PCNE#1(design-network)

大手金融グループの基盤刷新で、本番／開発／監査の三系統を単一の Google Cloud 組織配下に集約する計画が進行中です。本番ワークロードは複数チームが同居しますが、ネットワーク管理はネットワーク中央部門が一元管理し、利用部門にはサブネット単位での起動権限のみ与える要件があります。各サービスプロジェクトでは独自の課金分離と IAM 境界を維持しつつ、共通の VPC ルーティングテーブルとファイアウォール基盤を共有する必要があります。最小の運用コストで要件を満たすには、どのネットワーク設計を採用すべきですか。

A. 各サービスプロジェクトで個別の VPC を構築し、VPC Peering で相互接続したうえで、ネットワーク管理者にすべてのプロジェクトへの所有者権限を付与して中央運用を実現する方式を採用します。
B. Shared VPC のホストプロジェクトでネットワーク資産を集中管理し、サービスプロジェクトをアタッチしてサブネット単位の compute.networkUser 権限を委譲します。
C. Network Connectivity Center のハブを中心に各プロジェクトの VPC をスポークとして登録し、トランジット VPC モデルで全社共通のルーティング基盤として運用します。
D. Auto Mode VPC を全社共通の単一プロジェクトに構築し、各チームの IAM をプロジェクトレベルで分離することで論理的なセグメンテーションを実現します。

正解と解説ディスカッション 0

正解：B

正解の根拠

Shared VPC はホストプロジェクトにネットワーク資産を集約し、サービスプロジェクトに対しサブネット粒度で compute.networkUser を付与できる仕組みであり、中央集権の運用と利用部門の自律性を両立できます。

方式	中央管理	課金分離	運用負荷
Shared VPC	容易	可能	低
VPC Peering	分散	可能	高
NCC ハブ	中程度	可能	中

不正解の理由

A: VPC Peering は推移ルーティング非対応で N×N の管理が必要なため運用負荷が増大します。
C: NCC は主にハイブリッドや異 VPC 連携が目的で、サブネット委譲の要件には合致しません。
D: 単一プロジェクトでは課金分離と IAM 境界を維持できず、要件を満たせません。

参考：Shared VPC overview

PCNE#1(design-network)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル