GCP GCA认证考试Case错题库1(JenciMart+Helicopter+EHR)
整理by Moshow郑锴@https://zhengkai.blog.csdn.net/
JenciMart
在生产和开发资源之间进行管理职责分离的最小权限模型中,最佳实践是每个应用程序的每个阶段都有自己的项目。这种设置确保权限是细化的,并且特定于开发的每个阶段,从而允许更好的控制和安全性。
正确答案是C. 为本地基础设施提供服务帐户密钥,并为VM使用Google Cloud Platform (GCP) 管理的密钥。
解释为什么选项C是正确的:
- 为本地基础设施提供服务帐户密钥使现有基础设施在迁移过程中能够安全地访问Google Cloud Datastore。
- 为VM使用Google Cloud Platform (GCP) 管理的密钥确保Google Compute Engine (GCE) 虚拟机能够安全访问Google Cloud Platform内的必要资源。
"Storage都不是Network的bottleneck"
A. 单一VPN隧道限制吞吐量 - 这是一个潜在的瓶颈,因为单一VPN隧道可能会限制在JencoMart的本地基础设施和Google Cloud Platform (GCP) 之间传输的数据量。增加VPN隧道的数量可以帮助最大化吞吐量。
C. 不适合长距离操作的复制命令 - 这可能是一个瓶颈,因为复制命令可能没有针对长距离数据传输进行优化。使用更适合长距离的命令可以帮助提高吞吐量。
F. 本地基础设施与GCP之间复杂的互联网连接 - 复杂的互联网连接可能会导致延迟和降低吞吐量。简化本地基础设施与GCP之间的连接可以帮助提高数据传输速度。
Google Cloud Datastore 是一个高度可扩展的NoSQL数据库,适用于需要高吞吐量和低延迟存储的应用程序。在这种情况下,JencoMart 的用户配置文件数据库目前存储在具有复杂表结构的 Oracle 数据库中,可以受益于 Google Cloud Datastore 的可扩展性和性能。用户配置文件数据库被描述为具有良好维护的、干净的数据结构,这使其适合像 Google Cloud Datastore 这样的 NoSQL 数据库。
Helicopter
您的团队负责创建一个支付卡数据保险库,用于存储用于向成千上万的观众、商品消费者和季票持有人收费的卡号。您需要实现一个自定义的卡号令牌化服务,该服务应满足以下要求:
- 它必须提供低延迟且成本最低。
- 它必须能够识别重复的信用卡,并且不得存储明文卡号。
- 它应支持年度密钥轮换。
应采用哪种存储方法来实现您的令牌化服务?正确答案是B. 使用确定性算法加密卡数据,并将其存储在Firestore的Datastore模式中。
- 将卡数据存储在Firestore的Datastore模式中,可以为管理大量数据提供一个可扩展且成本效益高的解决方案。Firestore提供低延迟的数据访问和高效的查询功能。
- 使用确定性算法加密卡数据,确保数据的安全性,并且不存储明文卡号。此方法满足不存储明文卡号的要求。
- 使用Firestore进行存储还支持年度密钥轮换。
- 可解释人工智能(XAI)允许AI模型具备透明度和可解释性,使组织能够理解预测是如何生成的。通过使用可解释人工智能,HRL可以深入了解影响其机器学习预测模型的因素,帮助他们提高预测准确性并有效解释结果。
为什么其他选项不正确:- understand so it's explainable
B. 使用视觉AI:视觉AI是一种专注于图像识别和分析的服务。虽然它在某些应用中非常有用,但在HRL的需求背景下,它与提高机器学习模型的预测准确性没有直接关系。
正确答案是C. 使用BigQuery以其可扩展性和添加列到模式的能力。基于赛季对比赛数据进行分区。
- BigQuery: BigQuery是一个完全托管、无服务器、高度可扩展且成本效益高的多云数据仓库。它适合存储和分析大量数据,非常适合HRL的比赛数据存储需求。使用BigQuery,您可以根据需要轻松地向模式添加列,这与根据数据量和收集信息计划数据增长的要求一致。
- 分区: 通过在BigQuery中基于赛季对比赛数据进行分区,您可以有效地管理和查询每个赛季的历史记录。这种方法允许您仅使用前一个赛季的数据进行模型训练,同时保持所有历史记录可访问。
为什么其他选项不正确的解释:B. 使用Cloud Spanner以其可扩展性和零停机时间版本控制的能力。使用赛季作为主键拆分比赛数据。
- Cloud Spanner是一个水平可扩展、强一致性的关系数据库服务,但根据提供的要求,它可能对于存储比赛数据来说过于强大。使用赛季作为主键拆分比赛数据可能无法提供有效处理数据增长和查询历史记录所需的灵活性。
正确答案是选项C:使用gcloud recommender命令列出闲置的虚拟机实例。
在这种情况下,你需要快速识别哪些虚拟机实例是闲置的。gcloud recommender命令是Google Cloud提供的一个工具,它分析你当前的资源使用情况,并提供优化资源的建议。通过使用这个命令,你可以获得可能是僵尸机器的闲置虚拟机实例列表,这些实例在工作负载完成后未被删除。这将使你能够轻松识别并采取措施处理这些实例。
D. 识别托管实例组中不再响应健康检查探针的Compute Engine实例并不一定表示这些实例是闲置的。这些实例可能仍在积极运行工作负载,但在健康检查方面遇到问题。这种方法并不能直接解决识别闲置实例的需求。
EHR
正确答案是A. 在GKE上启用二进制授权,并在CI/CD流水线中对容器进行签名,和D. 配置容器注册表以使用漏洞扫描,以确认在部署工作负载之前没有漏洞。(没问题)
A. 在Google Kubernetes Engine (GKE)上启用二进制授权,确保只部署经过验证的容器。通过在CI/CD流水线中对容器进行签名,你可以执行策略以防止未验证的容器被部署,从而增强安全性。
D. 配置容器注册表以在部署工作负载之前使用漏洞扫描,对于确保容器没有漏洞至关重要。 这一步有助于在部署前识别和解决任何安全问题,降低被利用的风险。
为什么其他选项不正确:
B. 配置Jenkins以使用Kritis在CI/CD流水线中加密签名容器,在这种情况下不是最好的方法。 Kritis用于Kubernetes中的策略执行,而不是容器签名。在GKE上启用二进制授权是容器验证的更合适选择。
C. 配置容器注册表只允许可信的服务账号从注册表创建和部署容器是一个很好的安全实践,但它 并不直接解决在部署前验证容器的需求。在容器注册表中启用漏洞扫描提供了更全面的容器安全保证。
选项A:添加新的专用互连连接,是正确答案。 EHR需要Dedicate Inteconnect connenction
解释为什么A是正确的:
- EHR Healthcare是医疗行业电子健康记录软件的领先提供商,由于快速增长,他们需要扩大环境规模,调整灾难恢复计划,并推出新的持续部署功能。
- Google Cloud已被选择取代他们当前的共置设施,表明他们正朝着更具可扩展性和弹性的平台迈进。
- 要升级EHR连接以符合他们的要求,专用互连连接提供了一个专用的、私有的连接,用于本地网络和Google Cloud之间,确保低延迟、高可靠性和一致的性能。
解释其他选项为什么不正确:
B. 除非有特定的增加带宽需求,否则不需要将专用互连连接的带宽升级到100 G。问题的重点是升级EHR连接以满足业务关键需求并符合网络和安全策略要求,并没有具体要求带宽升级。
C. 添加三个新的Cloud VPN连接并不是像EHR Healthcare这样业务关键需求的理想解决方案。Cloud VPN连接通常用于远程访问或站点间VPN连接,但它们可能无法提供与专用互连连接相同的性能、可靠性和安全性。
D. 添加新的运营商对等连接可能无法提供EHR Healthcare业务关键需求所需的专用、私有连接。运营商对等连接通常用于与网络服务提供商对等,但它们可能无法提供与专用互连连接相同的性能、可靠性和安全性,尤其是对于电子健康记录软件的领先提供商来说。
在这种情况下,开发人员希望提高在迁移到Google Cloud后遇到超时错误的应用程序的发布延迟。应用程序未记录任何Pub/Sub发布错误表明问题可能与消息在Pub/Sub中的处理方式有关。
正确答案:
C. 关闭Pub/Sub消息批处理。
C为什么是正确的:
通过关闭Pub/Sub消息批处理,开发人员可以提高应用程序的发布延迟。 消息批处理允许一次处理多个消息,这可能会导致单个消息处理的延迟。通过关闭批处理,每个消息将单独处理,可能会减少整体延迟。
其他选项为什么不正确:
B. 将Pub/Sub订阅者拉模型更改为推模型可能 在某些情况下有帮助,但可能不会直接解决提高发布延迟的问题。更改消息检索方法不一定能优化消息处理以减少延迟。
D. 创建备份Pub/Sub消息队列与提高发布延迟无关。这个选项侧重于在失败时创建消息处理的冗余,但它不能直接解决减少消息处理延迟的问题。
总体解释A. 创建一个组织策略,限制仅在前端Compute Engine实例上允许外部IP地址。
这个选项是正确的,因为创建一个限制仅在前端Compute Engine实例上允许外部IP地址的组织策略,符合确保无人能够在后端Compute Engine实例上设置外部IP地址的要求。通过设置这一策略约束,你可以在组织层面上强制执行这一限制,确保外部IP地址仅配置在前端实例上。
为什么其他选项不正确:
B. Revolve撤销所有前端实例项目中用户的compute.networkAdmin角色并不是最佳方法,因为它并没有具体解决限制后端实例上外部IP地址的要求。这个选项的重点是移除一个角色,而不是执行特定的策略约束。
C. 创建一个将IT工作人员映射到组织的compute.networkAdmin角色的身份和访问管理(IAM)策略,与控制Compute Engine实例上的外部IP地址的要求没有直接关系。这个选项更多地是关于分配角色给IT工作人员,而不是执行IP地址配置的限制。
D. 创建一个名为GCE_FRONTEND且具有compute.addresses.create权限的自定义身份和访问管理(IAM)角色,并不能解决限制后端Compute Engine实例上外部IP地址的要求。这个选项引入了一个新的自定义角色,但并没有确保外部IP地址仅按照提供的场景需求配置在前端实例上。
总体解释正确答案是A。使用具有配置了主授权网络的私有端点的私有集群。
- 使用具有私有端点的私有集群可以确保Kubernetes集群与公共互联网隔离,通过限制集群的外部访问来减少攻击面。
- 配置主授权网络将Kubernetes主API端点的访问限制在特定的IP范围内,通过仅允许授权的网络与Kubernetes主节点进行通信来进一步增强安全性。