🌪️

Professional Cloud Architect2023

2023/09/05に公開

初めての方は、初めまして。そうでない方も、初めまして。クラウドエースのシステム開発部 SRE DivisionでProfessional Cooking Architectをしているzetaです。

INTRODUCTION

2021年の6月に取得したProfessional Cloud Architect(PCA)を更新してきたのですが、内容がかなり変わっていたのでそのレポートをする記事です。試験対策の参考にしてください。

WHAT IS Professional Cloud Architect ?

PCAはGoogle Cloudの認定資格の一つです。公式の資格の建付けは以下のようになっています。

Professional Cloud Architects は、組織が Google Cloud 技術を利用できるように支援します。クラウドアーキテクチャと Google Cloud に関する専門的な知識を活かして、ビジネス目標を実現するために、スケーラブルで高可用性を備え、堅牢かつ安全な動的ソリューションを設計、開発、管理します。

従来はGoogle Cloud認定資格の中でもProfessionalの格付けがされている資格の中では、入門資格的な位置づけだったと思います。出題範囲が近いAssociate Cloud Engineer(ACE)との比較では、ACEがGoogle Cloudを営業で売り込んだり、社内で導入を提案する際に必要な知識を問うてくるのに対して、PCAはGoogle Cloudの導入が決まった後に具体的に技術面でどうしていきますかということを問われる印象です。

WHAT IS THE DIFFERENCE FROM BEFORE?

この資格の有効期限は2年間なので、この間期限が切れる前に更新の試験を受験してきました。この2年間のいつ頃試験内容が変更されたのかはわかりませんが、試験範囲が広がったような印象です。Professional Cloud DevOps Engineer, Professional Cloud Security Engineer, Professional Cloud Network Engineerなどのより分野特化型の試験から問題を輸入しているのではないかといった感じがあり、以前よりも総合力が問われる試験になったと感じます。少なくとも最初に受験した2年前のような入門試験の趣きは消え去ったと言っていいでしょう。

では、具体的にどのようなプロダクトやユースケースを扱うようになったのか見ていきましょう。

DevOps要素

  • 適切なSLOの設定
    SLOはService Level Objectiveの略で、サービスのパフォーマンス目標を表します。例えば「対象のウェブサイトの訪問数全体に対して、2秒以内に読み込まれる訪問数の割合を95%とする」というような目標を立てます。試験問題の出題意図としては具体的な数字を目標とするという部分を重視していそうです。関連する概念としてSLA(Service Level Agreement)も抑えておくと良いでしょう。また、最近O'ReillyからSLOだけで一冊書かれた本が出版されたので、試験対策としては過剰なボリュームだとは思いますが紹介しておきます。
    https://www.oreilly.co.jp/books/9784814400348/

Security要素

  • Cloud Armorを使ったDDoS対策
    Cloud ArmorはWAFの機能を提供します。DDoSの検出とブロックをする機能が標準搭載されています。

  • Virtual Private Cloud Service Control(VPC SC)を使用したクラウドリソースのサービス境界の設定
    VPC SCは機密データなどを保護するためにサービスの境界を設定し、境界外からのアクセスをブロックするプロダクトです。境界にどこまで含めるのかの見極めがポイントになると思います。

  • SSOに対応したログイン機能としてのIAPコネクタ
    IAP(Identity Aware Proxy)はGoogle Cloud内部で構築されたアプリケーションの承認レイヤを提供するサービスですが、IAPコネクタを使用するとオンプレミスアプリにも適用することができます。

  • Data Loss Prevention APIを使用した、PIIデータを匿名化して扱うソリューション
    Cloud DLPを使用して、PII(personally indentifiable information:個人情報のこと)をトークン化するなどして個人を特定できないデータに加工することができます。こういったことはビッグデータの分析などの分野では必須の作業ですね。Professional Cloud Security EngineerではDLPの具体的なメソッドや元データを残すのかといったことまでユースケースに合わせて答える必要のある設問が出題されますが、PCAにおいてはDLPを使うということが答えられればそれで良いという程度の印象です。

  • 認証情報の保存場所
    多数のマイクロサービスで構成される分散アプリケーションがあり、マイクロサービスがそれぞれデータベースにアクセスする必要がある場合に、認証情報を安全に保存したい状況でどこに保存すれば良いかというような問題です。GKEであればKubernetesのsecret、それ以外のCloud RunなどのComputeサービスを使用する場合はSecret Managerなどのシークレット管理システムを使用します。

Network要素

  • オンプレミスネットワークとVPC間で互換性を持たせるネットワーク接続
    オンプレミスネットワークとGoogle Cloud間でネットワーキングに互換性を持たせる設定についてです。オンプレミス環境と重複しないCIDR範囲を使用するVPCを構築し、オンプレミス環境とGoogle Cloud間でCloud Interconnectの接続を行うことでネットワークに互換性が確保されます。
  • ファイアウォールルールの適切な設定
    ファイアウォールルールの設定についてはユースケースに合わせてパターンがあります。
    • マネージドインスタンスグループ(MIG)のヘルスチェック
      HTTP(S)ロードバランサのバックエンドサービスとしてMIGを設定した際に、VMインスタンスが1分毎に終了と再起動を繰り返している場合のトラブルシューティングをするというケースです。インスタンスに外部IPが付与されておらず、curlコマンドによって各インスタンスから適切な応答が返ってくることが確認できている場合、これはヘルスチェックがMIG内のインスタンスに到達できるようにファイアウォールルールを構成するということになります。
    • 3階層ウェブアプリケーションのデータベース層への直接アクセスを許さない
      ウェブ・API・データベースの3層で構成されるウェブアプリケーションにおいて、ネットワークトラフィックはウェブを介してAPI層に流れてからデータベース層に流れるようにし、ウェブとデータベース間にトラフィックが流れないようにしたいという場合です。この場合、ネットワークタグを各階層に追加し、目的のトラフィックフローのみ許可するようにファイアウォールルールを設定します。また、階層間の操作に使うサービスアカウントをそれぞれ別々に用意し、必要最低限の権限のみ与えることによる方法も考えられます。

覚えている範囲で書いているものですから抜けはあると思いますし、もしかすると以前から存在するトピックもあるかもしれませんがこんなところですかね。こうして見るとSecurity分野に特に重点を置いて試験内容の変更を行っているような印象があります。前述の通り総合力を問われる試験になっているので、各分野毎に重点的に学習を行って、Professional Cloud Security Engineerなど分野特化試験に合格してからPCAに戻ってくるというのも一つの受験戦略になってくるかもしれませんね。

Discussion