PCSE#5(network-security)

外部IPを持たないGCE VMからCloud StorageへPrivateにアクセスさせたいです。設定すべき項目を2つ選んでください。

（2つ選択）

A. 対象サブネットで Private Google Access を有効化し、外部 IP を持たない VM から Google API へ到達できるようにします
B. オンプレミスからの egress 経路用に Cloud NAT を構成し、外部 IP を持たない VM から Cloud Storage への接続をパブリック NAT ゲートウェイ経由で送出させる構成にして API 到達性を確保します
C. Cloud DNS に private.googleapis.com または restricted.googleapis.com の応答を設定し、storage.googleapis.com を VPC 内のプライベート IP へ解決させます
D. 外部 IP を各 VM に個別に付与した上で、egress ファイアウォールルールにより Cloud Storage の API レンジ宛通信のみ許可するように送信先を絞り込む構成にして接続経路を制御します

正解と解説ディスカッション 0

正解：A, C

外部IPなしでGoogle APIへ到達するにはサブネットのPrivate Google Accessを有効化し、private.googleapis.com (199.36.153.8/30) などへ名前解決します。

要素	役割
PGA	サブネット単位許可
DNS	privateエンドポイント解決

コメント