Associate Cloud Engineer試験 必勝マニュアル。出題傾向・勉強方法

記事タイトルとURLをコピーする

G-gen の杉村です。 Associate Cloud Engineer 試験 は、 Google Cloud (GCP) の認定試験の中でも基本的な試験です。 合格に役立つ情報を記載します。

他の試験一覧は以下をご参照ください。

cloud.google.com

とはいえ、 試験の 利用規約 において、試験の内容を公開することは禁じられています。
本投稿では試験問題そのものを書くこと等はせず、主にサービスカットで 合格するためには何を知っているべきか を中心に記載します。

なお、このブログ投稿に記載されていることで試験範囲をすべてカバーできているわけではない点、ご了承ください。
公式で発表されている 試験ガイド模擬試験 などもぜひ駆使して、学習を進めてください。

f:id:ggen-sugimura:20211116145528p:plain
Associate Cloud Engineer

はじめに

本投稿は以下のような方向けです。

  • Associate Cloud Engineer 試験を受けるために勉強をしており出題傾向を知りたい
  • Google Cloud サービスのだいたいの概要は既に把握した
  • 近日中に試験を受けようと思っているので、仕上げの勉強をしている

組織/リソース/ID系

リソース階層の概念

Google リソースが階層構造となっていることを押さえておきましょう。
最上位に 組織 があり、その下に フォルダ (入れ子構造も可能)、 プロジェクト 、 あとは個々のインスタンスや BigQuery テーブルといった個別リソースに降りていきます。

f:id:ggen-sugimura:20211011141423p:plain
当社の内部資料から抜粋

プロジェクトやフォルダもリソースの一種です。
リソースには IAM を紐付けられること、またその IAM 権限は継承されることに留意しましょう (後述) 。

プロジェクト

Google Cloud を利用開始するには何が必要か、と考えたとき、少なくともプロジェクトを作成することは 必須 です。
プロジェクト作成、課金の有効化、各サービスの API の有効化、などの流れを押さえておきましょう。

IAM

IAM の基本概念

Google Cloud の IAM は リソースに紐づけて設定する ものであり 継承の概念がある ということを正確に押さえましょう。
IAM の概念については、以下のブログ投稿も参考にしてください。

blog.g-gen.co.jp

これがわかれば、例えば VM にアタッチされたサービスアカウントが プロジェクトを跨いで別のプロジェクトのリソースにアクセスするにはどうすればいいか ということも自ずと答えが出るはずです。

gcloud による操作

コマンドラインで IAM を参照したり編集したりする操作も、ある程度押さえたほうが良いでしょう。
以下のドキュメントで gcloud コマンドによる組織・フォルダ・プロジェクトといった大枠リソースへの IAM 操作方法を理解しておきましょう。

大原則。 IAM ロールはアカウントではなくグループに付与すべし

複数のドキュメントで繰り返し述べられているベストプラクティスとして以下があります。

IAM ロールは、個別の Google アカウントではなく Google グループに付与すべし

個別のアカウントにロールを付与してしまうと、その人が退職したり異動になるたびに多くのリソースに対して細かい IAM のメンテナンスが必要になってしまいます。
グループにアカウントを所属させて、 IAM ロールはグループに対して付与するようにしましょう。

基本ロールと事前定義ロール

基本ロールと事前定義ロールのいくつかを押さえておきましょう。

基本ロールはいわずもがな、以下の3つです。

  • 閲覧者 (roles/viewer)
  • 編集者 (roles/editor)
  • オーナー (roles/owner)

基本ロールは権限が非常に大きいため、 できうるならば使うことを避けます 。 事前定義ロールや、カスタムロールを使ってきめ細かい権限制御をしましょう。

事前定義ロールは以下のドキュメントで確認できます。
数が多すぎるので、もちろん 覚える必要は全くありません

とはいえ、いくつかの特徴的なロールは「ああ、そんなのあるんだ」と理解しておきましょう。
例えば プロジェクト閲覧用ロールResource Manager 用のロール などは押さえておきます。

Access Approval

何をするための機能 (サービス) なのか、 必要な IAM 権限は何か、を押さえておきましょう。

VPC / Cloud DNS / Cloud Load Balancing

セグメント分けとファイアウォール

Google Cloud では、よく比較される Amazon Web Services (AWS) と比べるとあまり細かく VPC やサブネットを分けない傾向にあります。

ファイアウォールとネットワークタグを駆使して、いわゆる DMZ と内部ネットワークを分けることが第一選択肢です。
とはいえ、全く通信させたくない環境同士は VPC を分けます。

まずは、ファイアウォールの仕組みを正確に理解しておきましょう。

上り (Ingress) ルールと下り (Egress) ルールはどっちがどっちなのか。
ネットワークタグを使ってインスタンスを指定するとはどういうことなのか。
ルールを全く書かない状態だとデフォルトではどのような挙動になるのか。

これらのことは答えられるようになっておきましょう。

VPC とサブネット

VPC とサブネットの概念をきちんと理解します。

blog.g-gen.co.jp

特に大事なのは以下です。

  • VPC の中に作ったサブネット間は自動的にルートが交換されるので、互いに通信できる
  • サブネットはリージョンリソースである
  • リージョンAに作ったサブネットAと、リージョンBに作ったサブネットBは互いに通信できる (ファイアウォールの穴が開いていれば)

また、 VPC 自体は IP アドレス帯を持たず、サブネットが持ちます。 VPC へのサブネット追加は容易にできますし、既存サブネットに IP アドレスレンジを追加することもできる、ということを押さえましょう。

限定公開の Google アクセス

限定公開のGoogleアクセス機能で何ができるかを押さえましょう。
特にハイブリッドネットワーク (オンプレとクラウドを併用したネットワーク) でのユースケースを押さえます。

blog.g-gen.co.jp

Cloud DNS

基本的な機能を押さえます。
VPC の中から利用できる限定公開ゾーンなどの意味を押さえましょう。

Cloud Load Balancing

どんなケースでどのロードバランサーを選択すべきかを押さえます。

コマンドライン (gcloud / gsutil / bq)

gcloud, gsutil, bq とそれぞれの用途を押さえます。
いずれのコマンドラインツールも、 まず gcloud コマンドで環境設定をしていることに注目しましょう。

Google Compute Engine (GCE)

ディスク・バックアップ・リストア

永続ディスクに関する理解を深めておきましょう。 永続ディスクからのインスタンス作成はどうすればよいのか、バックアップをスケジュールするにはどうすればよいか、などを公式ドキュメントから理解しておきます。

購入オプション

Compute Engine にはいくつかの購入方法があると思います。
以下を人に説明できるまで理解しておきます。

  • オンデマンド
  • プリエンプティブル
  • 継続利用割引
  • 確約利用割引

プリエンプティブル・インスタンス は非常にお得に見えますが、 強制終了時間制限 があることに留意します。

マシンタイプ

アプリケーションにとって最適なスペックを持つマシンタイプを選べるようにしておきましょう。
何タイプが何が得意なのか、押さえておきます。

AppEngine / Cloud Run / Google Kubernetes Engine 系

App Engine

App Engine の強みが何かを押さえましょう。
リリースした複数のバージョン間でユーザトラフィックの割合を調整できるのも優れた機能の一つです。

Google Kubernetes Engine (GKE)

Qwiklabs 等で GKE の基本的な概念と操作方法を理解するとベターです。

Pod, ReplicaSet, Deployment, Node, Cluster, Service...

使い分け

AppEngine / Cloud Run / Google Kubernetes Engine はいずれもアプリケーションをホストできるサービスです。
どのようなときにどれを利用するのかを考えましょう。

特に利用が小規模で散発的なワークロードでは何を使うでしょうか?
バッチ処理では?
どのような Web アプリケーションだとどれを選択するでしょうか?

Cloud Storage

どのくらいの保存期間のデータならどのストレージクラスを選ぶべきか、しっかり押さえておきます。

  • 普通: Standard
  • 1か月に一度程度: Nearline
  • 四半期に一度程度: Coldline
  • 年に 1 回未満程度: Archive

以下のドキュメントが参考になります。

また Cloud Storage のユースケースも押さえます。
オブジェクトストレージですので、普通のファイルシステムとは違います。
安価でスケーラブルなので、フォーマットもサイズも異なる多様なデータをクラウドに保存するために適した選択でしょう。

データベース / DWH

Cloud SQL

公式ドキュメント を読んで、基本的な機能を押さえます。

  • インスタンスの作成
  • データのエクスポート
  • バックアップ

BigQuery

BigQuery の機能を一通り押さえておきます。
特に 外部テーブル定義 などで他サービスと連携する方法は重要です。

データベースのベストな選択

以下の問いに答えられるようにしておきます。 Google Cloud のデータベースサービスの特徴とユースケースを必ず押さえておきましょう。

  • 超大量に押し寄せる IoT のセンサーデータを格納して低レイテンシで読み出しするのにベストなデータベースは? (BigTable)
  • 複数のリージョンにまたがるトランザクションワークロードに適したデータベースは? (Cloud Spanner)
  • Web アプリケーションから使う No SQL データベースは? (Cloud Datastore ※現在は Firestore に統合)
  • 一般的なアプリケーションからリレーショナルデータベースを使いたいときは? (Cloud SQL)
  • 大量のデータに対して SQL を使って分析を行いたいときは? (BigQuery)

データパイプライン

データパイプラインを実現する以下のようなサービスの概要を理解しておきましょう。

オペレーションスイート

Cloud Monitoring

Cloud Monitoring の基本機能は以下の記事で押さえることができます。

blog.g-gen.co.jp

メトリクスを監視し、しきい値を超えたらアクションを起こす、という基本的な使い方を押さえます。
アラートの通知先を "通知チャネル" として設定できます。
通知チャネルとして何を設定できるのかを押さえておきます。

Pub/Subを通知先として設定できるので、アラートを契機にメッセージを Pub/Sub に送り、それをトリガに Cloud Functions を起動して... というようなことも実現できますね。

Cloud Logging

以下の記事で Cloud Logging の機能を把握する必要があります。

blog.g-gen.co.jp

Cloud Audit Logs

証跡管理機能である Cloud Audit Logs の基本を、以下の記事で押さえておきましょう。

blog.g-gen.co.jp

料金

請求先アカウント

請求先アカウントの概念は以下の記事で押さえておきましょう。

blog.g-gen.co.jp

予算アラート

請求先アカウントに対し、予算アラートを仕掛けることができます。

利用料金の見積もり

Google Cloud Pricing Calculator を使って料金を見積もることができます。
パブリッククラウドでは往々にして、 最適な利用料金となるよう考慮してアーキテクチャを設計するのも、アーキテクトの仕事です

利用料金データの BigQuery へのエクスポート

請求先アカウントから BigQuery へ請求データを自動エクスポートすることができます。
無償で使えるデータポータル (旧 Data Studio) で可視化して分析することもセオリーの一つです。

その他

Google Cloud の哲学

全体を通して、選択肢の絞り込みに迷った際は Google Cloud の哲学ともいうべき共通認識に基づいて判断しましょう。
以下のようなキーワードを理解して判断に活かすことができれば、大きく外れることはないはずです。
「いやそうは言っても、実務ではこういうときはこうするだろう...」という気持ちをぐっと抑えて、Google の / クラウドの哲学に沿った回答を選ぶことが重要です。

  • 責任共有モデル
  • 最小権限の原則
  • 組織全体でガバナンスを発揮する
  • 権限の分譲
  • ステートレスなアプリケーションとイミュータブルなインフラ
  • 自動化によるトイルの削減
  • スケーラブル・高可用性・堅牢性
  • モニタリングと自動的な通知

受験環境

受験環境に関する当社メンバーの実体験が以下の記事で紹介されています。
ぜひご参照ください。

blog.g-gen.co.jp

blog.g-gen.co.jp

杉村 勇馬 (記事一覧)

クラウドソリューション部 部長

クラウド管理運用やネットワークに知見あり。AWSの全12資格をコンプリートしたので、次はGoogle Cloudの認定資格を狙っている。現在、Google Cloud認定資格は4冠。

2022年1月現在、ハマっているものはディズニープラスで見られるマーベルのドラマシリーズ。

(Wantedlyプロフィール)