GCP GCA认证考试Case错题库2(Mountkrik Games+TerramEarth)

Mountkrik Games

总体解释正确答案是A. 测试应该远远超出先前的方法。

Mountkirk Games 正在开发一款新的游戏，预计会非常受欢迎。为了应对他们过去在扩大全球受众、应用服务器、MySQL 数据库和分析工具方面面临的问题，他们计划将游戏的后端部署在 Google Compute Engine 上。这种新基础设施将允许他们捕捉流媒体指标，运行密集的分析，并利用自动扩展功能和托管的 NoSQL 数据库。

鉴于新游戏后端对可扩展性和性能的重视，测试策略也应重点确保系统能够根据游戏活动有效扩展。因此，测试覆盖应设计得远远超出先前的方法，以确保游戏能够处理预期的负载并在不同需求水平下表现最佳。

D. 测试应包括直接测试 Google Cloud Platform (GCP) 基础设施——这种说法不正确，因为 直接测试基础设施通常不属于应用程序测试策略的一部分。虽然确保应用程序在所选基础设施环境中正常运行很重要，但测试基础设施本身通常是运维团队的责任，以确保其能够支持应用程序的需求。

选项 D 正确原因解释：选项 D 是正确答案，因为它符合案例研究中概述的 Mountkirk Games 的技术要求。 (他不需要省钱，重要的是性能)

1. 使用托管实例组和自动扩缩策略创建全局负载均衡器：这符合根据游戏活动动态扩大或缩小游戏后端平台和游戏分析平台的要求。具有托管实例组的全局负载均衡器允许在多个实例之间有效分配传入流量，从而确保可扩展性和高可用性。

2. 使用非抢占式 Compute Engine 实例：非抢占式实例适用于需要一致性能和可用性的关键工作负载。由于 Mountkirk Games 希望提高正常运行时间并减少停机时间，因此使用非抢占式实例可确保游戏后端和分析平台保持稳定和正常运行。

正确答案是选项A：在游戏分析平台上部署故障注入软件， 以便向移动客户端分析流量注入额外的延迟。

这个选项是正确的，因为它直接解决了通过模拟对移动客户端分析流量的额外延迟来测试分析平台对移动网络延迟变化的弹性需求。通过注入延迟，Mountkirk Games可以评估分析平台在不同网络条件下的表现，并确保它能够有效处理延迟。

为什么其他选项不正确：

B. 构建一个可以从Compute Engine虚拟机上的移动电话模拟器运行的测试客户端，并在Google Cloud Platform全球各地的区域运行多个副本，重点在于生成真实流量，但并没有具体解决测试分析平台对移动网络延迟变化的弹性问题。

D. 使用Cloud Bigtable存储时间序列数据，使用Cloud Spanner存储事务性数据，并使用BigQuery进行历史数据查询。

1. Cloud Bigtable用于时间序列数据：由于其能够以低延迟处理大量数据，Cloud Bigtable是存储时间序列数据的良好选择。Mountkirk Games需要在时间序列数据库服务中存储游戏活动以供未来分析，Cloud Bigtable非常适合这一需求。
2. Cloud Spanner用于事务性数据：Cloud Spanner是一个完全托管的、可扩展的关系数据库服务，提供强一致性和高可用性。Mountkirk Games需要连接到一个事务性数据库服务来管理用户档案和游戏状态，Cloud Spanner适合这一目的。
3. BigQuery用于历史数据查询：BigQuery是一个无服务器、高度可扩展且具有成本效益的多云数据仓库，适用于分析工作负载。Mountkirk Games需要允许查询访问至少10 TB的历史数据，而BigQuery旨在快速查询大型数据集。

正确答案是C：为后端创建一个实例模板。在每个区域，将其部署在多区域托管实例组上。使用L7负载均衡器。

1. 实例模板：创建实例模板允许你定义机器类型、启动磁盘映像和其他实例属性一次性使用，并在各个区域创建实例。这确保了实例管理的一致性和效率。
2. 多区域托管实例组：将后端部署在多区域托管实例组上确保高可用性和容错能力。如果一个区域出现故障，工作负载可以自动分配到其他区域的实例中，从而保持服务的可用性。
3. L7负载均衡器：使用L7负载均衡器（第七层负载均衡器）允许你执行基于内容的路由决策，这对于你的游戏通过REST API与后端通信非常重要。L7负载均衡器可以检查应用层数据并基于这些信息做出路由决策，从而在流量管理方面提供更好的控制和灵活性。

正确答案是D：为Anthos配置Ingress，使用全局负载均衡器和Google Kubernetes Engine（GKE）。

在这种情况下，Mountkirk Games正在开发一款新的多人游戏，该游戏将部署在Google Kubernetes Engine（GKE）上，以利用其可扩展性和全局负载均衡器将玩家路由到最近的区域游戏场馆。Anthos是一个平台，能够跨多个集群和多个云管理应用程序。通过为Anthos配置Ingress，使用全局负载均衡器和GKE，Mountkirk Games将能够满足在多个Google Cloud区域内定位每个区域游戏实例的要求。这种设置将允许基于游戏活动进行动态扩展，并在多个区域内优化低延迟。

为什么其他选项不正确的解释：

B. 配置带有全局负载均衡器和Google Kubernetes Engine的kubemci：Kubemci是一个用于管理Google Kubernetes Engine多集群Ingress的工具。尽管此选项涉及使用GKE，但它没有提到Anthos，这是在这种情况下跨多个集群和云管理应用程序所必需的。 仅使用kubemci可能无法提供满足新多人游戏需求的必要功能。

C. 配置带有Google Kubernetes Engine的全局负载均衡器：此选项涉及使用Google Kubernetes Engine的全局负载均衡器，这是朝着正确方向迈出的一步。然而，它没有提到为Anthos配置Ingress，而这是在多个Google Cloud区域和集群中管理部署所必需的。 没有Anthos，可能难以满足在多个区域内定位每个区域游戏实例的具体要求。

A. 配置 Workload Identity 和服务账号以供应用平台使用。

• Workload Identity 允许 Google Cloud 工作负载安全地对 Google Cloud API 和服务进行身份验证。通过使用 Workload Identity 和服务账号，应用平台可以安全地进行身份验证并访问 Google Cloud 资源，而无需管理或暴露敏感凭据。
• 这符合 Google 推荐的安全连接实践，并遵循最小特权原则，只授予应用平台所需的必要权限。
• Workload Identity 提供了一种安全且推荐的方式，用于在 Google Kubernetes Engine (GKE) 上运行的应用程序与 Google Cloud 服务进行身份验证和交互。

为什么其他选项不正确：

B. 使用 Kubernetes Secrets（默认情况下是混淆的）并配置它们供应用平台使用，不是安全连接到 Google Cloud 的推荐方法。Kubernetes Secrets 并非设计用于安全管理服务账号凭据或提供 Google Cloud 服务的身份验证。

C. 配置 Kubernetes Secrets 存储密钥，启用应用层密钥加密，并使用 Cloud Key Management Service (Cloud KMS) 管理加密密钥，不是对 Google Cloud 服务进行应用平台身份验证的最直接或推荐方法。虽然 Cloud KMS 可用于加密，但它并不是管理服务账号凭据的主要工具。

D. 在 Compute Engine 上配置 HashiCorp Vault，并使用客户管理的加密密钥和 Cloud KMS 管理加密密钥，是一种复杂且不必要的方法，用于从新的游戏应用平台安全连接到 Google Cloud。这个选项引入了额外的组件和复杂性，并不需要用于安全地对应用平台进行 Google Cloud 服务的身份验证。

总体解释正确答案是A：将您的移动应用上传到Firebase Test Lab，并在Android和iOS设备上测试该移动应用。

Firebase Test Lab是一种基于云的应用测试基础设施，允许您在各种设备和设备配置上测试您的应用。它提供了一种经济高效的方法，可以在多种配置的Android和iOS设备上测试您的移动应用。通过将移动应用上传到 Firebase Test Lab，您可以在Google的数据中心托管的物理设备上运行自动化测试，确保您的应用在不同设备和配置上正常工作。

为什么其他选项不正确：

B. 在Google Cloud上创建Android和iOS虚拟机，并在虚拟机上安装移动应用不是推荐的移动应用测试方法。这种方法相比于专门为移动应用测试设计的Firebase Test Lab来说，更复杂、成本更高、效率更低。

C. 在Google Kubernetes Engine (GKE)上创建Android和iOS容器，并在容器上安装移动应用 不是测试移动应用的适当解决方案。Google Kubernetes Engine通常用于管理生产环境中的容器化应用程序，而不是用于移动应用测试。

D. 将您的移动应用上传到Firebase Hosting并测试每种配置不是测试移动应用的最佳方法。 Firebase Hosting是一个静态网站托管服务，不适合移动应用测试。Firebase Test Lab是专门用于移动应用测试的工具，提供了更全面的解决方案，用于在各种设备和配置上进行测试。

TerramEarth

正确答案是E：使用 带有Swagger（开放API规范）框架的Tomcat容器的Google Container Engine。 重点关注为经销商和合作伙伴提供API。

• Google Container Engine (GKE) 允许使用 Kubernetes 部署、管理和扩展容器化应用程序。使用带有Tomcat容器的GKE为托管API提供了一个灵活且可扩展的环境。
• Swagger（开放API规范）框架允许设计、记录和测试API，使开发人员更容易理解和使用API。这在创建面向经销商和合作伙伴的API时尤为重要。
• 关注为经销商和合作伙伴提供API符合支持经销商网络更多数据和与不同公司合作创建联合产品的业务需求。

为什么其他选项不正确：

• A. 使用带有Google Cloud Endpoints的Google App Engine侧重于为经销商和合作伙伴提供API，这符合业务需求。然而，Google App Engine可能无法提供托管API所需的灵活性和可扩展性。
• B. 使用带有JAX-RS Jersey Java框架的Google App Engine侧重于公共API，这不符合支持经销商和合作伙伴的业务需求。
• C. 使用Swagger框架的Google App Engine侧重于公共API，这不符合支持经销商和合作伙伴的业务需求。
• D. 使用带有Django Python容器的Google Container Engine侧重于公共API，这不符合支持经销商和合作伙伴的业务需求。此外，在这种情况下，Django可能不是创建API的最佳选择。

正确答案是A：构建或利用兼容OAuth的访问控制系统。

OAuth是一种广泛使用的授权框架，允许用户（资源所有者）在不共享其凭据的情况下授予第三方应用程序（客户端）对其资源的有限访问权限。在这种情况下，通过实施兼容OAuth的访问控制系统，您可以安全地将车辆数据的授权委托给希望为经销商创建工具的第三方开发人员。这将允许第三方在不影响系统安全的情况下访问所需的数据。

为什么其他选项不正确：

B. 在您的身份验证系统中构建SAML 2.0 SSO兼容性：

SAML（安全断言标记语言）主要用于单点登录（SSO）身份验证，而 不是API访问的委托授权。虽然SAML可以帮助进行身份验证和用户身份验证，但它并不是为特定资源的访问控制而设计的。

正确答案是B：容量规划、TCO计算、opex/capex分配。

1. 容量规划：随着对Google Cloud Platform的采用增加，TerramEarth需要重新评估和可能调整他们的容量规划流程，以有效利用云资源并根据需要进行扩展。云提供了资源分配的灵活性，并允许根据需求进行动态扩展。
2. 总拥有成本（TCO）计算：迁移到云端将影响TerramEarth的TCO计算。他们需要考虑云服务成本、维护和运营费用等因素，相比传统的本地解决方案。了解TCO将有助于在云采纳和优化成本方面做出明智的决策。
3. opex/capex分配：向云端过渡将需要调整运营（opex）和资本（capex）费用的分配和管理。云服务通常采用按需付费模式，影响组织内的财务规划和费用分配。

正确答案是D：使用Google APIs通过HTTP(S)将文件直接传输到美国、欧盟和亚洲的不同Google Cloud区域存储桶位置。运行ETL过程从每个区域存储桶中检索数据。

• 使用Google APIs通过HTTP(S)将文件直接传输到美国、欧盟和亚洲的不同Google Cloud区域存储桶位置，有助于提高可靠性并最小化数据传输时间。Google Cloud区域存储桶在区域内的多个区域中进行复制，为存储的数据提供高可用性和耐用性。
• 运行ETL过程从每个区域存储桶中检索数据，允许并行处理和更快的数据检索，因为ETL过程可以同时从多个位置获取数据。

C. 使用Google APIs通过HTTP(S)将文件直接传输到美国、欧盟和亚洲的不同Google Cloud多区域存储桶位置：

• 虽然通过HTTP(S)使用Google APIs进行数据传输是一种良好做法，但将数据存储在多区域存储桶中可能不是最有效的方法，以最小化数据传输时间。与多区域存储桶相比，区域存储桶在特定区域内提供更好的数据访问性能。

Based on the vehicle's location, its telemetry data is stored in a Google Cloud Storage (GCS) regional bucket (US, Europe, or Asia). 

A. 将车辆模块之间的每个微服务调用视为不受信任。

将车辆模块之间的每个微服务调用视为不受信任，确保每个服务调用在处理之前都经过验证和认证。这种方法有助于防止未经授权的访问，并保护车辆架构免受潜在的安全威胁或攻击。

C. 使用可信平台模块 (TPM) 并在启动时验证固件和二进制文件。

F. 将车辆的驱动电子设备封装在法拉第笼中以隔离芯片。（物理抗干扰/防篡改）

将车辆的驱动电子设备封装在法拉第笼中，有助于隔离芯片免受外部电磁干扰，这些干扰可能会被用来破坏系统的安全性。这种物理安全措施有助于保护车辆的电子设备免受未经授权的访问或篡改。

总体解释 正确答案是B：捕获所有操作数据，训练识别理想操作的机器学习模型，并在本地运行以自动进行操作调整。

捕获所有操作数据并训练识别理想操作的机器学习模型，可以基于实时数据进行更复杂和动态的操作参数调整。 通过在车辆上本地运行这些机器学习模型， 可以在无需人工干预的情况下自动进行操作调整。这种方法利用机器学习的力量，根据具体的环境条件和操作上下文，持续优化每辆车的效率。

C. 实施Google Cloud Dataflow流处理任务，并使用Google Cloud Messaging（GCM）进行自动操作调整，涉及一种基 于云的解决方案，可能会引入延迟和对网络连接的依赖。这种方法可能不适合现场2000万辆车所需的实时操作调整。

D. 捕获所有操作数据，训练识别理想操作的机器学习模型，并将其托管在Google Cloud Machine Learning（ML）平台，以自动进行操作调整， 会引入潜在的延迟和对云基础设施的依赖性。在车辆上本地托管机器学习模型将是自动进行操作调整的更高效和可靠的方法。

• BigQuery是 Google Cloud Platform (GCP) 提供的一个完全托管的、无服务器的、高度可扩展的数据仓库。它适合处理大数据量并执行复杂的分析。考虑到 TerramEarth 需要改进数据仓库中的数据、预测客户需求和减少延迟，BigQuery 非常适合。
• BigQuery中的表分区通过根据指定的标准将大表分割成更小、更易管理的部分，从而提高查询性能。这可以帮助提高查询效率并通过在运行查询时仅扫描必要的分区来降低成本。它符合 TerramEarth 的业务和技术需求。

正确答案是选项D：使用Cloud Dataprep并配置BigQuery表作为数据源。安排每日作业来清理数据。

Cloud Dataprep是Google Cloud Platform的一项服务，允许你直观地探索、清理和准备数据以供分析或机器学习使用。通过使用Cloud Dataprep，你可以轻松地在BigQuery中清理和转换数据，确保数据质量在自动化的每日基础上得到维护。你可以创建数据清理配方，应用转换，并安排定期清理数据的作业。

----------

正确答案是B：使用公共/私有密钥对的Cloud IoT Core。

• Cloud IoT Core 是一个完全托管的服务，使您能够轻松且安全地连接、管理和摄取来自全球分散设备的数据。它设计用于在大规模连接和管理IoT设备。
• 公共/私有密钥对提供设备与IoT Core之间的安全和认证通信。这确保只有授权设备才能向云发送数据，增强了安全性。
• 遵循Google推荐的做法，使用公共/私有密钥对的Cloud IoT Core符合安全和可扩展的IoT数据摄取最佳实践。

• 为什么其他选项不正确： A.使用SSL Ingress的Google Kubernetes Engine：虽然Google Kubernetes Engine (GKE) 是一个容器编排服务，但它并不是专门为IoT数据摄取设计的。SSL Ingress更多地关注管理传入的网络流量到Kubernetes服务，这不是在此情境下IoT数据摄取的主要关注点。

B. 将 Cloud Run服务部署到多个区域。创建指向服务的无服务器网络终端组（NEGs）。将无服务器NEGs添加到由全局HTTP(S)负载均衡实例使用的后端服务。

在这种情况下，目标是确保在Cloud Run上运行的微服务具有高可用性和低延迟。通过将服务部署到多个区域，可以地理分布工作负载，以减少延迟并提高可用性。创建 无服务器网络终端组（NEGs）允许你定义Cloud Run服务的终端点。通过将这些 无服务器NEGs添加到由全局HTTP(S)负载均衡实例使用的后端服务，可以跨区域实现负载均衡，并为你的服务提供一个全局入口点，确保客户访问服务时具有高可用性和低延迟。

A. 将Cloud Run服务部署到多个可用区。创建指向服务的Cloud Endpoints。创建全局HTTP(S)负载均衡实例并将Cloud Endpoints附加到其后端。

这个选项建议将服务部署到多个可用区，这 可以在单个区域内提供容错能力，但可能 不足以实现全球可用性和低延迟。使用Cloud Endpoints和全局HTTP(S)负载均衡实例可以帮助路由流量，但如果服务没有部署到多个区域，可能无法实现全球客户所需的可用性和延迟优化水平。

正确答案是：

A. 针对CVE打开支持案例并与支持工程师进行沟通是正确的行动，因为Google Cloud的支持团队可以提供有关这些漏洞可能如何影响您的迁移的具体指导，并提出解决这些问题的建议。

C. 从Google Cloud Platform 安全公告中阅读CVE也是正确的选择，因为这些公告提供了有关安全漏洞及其对Google Cloud服务的影响的详细信息。通过参考这些公告，您可以了解这些漏洞如何影响基于Linux的应用迁移到Google Cloud，并采取适当的措施来降低风险。

B. 从Google Cloud状态仪表板中阅读CVE可能 无法提供有关这些漏洞如何影响您特定的基于Linux的应用迁移的详细信息。 Google Cloud状态仪表板通常关注服务中断和事件，而不是详细的安全漏洞。

A. 在这种情况下，TerramEarth有大约1PB的车辆测试数据位于一个私人数据中心，并且希望在一个月内将数据迁移到Cloud Storage以供机器学习团队使用，最有效且安全的解决方案是从Google Cloud获取Transfer Appliances。Transfer Appliances是Google Cloud提供的物理设备，可以发送给客户，客户可以将数据安全地导出到这些设备中，然后将设备返回给Google Cloud，以快速且安全地传输大量数据。这种方法非常适合在短时间内传输像1PB这样大量的数据。

C. 确保没有其他用户使用1Gbps链路，并使用多线程传输将数据上传到Cloud Storage。依赖1Gbps链路传输1PB数据可能效率不高，即使使用多线程传输。可能会导致延迟，并可能无法满足机器学习团队访问数据的时间表。