【PCNE】WEB問題集:ネットワークサービス構成編

WEB問題集

PCNE#251(configure-network)

あるメディア企業は、世界中のユーザーに対して単一のエニーキャスト IP でコンテンツを配信し、HTTPS 終端、HTTP/2、URL パスに基づくマイクロサービス振り分け、Cloud CDN による静的アセットのキャッシュ、Cloud Armor による WAF 防御を一括で適用したいと考えています。バックエンドは複数リージョンのマネージドインスタンスグループです。最も適切なロードバランサーはどれですか。

A. Internal Application Load Balancer をリージョンごとに作成し、トラフィックを地理的 DNS で分散する設計に切替えて運用する構成に変更します
B. External Network Load Balancer (パススルー) でクライアント IP を保持しつつ、TLS をバックエンドで個別に終端する代替構成にして運用します
C. Global External Application Load Balancer を使い URL マップ、Cloud CDN、Cloud Armor を統合します
D. Proxy Network Load Balancer を使い TCP プロキシで TLS を終端し、レイヤ 7 のルーティングを行う代替の運用構成に切替えて使います

正解と解説ディスカッション 0

正解：C

正解の根拠

グローバル外部アプリケーションロードバランサーは、単一のエニーキャスト VIP、URL マップによる L7 ルーティング、Cloud CDN、Cloud Armor、Google マネージド証明書を統合的に提供します。マルチリージョンのバックエンドへの自動的なトラフィック分散にも対応しており、本シナリオの全要件を満たします。

LB タイプ	レイヤ	URL マップ	Cloud CDN	Cloud Armor
Global External App LB	L7	対応	対応	対応
Internal App LB	L7	対応	非対応	非対応 (edge は不可)
External Network LB	L4 パススルー	非対応	非対応	非対応
Proxy Network LB	L4 プロキシ	非対応	非対応	対応 (限定)

不正解の理由

A: Internal App LB は VPC 内部用途であり、世界中のユーザーに公開する用途には適合しません (ドキュメント記載)。
B: External Network LB は L4 パススルー型のため URL マップや Cloud CDN を利用できません。
D: Proxy Network LB は L4 までの制御であり URL ベースの L7 ルーティングをサポートしません。

参考: https://cloud.google.com/load-balancing/docs/application-load-balancer

参考：Google Cloud VPC ドキュメント

PCNE#252(configure-network)

ある SaaS チームは、外部アプリケーションロードバランサーに対して Google マネージド SSL 証明書を発行しましたが、ステータスが PROVISIONING のままになり HTTPS フロントエンドが正常に動作しません。証明書には api.example.com を指定しています。最も可能性の高い原因はどれですか。

A. バックエンドサービスのヘルスチェックが UNHEALTHY となっているため証明書が PROVISIONING で停止しています
B. Cloud Armor のセキュリティポリシーで ACME チャレンジ用のパスがブロックされているため検証が失敗しています
C. URL マップで /.well-known/acme-challenge への明示ルートが定義されていないため証明書発行が止まっています
D. DNS の A/AAAA レコードがロードバランサーの IP を指していないため、ドメイン検証が完了していない状態です

正解と解説ディスカッション 0

正解：D

正解の根拠

Google マネージド SSL 証明書は、対象ドメインの DNS A/AAAA レコードが対象ロードバランサーの IP を指していることを確認してから発行されます。DNS が未設定または別 IP を指している場合、PROVISIONING のままステータスが進みません。バックエンドの健全性や URL マップは証明書発行プロセスとは独立しています。

プロビジョニングのチェックリスト

HTTPS 転送ルールに証明書をアタッチする
対象ドメインの A/AAAA を LB の IP に向ける
最大 60 分待機し ACTIVE になることを確認する
必要に応じて `gcloud compute ssl-certificates describe` で domainStatus を確認

gcloud compute ssl-certificates describe api-cert 
  --global --format="value(managed.domainStatus)"

選択肢	判定
A	不正解
B	不正解
C	不正解
D	正解

不正解の理由

A: バックエンドヘルスチェックの結果は証明書プロビジョニングと無関係です。
B: Google マネージド証明書は ACME ではなく内部メカニズムで検証されるため、Cloud Armor の影響は受けません。
C: 同上、URL マップに ACME 用ルートを明示する必要はありません。

参考: https://cloud.google.com/load-balancing/docs/ssl-certificates/google-managed-certs

参考：Google Cloud VPC ドキュメント

PCNE#253(configure-network)

ある金融機関は、社内 Web アプリを VPC 内部の複数マイクロサービスに振り分けるため、リージョン内部アプリケーションロードバランサーを構築しています。クライアントは同一 VPC 内の GKE Pod です。L7 で /api/* を別のバックエンドサービスへ振り分けるためにはどのコンポーネントが必要ですか。

A. Cloud DNS のレスポンスポリシーを設定し、パスごとに別の内部 IP を返すように構成します
B. VPC ファイアウォールルールでクライアント Pod から L7 経路を分離し送信元タグに基づきパスを許可する構成にします
C. URL マップを作成し、パスマッチャーで /api/* を該当のバックエンドサービスへルーティングします
D. ターゲット HTTP プロキシのみを設定し、転送ルールでパス分岐を表現します

正解と解説ディスカッション 0

正解：C

正解の根拠

アプリケーションロードバランサーで L7 のパスベースルーティングを行う中核コンポーネントは URL マップです。パスマッチャー (`pathMatcher`) によりホスト/パスの条件で複数のバックエンドサービスに振り分けます。Internal App LB でも構成方法は External と同一で、グローバル/リージョン構成のみが異なります。

gcloud compute url-maps create internal-um 
  --default-service=default-bs --region=us-central1
gcloud compute url-maps add-path-matcher internal-um 
  --path-matcher-name=api-matcher 
  --default-service=default-bs 
  --path-rules="/api/*=api-bs" 
  --region=us-central1

選択肢	判定
A	不正解
B	不正解
C	正解
D	不正解

不正解の理由

A: Cloud DNS はホスト名解決の層であり L7 パスの判定はできません。
B: ファイアウォールは L3/L4 制御で、URL パスでの分岐はサポートしません。
D: ターゲットプロキシは URL マップを参照する関連リソースで、単独ではパス分岐できません。

参考: https://cloud.google.com/load-balancing/docs/url-map-concepts

参考：Google Cloud VPC ドキュメント

PCNE#254(configure-network)

ある EC サイトでは、外部アプリケーションロードバランサーの背後の Compute Engine インスタンスがランダムにヘルスチェックで失敗します。サーバーログには問題がなく、Cloud Logging のヘルスチェックプローブのソース IP からの 403 が記録されています。最も可能性が高い原因はどれですか。

A. クライアント側 Cloud Armor ポリシーがヘルスチェックプローブの User-Agent をブロックしている可能性が高い状況です
B. VPC ファイアウォールルールで 35.191.0.0/16 および 130.211.0.0/22 が許可されていません
C. URL マップのデフォルトサービスが期限切れの SSL 証明書を参照しているため失敗していると考えられます
D. セッションアフィニティが CLIENT_IP に設定され、同一プローブが偏って失敗している事象が発生しています

正解と解説ディスカッション 0

正解：B

正解の根拠

Google Cloud のグローバル外部アプリケーションロードバランサーは、ヘルスチェックを 35.191.0.0/16 と 130.211.0.0/22 のレンジから送信します。VPC ファイアウォールでこれらを許可していない場合、プローブが届かず UNHEALTHY となります。サーバーログには到達後の正常応答しか残らないことが多く、設定漏れに気付きにくい典型例です。

LB タイプ	プローブ送信元
Global External App LB	35.191.0.0/16, 130.211.0.0/22
Regional Internal App LB (Envoy proxy-only)	35.191.0.0/16 + proxy-only サブネット
Network LB (バックエンドサービスベース)	35.191.0.0/16, 209.85.152.0/22, 209.85.204.0/22

不正解の理由

A: 通常 Cloud Armor はバックエンドサービスに紐づき、プローブ自体は別経路で評価されません。
C: URL マップは SSL 証明書を直接参照しないためヘルスチェック失敗の原因になりません。
D: セッションアフィニティはクライアント分散の制御で、プローブの成否には影響しません。

参考: https://cloud.google.com/load-balancing/docs/health-check-concepts

参考：Google Cloud VPC ドキュメント

PCNE#255(configure-network)

あるオンラインストアでは、ログインユーザーごとのカート状態をバックエンドで保持するため、同一クライアントからのリクエストを可能な限り同じインスタンスへ送りたいと考えています。外部アプリケーションロードバランサーで設定すべきセッションアフィニティはどれですか。

A. GENERATED_COOKIE 方式を有効化し LB が生成する Cookie でアフィニティを維持します
B. NONE (デフォルト) を選択し、ラウンドロビン分散にバックエンド側のセッションストアを併用する構成にします
C. CLIENT_IP_PORT_PROTO を選択しクライアント NAT 環境でもアフィニティを精緻化する構成にします
D. HEADER_FIELD でホストヘッダー値を用いて分散先を固定する構成に切替えて運用します

正解と解説ディスカッション 0

正解：A

正解の根拠

HTTP(S) ベースのアプリケーションロードバランサーで Cookie ベースのアフィニティを使う場合、`GENERATED_COOKIE` を選択するとロードバランサーが GCLB Cookie を発行し、同一ブラウザからのリクエストを同じバックエンドへ向けます。NAT 配下のクライアントが多い環境でも安定的にアフィニティが維持できます。

アフィニティ	用途
NONE	ステートレス API、純粋分散
CLIENT_IP	送信元 IP ベース、NAT に弱い
GENERATED_COOKIE	HTTP 用、最も汎用
HEADER_FIELD	任意ヘッダー値、API ゲートウェイ向け
HTTP_COOKIE	アプリ提供の任意 Cookie

不正解の理由

B: NONE はアフィニティを保持しないためカート状態が散逸します。
C: External App LB では CLIENT_IP_PORT_PROTO はサポートされません (Network LB の概念です)。
D: ホストヘッダーはクライアントごとに変わらないため分散の偏りを生みます。

参考: https://cloud.google.com/load-balancing/docs/backend-service#session_affinity

参考：Google Cloud VPC ドキュメント