが難しくなります。

---

5.

Cloud DNS マネージド ゾーンの 1 つで DNSSEC を無効にしています。ゾーン ファイルから DS レコードを削除し、それらがキャッシュから期限切れになるのを待ち、ゾーンの DNSSEC を無効にしました。DNSSEC 検証解決がゾーン内の名前を解決できないというレポートを受け取ります。
あなたは何をするべきか？

A. ゾーンの TTL を更新します。
B. ゾーンを TRANSFER 状態に設定します。
C. ドメイン レジストラで DNSSEC を無効にします。
D. ドメインの所有権を新しいレジストラに譲渡します。

正解：C

解説：
C. ドメイン レジストラで DNSSEC を無効にします。 が正解です。
DNSSEC は、ドメイン レジストラで設定されるため、Cloud DNS マネージド ゾーンで DNSSEC を無効にしても、ドメイン レジストラで DNSSEC が有効になっている限り、DNSSEC 検証解決はゾーン内の名前を解決できません。
したがって、この問題を解決するには、ドメイン レジストラで DNSSEC を無効にする必要があります。
その他の選択肢の説明：

• A. ゾーンの TTL を更新します。

  • ゾーンの TTL を更新しても、DNSSEC 検証解決の問題は解決されません。

• B. ゾーンを TRANSFER 状態に設定します。

  • ゾーンを TRANSFER 状態に設定しても、DNSSEC 検証解決の問題は解決されません。

• D. ドメインの所有権を新しいレジストラに譲渡します。

  • ドメインの所有権を新しいレジストラに譲渡しても、DNSSEC 検証解決の問題は解決されません。

---

6.

HTTP(S) 負荷分散サービスを作成しました。バックエンド インスタンスが適切に応答していることを確認する必要があります。
ヘルスチェックをどのように構成する必要がありますか?

A. request-path をヘルス チェックに使用する特定の URL に設定し、proxy-header を PROXY_V1 に設定します。
B. request-path をヘルス チェックに使用する特定の URL に設定し、host を設定して、ヘルス チェックを識別するカスタム ホスト ヘッダーを含めます。
C. request-path をヘルス チェックに使用する特定の URL に設定し、response をバックエンド サービスが常に応答本文で返す文字列に設定します。
D. proxy-header をデフォルト値に設定し、host を設定して、ヘルス チェックを識別するカスタム ホスト ヘッダーを含めます。

正解：B

解説：

B. request-path をヘルス チェックに使用する特定の URL に設定し、host を設定して、ヘルス チェックを識別するカスタム ホスト ヘッダーを含めます。 が正解です。

HTTP(S) 負荷分散サービスでは、ヘルス チェックを使用して、バックエンド インスタンスが適切に応答していることを確認できます。ヘルス チェックは、特定の URL に HTTP 要求を送信し、応答を確認することで実行されます。

このシナリオでは、バックエンド インスタンスが適切に応答していることを確認する必要があります。そのため、ヘルス チェックで次の設定を行います。

• request-path: ヘルス チェックに使用する特定の URL に設定します。

• host: ヘルス チェックを識別するカスタム ホスト ヘッダーを含めます。

これらの設定により、ヘルス チェックは、バックエンド インスタンスに特定の URL に HTTP 要求を送信し、応答が正常であることを確認します。

その他の選択肢の説明：

• A. request-path をヘルス チェックに使用する特定の URL に設定し、proxy-header を PROXY_V1 に設定します。

  • proxy-header は、プロキシによって追加されるヘッダーを指定します。ヘルス チェックでは、プロキシが追加するヘッダーを考慮する必要はありません。

• C. request-path をヘルス チェックに使用する特定の URL に設定し、response をバックエンド サービスが常に応答本文で返す文字列に設定します。

  • response は、ヘルス チェックの成功または失敗を示す応答コードを指定します。このシナリオでは、ヘルス チェックの成功または失敗を示すカスタム ホスト ヘッダーを使用します。

• D. proxy-header をデフォルト値に設定し、host を設定して、ヘルス チェックを識別するカスタム ホスト ヘッダーを含めます。

  • proxy-header をデフォルト値に設定すると、ヘルス チェックは、プロキシによって追加されるすべてのヘッダーを考慮します。このシナリオでは、カスタム ホスト ヘッダーのみを考慮する必要があります。

---

7.

2 つの Cloud Router を設定して、一方がアクティブなボーダー ゲートウェイ プロトコル（BGP）セッションを持ち、もう一方がスタンバイとして機能するようにします。
オンプレミス ルーターで使用する必要がある BGP 属性はどれですか?

A. コミュニティ
B. AS パス
C. ローカル設定
D. マルチ出口弁別器

正解：D

解説:
D. マルチ出口弁別器 が正解です。
BGP マルチ出口弁別子 (MED) は、ルートを優先順位付けするために使用される数値です。Google Cloud では、アクティブな Cloud Router に最も低い MED 値を指定します。これにより、オンプレミス ルーターは、アクティブな Cloud Router からルートを優先して学習します。
その他の選択肢の説明：

• A. コミュニティ: BGP コミュニティは、ルートを識別するために使用される任意の文字列です。Google Cloud では、コミュニティは使用されません。

• B. AS パス: BGP AS パスは、ルートの AS パスを指定します。Google Cloud では、AS パスは使用されません。

• C. ローカル設定: BGP ローカル設定は、BGP セッションのローカル アドレスとポートを指定します。Google Cloud では、ローカル設定は自動的に設定されます。

したがって、このシナリオでは、オンプレミス ルーターにマルチ出口弁別子を設定する必要があります。

---

8.

gcloud コマンドを使用して、ポリシーベースのルーティング用に構成された Cloud VPN ゲートウェイの背後にあるオンプレミス リソースへの静的ルートを構成する必要があります。
どのネクスト ホップを選択する必要がありますか?

A. デフォルトのインターネット ゲートウェイ
B. Cloud VPN ゲートウェイの IP アドレス
C. Cloud VPN トンネルの名前とリージョン
D. VPN トンネルのリモート側にあるインスタンスの IP アドレス

正解：C

解説:
C. Cloud VPN トンネルの名前とリージョン が正解です。
ポリシーベースのルーティングを使用すると、Cloud VPN トンネルの特定のペアを使用してトラフィックをルーティングできます。そのため、静的ルートを構成するときに、そのトンネルの名前とリージョンをネクスト ホップとして指定する必要があります。
その他の選択肢の説明：

• A. デフォルトのインターネット ゲートウェイ: デフォルトのインターネット ゲートウェイは、グローバル ルーティングを使用する場合に使用されます。ポリシーベースのルーティングを使用する場合は、デフォルトのインターネット ゲートウェイは使用されません。

• B. Cloud VPN ゲートウェイの IP アドレス: Cloud VPN ゲートウェイの IP アドレスは、トラフィックをオンプレミス ネットワークにルーティングするために使用されます。ただし、ポリシーベースのルーティングでは、特定の Cloud VPN トンネルを使用してトラフィックをルーティングする必要があります。

• D. VPN トンネルのリモート側にあるインスタンスの IP アドレス: VPN トンネルのリモート側にあるインスタンスの IP アドレスは、トラフィックをオンプレミス ネットワークにルーティングするために使用されます。ただし、ポリシーベースのルーティングでは、特定の Cloud VPN トンネルを使用してトラフィックをルーティングする必要があります。

したがって、このシナリオでは、Cloud VPN トンネルの名前とリージョンを静的ルートのネクスト ホップとして指定する必要があります。

---

9.

2 つの Cloud Router を設定して、一方がアクティブなボーダー ゲートウェイ プロトコル（BGP）セッションを持ち、もう一方がスタンバイとして機能するようにします。
オンプレミス ルーターで使用する必要がある BGP 属性はどれですか?

A. コミュニティ
B. AS パス
C. ローカル設定
D. マルチ出口弁別器

正解：D

解説:
D. マルチ出口弁別器 が正解です。
BGP マルチ出口弁別子 (MED) は、ルートを優先順位付けするために使用される数値です。Google Cloud では、アクティブな Cloud Router に最も低い MED 値を指定します。これにより、オンプレミス ルーターは、アクティブな Cloud Router からルートを優先して学習します。
その他の選択肢の説明：

• A. コミュニティ: BGP コミュニティは、ルートを識別するために使用される任意の文字列です。Google Cloud では、コミュニティは使用されません。

• B. AS パス: BGP AS パスは、ルートの AS パスを指定します。Google Cloud では、AS パスは使用されません。

• C. ローカル設定: BGP ローカル設定は、BGP セッションのローカル アドレスとポートを指定します。Google Cloud では、ローカル設定は自動的に設定されます。

したがって、このシナリオでは、オンプレミス ルーターにマルチ出口弁別子を設定する必要があります。
詳細解説:
BGP マルチ出口弁別子は、ルートを優先順位付けするために使用される数値です。BGP セッションに参加する各ルータは、ルート学習時に、各ルートに MED 値を割り当てます。MED 値が小さいルートの方が優先されます。
Google Cloud では、アクティブな Cloud Router に最も低い MED 値を指定します。これにより、オンプレミス ルーターは、アクティブな Cloud Router からルートを優先して学習します。
オンプレミス ルーターで MED 値を設定するには、次の手順を実行します。

1. オンプレミス ルーターで BGP セッションを構成します。

2. ルート学習プロセスで MED 値を使用するように、BGP セッションを構成します。

3. 各ルートに対して MED 値を指定します。

オンプレミス ルーターで BGP セッションを構成する方法については、オンプレミス ルーターベンダーのドキュメントを参照してください。ルート学習プロセスで MED 値を使用するように BGP セッションを構成する方法については、Google Cloud のドキュメントを参照してください。各ルートに対して MED 値を指定するには、BGP ルートマップを使用してください。

---

10.

gcloud コマンドを使用して、ポリシーベースのルーティング用に構成された Cloud VPN ゲートウェイの背後にあるオンプレミス リソースへの静的ルートを構成する必要があります。
どのネクスト ホップを選択する必要がありますか?

A. デフォルトのインターネット ゲートウェイ
B. Cloud VPN ゲートウェイの IP アドレス
C. Cloud VPN トンネルの名前とリージョン
D. VPN トンネルのリモート側にあるインスタンスの IP アドレス

正解：C

解説:
C. Cloud VPN トンネルの名前とリージョン が正解です。
ポリシーベースのルーティングを使用すると、Cloud VPN トンネルの特定のペアを使用してトラフィックをルーティングできます。そのため、静的ルートを構成するときに、そのトンネルの名前とリージョンをネクスト ホップとして指定する必要があります。
その他の選択肢の説明：

• A. デフォルトのインターネット ゲートウェイ: デフォルトのインターネット ゲートウェイは、グローバル ルーティングを使用する場合に使用されます。ポリシーベースのルーティングを使用する場合は、デフォルトのインターネット ゲートウェイは使用されません。

• B. Cloud VPN ゲートウェイの IP アドレス: Cloud VPN ゲートウェイの IP アドレスは、トラフィックをオンプレミス ネットワークにルーティングするために使用されます。ただし、ポリシーベースのルーティングでは、特定の Cloud VPN トンネルを使用してトラフィックをルーティングする必要があります。

• D. VPN トンネルのリモート側にあるインスタンスの IP アドレス: VPN トンネルのリモート側にあるインスタンスの IP アドレスは、トラフィックをオンプレミス ネットワークにルーティングするために使用されます。ただし、ポリシーベースのルーティングでは、特定の Cloud VPN トンネルを使用してトラフィックをルーティングする必要があります。

したがって、このシナリオでは、Cloud VPN トンネルの名前とリージョンを静的ルートのネクスト ホップとして指定する必要があります。