Question#3(Professional Cloud Network Engineer)

クラウド環境の複数の VPC にまたがって複数の VM があり、インターネットエンドポイントへのアクセスが必要です。セキュリティポリシーにより、これらの VM にパブリック IP アドレスを割り当てることはできません。そのため、Cloud NAT を使用して送信インターネットアクセスを提供する計画を立てています。

VPC 内の各リージョンには複数のサブネットがあります。特定のサブネットのみが Cloud NAT を通じてインターネットにアクセスできるようにし、かつ他の管理者による意図しない設定ミスを回避し、Google の推奨プラクティスに準拠させる必要があります。何をすべきですか？

A. 各 VPC で、すべてのインスタンスを対象にインターネット (0.0.0.0/0) への下り（egress）通信を拒否する優先度 500 のファイアウォールルールを作成する。次に、許可されたサブネットをソースフィルタとして持ち、インターネットへの下り通信を許可する優先度 300 のルールを作成する。Cloud NAT をデプロイし、すべてのプライマリおよびセカンダリサブネット範囲を構成する。
B. 組織ポリシーの制約 constraints/compute.restrictCloudNATUsage を作成する。関連するプロジェクトを含むフォルダにこの制約を適用する。allowedValues にインターネットアクセスを許可するサブネットのみを含めるように構成する。Cloud NAT をデプロイし、許可されたサブネットのみを選択する。
C. 各 VPC で、すべてのインスタンスを対象にインターネット (0.0.0.0/0) への下り通信を拒否する優先度 500 のルールを作成する。次に、許可されたサブネットをソースとして優先度 300 で許可ルールを作成する。Cloud NAT をデプロイし、許可されたサブネットを含むカスタムソース範囲を構成する。
D. 各 VPC に Cloud NAT をデプロイし、許可されたサブネットを含むカスタムソース範囲を構成する。許可されたサブネットのみが Cloud NAT を通じて通信できるように Cloud NAT ルールを構成する。

正解と解説ディスカッション 0

正解：B

この問題の最も重要なフレーズは、**「他の管理者による意図しない設定ミスを回避（avoid any unintentional configuration issues caused by other administrators）」**という点です。

1. なぜ B が正しいのか？

組織ポリシー (Organizational Policy) の力: ファイアウォールルールや個別の Cloud NAT 設定は、プロジェクトレベルの権限を持つ管理者によって変更されてしまう可能性があります。一方、組織ポリシー（特に constraints/compute.restrictCloudNATUsage）を使用すると、組織レベルで「どのサブネットが Cloud NAT を使用できるか」を中央集権的に制限できます。これにより、個別のプロジェクト管理者が誤って禁止されたサブネットに対して NAT を有効にすることを防げます。
ガバナンス: 「Google 推奨プラクティス」において、大規模な環境でのガードレール設定には組織ポリシーの使用が推奨されます。

Question#3(Professional Cloud Network Engineer)

1. なぜ B が正しいのか？

コメント

コメント

コメントするコメントをキャンセル

1. なぜ B が正しいのか？

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル