【直前対策】Google Cloud 認定資格 - Associate Cloud Engineer - 模擬試験2回付

Google Cloudで仮想コンピュータサービスは大きく分けるとIaaSであるCompute Engine、PaaSであるApp Engine、そしてその中間に位置するGKE、またサーバーレス環境としてCloud Functions、Cloud Runなどがあります。以下にGoogle CloudでComputeにカテゴライズされるサービスとその特徴をまとめてみます。

コンピュータにカテゴライズされているのは、アプリケーションを稼働させるための基盤ということです。Compute Engineはこれまでのオンプレ環境ではいわゆるサーバーと呼ばれる基盤を提供するサービスです。

Compute Engine インスタンス起動から運用までのステップを確認しておきましょう。

Compute Engineではコンピューターのスペックつまり性能を選択することができます。これからWebサイトを立ち上げたいのか、CGをレンダリングしたいのか、画像を処理したいのかによってスペックが違ってきます。ここではマシンタイプ・マシンファミリーに関して解説いたします。

Compute Engineでインスタンスを起動するためには、OSをインストールした状態のイメージを作成し、毎回OSやその他の詳細設定を指定することなく、イメージつまりブートディスクを作成します。ここではマシンイメージとスナップショットに関して解説いたします。

Compute Engineで仮想マシンインスタンスを作成する際に、その場所を指定する必要があります。リージョンは米国、ヨーロッパ、アジアといった地域内にいくつかのリージョンがあり、そのリージョンの中にゾーンが複数選択できるといった構成です。

Compute Engineを運用する際に、スケーラビリティと可用性を求められる場合にこのMIGでの運用を検討します。

Spot VMは、Google Cloud上で提供される、余剰リソースを活用した低価格な仮想マシンサービスです。通常のVMインスタンスと比べて最大91％の割引が可能で、バッチ処理ジョブやテスト環境など、一時的なワークロードやコストを抑えたいワークロードに最適です。ここではその特徴について解説いたします。

ここではPaaSコンピューティングのApp Engineに関してその特徴を解説いたします。

GAEは２つの環境が提供されており、フレキシブル環境はGAEのメリットを享受しつつIaaS的なオプションも提供されているため、スタンダード環境よりも柔軟な要求に対応することも可能です。

GAEスタンダード環境のようにVPCを必要としないサービスとCloud VPCで接続されているオンプレ環境のデータベースにアクセスする必要がある場合などにサーバーレスVPCアクセスを検討します。

App Engine のトラフィック分割機能は、複数のバージョン間でトラフィックを柔軟に分配できる強力なツールです。従来の IaaS ソリューションとの比較における主な利点と特徴を解説いたします。

データを保存（一時保存含む）するサービスが非常に豊富に提供されています。利用シーンごとに最適なサービスを選択することが必要なってきます。各サービスの特徴を正しく理解し、提示される問題の趣旨に最も沿ったサービスの選択はもちろん、サービスの設定オプションや詳細な設定値なども出題される場合があるため、そのポイントを効率よく理解することが合格へのキーとなります。ここではGoogle Cloudのストレージに属するサービスに関して解説していきいます。

ここではACEでも出題頻度が高いCloud Storageについて説明いたします。

Cloud Storageには、Standard Storage、Nearline Storage、Coldline Storage、Archive Storage の4つのストレージクラスがあります。それぞれ異なる速度とコストで提供されており、データのアクセス頻度や重要性、予算に合わせて最適なクラスを選択することが重要です。それではその４つのストレージクラスに関して見ていきましょう。

Cloud Storageに関して、このオブジェクトライフサイクルとオブジェクトバージョニングは出題される傾向があります。ここではそれに関して解説いたします。

gsutil コマンドラインインターフェースは、Cloud Storage との操作を効率的かつ柔軟に行うための強力なツールに関して解説いたします。

Cloud Storageとデータアクセスログ（Data Access Logs）は、密接に関連しており、ストレージ環境のセキュリティとコンプライアンスを強化するために重要な役割を果たします。ここではそれに関してご説明いたします。

Cloud Storageを利用する場合に、何かのワークフローやアクションと連携して、アップロードやライフサイクルを変更するといったことが考えられます。ACEでも問題文に提示された利用シーンを実現するために最適な方法を選択しなければならない場合があります。ここではその中でも出題頻度が高い、Cloud Pun/SubとCloud Funcrtionsとの連携に関して解説します。

動的WebサーバーとCloud Storageでの静的コンテンツ配信を連携して運用したい場合、フロントエンドにてロードバランサーが必要になります。ここではそれに関して解説いたします。

Google Cloudにおけるデータの保存先として、ストレージの他にデータベースががあります。Google Cloudにはその用途や利用シーンごとにデータベースサービスが提供されているため、それぞれの特徴を理解しておくことが重要です。

ACEでもデータベースの選択問題が出題され、その選択肢としてCloud Spannerがよく出されます。ここでその特徴と利用シーンを確認しておきます。

オンプレからのリレーショナル·データベースの移行先として最も有力な候補となるCloud SQL。ここではACEでのポイントを中心にご説明いたします。

Google CloudのDWHプラットフォーム的なBigQueryと他のデータフローなどとの組み合わせによる最適なソリューション提案などの質問が出題されます。

Cloud Dataflowはデータベースではありませんが、各種データベース、ストレージなどと連携する場合の出題が多いため、こちらのセクションにて説明いたします。

それら多くの企業が自前のIT環境をベンダー経由もしくは自社で構築、管理、運用しています。そのような企業がクラウドへの移行を決定した場合、次に検討しなければいけないのは移行先をIaaS環境中心にリフト＆シフトするのか、それとも可能な限りPaaS環境へ移行するモダナイゼーションのいずれを選択するかということです。ここではそれぞれのパターンに関しての詳しい説明とメリット、デメリットを解説したいと思います。

クラウドへの移行パターンはいくつかあります。ここではACEで出題の可能性がある２つのパターンに絞って解説をしてい行きます。

殆どの企業ではオンプレ環境をクラウドへ移行することを検討しています。Google Cloudではそのようなマイグレーションに特化したツール群を数多く提供しています。ここではGoogle Cloudでマイグレーションにカテゴライズされるサービスをまとめます。

Google Cloud でユーザーに適切な権限を付与することは、セキュリティとガバナンスにとって重要です。過剰な権限を付与すると、セキュリティリスクが高まりますが、必要な権限が不足していると、ユーザーが業務を遂行できなくなります。ACEでは各利用シーンごとにベストプラクティックに沿って適切に組織、ロール、グループ、IAMなどを設定する方法が出題されます。次のセクションでは、Google Cloudで推奨される基本的なガイドラインに関して説明いたします。

Google Cloud では、以下の原則に基づいて、ユーザーに適切な権限を付与することを推奨しています。この原則を覚えておく事により、解答肢の中から正解を導く精度を上げることができます。

Google Cloudでは管理すべきサービスはリソースと呼び、Compute EngineやCloud Storageなどは組織、フォルダ、プロジェクトと言ったリソース階層によりアクセス制御する仕組みになっています（リソース階層の例を参照）。ここではそれらに関して解説いたします。

Google Cloudにおける権限の管理に関して、各名称や役割に関してしっかりと理解しておきましょう。Google Cloudにおけるアクセス管理モデルはプリンシパル、ロール、ポリシーから構成されています。

Google CloudではIAMなどのアクセス権限の取り扱いに関してベストプラクティスが提示されています。ここではACEに関連があるベストプラクティスをいくつかご紹介いたします。

ACEの中では比較的出題数の少ないセキュリティ関連の問題ですが、ここでは試験対策として最低限押さえておくべき項目に関して説明いたします。

鍵の管理を可能な限り、マネージドで管理するためのサービスとしてCloud Key ManagementのようなKMSがGoogle Cloudでも利用可能です。ここではそれに関してご説明いたします。

暗号化とは別に機密情報を検出、分類、保護するマネージドサービスとしてDLPの出題もACEでは多くなっています。ここではそれに関してご説明いたします。

Secret Managerを利用しコード内にはIDやパスワードを平分で記述することなく、安全に接続することが可能になります。

SSHキーペアは、暗号化技術を用いた認証方式であり、パスワードの代わりに、公開鍵と秘密鍵のペアを使用してユーザーを認証します。

Identity-Aware Proxy (IAP) は、Google Cloudの認証とアクセス制御 を担う重要なサービスです。従来のファイアウォールやVPNに代わる、ゼロトラストセキュリティモデル に基づいたアクセス制御を実現し、Google Cloud リソースへの安全かつ効率的なアクセスを提供します。

サービスアカウントキーは、Google Cloud上でサービスアカウントを認証するために使用される暗号鍵です。ここではそれに関して説明いたします。

Google Cloudは文字通りGoogleの地球規模のネットワークをバックボーンに、高速で安定した回線によりグローバルロードバランサーに代表されるリージョン間の高速通信が特徴です。ここではGoogle Cloudのネットワーク関連のサービスについて見ていきたいと思います。

Google Cloudにおいて、VPC（Virtual Private Cloud） の定義は、仮想ネットワークを作成し、リソースを整理、保護、管理するための基盤となる重要な要素です。オンプレミスでは、さまざまなネットワーク機器を配置して、適切にネットワークを設定、運用することは簡単ではありませんでした。VPCは従来のオンプレミスネットワークと同様の機能を提供し、ここではその重要な利点に関して説明いたします。

Google Cloud では、サブネット作成モードで決定される 2 種類の VPC ネットワークを提供します。

ネットワーク管理者はすべてのプロジェクトとプロジェクト間のネットワークトポロジに責任を持つためには、勝手にアプリケーション開発者や開発インフラ担当にネットワークの変更までしてほしくない場合もあります。これをIAM、ロール、サービスアカウントだけで実現することが難しいような場合、この共有VPCネットワークとの併用を検討します。

ACEでは、ネットワークの一部として適切なロードバランサの選択問題も出題されます。このセッション内容を可能な限り覚えて、出題に際して最適なロードバランサを選択できるようにしておいてください。

外部 HTTP(S) ロード バランシングは、プロキシベースのレイヤ 7 ロードバランサであり、単一の外部 IP アドレスの背後でサービスを実行し、スケーリングできます。外部 HTTP(S) ロード バランシングは、さまざまな Google Cloud（Compute Engine、Google Kubernetes Engine（GKE）、Cloud Storage など）でホストされているバックエンドや、インターネットまたはハイブリッド接続を介して接続された外部バックエンドに、HTTP / HTTPS のトラフィックを分散します。

Cloud CDN は、外部 HTTP(S) 負荷分散と連携してユーザーにコンテンツを配信します。外部 HTTP(S) ロードバランサが、リクエストを受信するフロントエンド IP アドレスとポート、そしてリクエストに応答するバックエンド（または送信元）を提供します。

ネットワークロードバランサーに関して他のロードバランサーと比較した特徴をこちらにまとめます。

外部 TCP プロキシロードバランサは、インターネットから送信された 外部 TCP トラフィックを Google Cloud VPC ネットワークの仮想マシン（VM）インスタンスに分散するリバース プロキシ ロードバランサです。

Google Cloudではネットワークタグをそれぞれのインスタンスに付与し、その（ネットワーク）タグに対して別途ファイアウォールルールによりインバウンド、アウトバウンドの通信許可もしくは不可を定義します。ここではそれに関してご説明いたします。

ここでは限定公開のGoogleアクセス（Private Google Access）に関してACEで想定される例題問題を解説いたします。

VPC内のインスタンスからCloud StorageなどのGoogleが提供するサービスにアクセスする場合、storage.googleapis.comなどのインターネットを経由してアクセスすることになります。安全に内部IP経由でアクセスしたい場合に、このPrivate Service Connectを利用します。

ここではGKEを詳しく解説する前に、関連するいくつかのトピックに関して順に説明し、最終的にGKEの特徴や導入メリットを理解していただければと思います。ACEにもマイクロサービスに関連したGKEに関する出題も比較的多いため、以下のようなステップで一つずつ解説したいと思います。

1. マイクロサービスを採用すべき理由

2. マイクロサービスとコンテナ、オーケストレーションの関係

3. GKEの特徴とアドバンテージ

マイクロサービスを採用すべき理由をわかりやすく解説いたします。

ここで改めてマイクロサービスを採用すべき理由をまとめます。

前のセクションでマイクロサービスに関しては説明いたしましたので、ここではコンテナとオーケストレーションに関して簡単に説明し、その後で３つの関連性に関して解説いたします。

コンテナは、アプリケーションと必要な環境をまとめて一つのパッケージにまとめたものです。まるで段ボール箱に入った引っ越し荷物のようなイメージです。ここではコンテナとオーケストレーションに関して簡単に説明し、その後で３つの関連性に関して解説いたします。

オーケストレーションツールは、まるでコンサートの指揮者のように、複数のコンテナを管理し、協調して動作させます。ちなみにKubernetesは、コンテナ化されたアプリケーションのデプロイと管理を自動化するためのオープンソースプラットフォームです。

マイクロサービスアーキテクチャでアプリケーションを分割し、コンテナでパッケージ化し、オーケストレーションツールで管理することで、以下のようなメリットを実現できます。ここではそのポイントに関して説明いたします。

DockerやKubernetesなどのオープンソースツールを運用することは、多くのメリットをもたらします。しかし、運用には複雑なタスクや専門知識が必要となる場合もあります。

Google Kubernetes Engine（GKE）は、Google Cloud上で動作するマネージドサービスです。GKEは、Kubernetesの運用を自動化し、そのメリットを解説いたします。

ACEではGKEのデプロイメントにマンする問題が出題されることがあります。ここで簡単にそのステップを理解しておきましょう。

GKEではインフラ環境の作成とアプリケーションのデプロイメントでそれぞれ別のコマンドを使用します。この２つの違いを明確に理解しておくことが重要です。GKEでのKubernates clusterの作成にはgcloudコマンド、デプロイメントにはkubectlを使用して定義ファイルからデプロイメントを行います。ここでその２つのコマンド例を見ていきましょう。

GKEクラスタは、マイクロサービスアーキテクチャを採用したアプリケーションをデプロイおよび管理するための強力なプラットフォームです。

GKEクラスタは、大きく3種類に分類されます。ここではその３つに関して特徴を説明いたします。

GKEクラスタのノードプールにオートスケーリングを有効にすることで、クラスターは自動的に必要なリソースをスケールアップまたはスケールダウンできます。ここでは例題問題により２つのオートスケーリングに関して説明いたします。

近年、クラウドネイティブ開発が主流となり、Kubernetes をはじめとするコンテナオーケストレーション技術が広く採用されています。しかし、Google Cloud などのクラウドサービスと Kubernetes を連携させるには、複雑な構成システムや API を駆使する必要があり、運用負荷が課題となっていました。

そこで登場したのが、オープンソースアドオン「Config Connector」です。