Zenn
レスキューナウテックブログPublicationへの投稿
🐷

Google Certified Professional - Cloud Architect 更新試験の準備

yamada_kazumasa
2024/08/21に公開
Google Cloud
tech

さいしょに

2022年、 Google Certified Professional - Cloud Architect に合格しました。あれから2年が経過し、有効期限がもう少しで切れるので2022年から2024年3月までにあった変化について調べました。この記事では調べた際の印象について、試験内容に沿って記述します。

セクション 1: クラウド ソリューション アーキテクチャの設計と計画

2年前の試験内容に比べて、いくつかの考慮点が追加、整理されていました。

1.1 ビジネス要件を満たすソリューション インフラストラクチャを設計する

考慮点

  • ビジネス ユースケースとプロダクト戦略
  • 費用の最適化
  • アプリケーション設計の支援
  • 外部システムとの統合
  • データの移動
  • 設計上の決定のトレードオフ
  • 構築、購入、変更、非推奨
  • 成果の測定方法(重要業績評価指標(KPI)、投資収益率(ROI)、指標など)
  • コンプライアンスとオブザーバビリティ

1.2 技術要件を満たすソリューション インフラストラクチャを設計する

考慮点

  • 高可用性とフェイルオーバーの設計
  • 割り当てと上限に関するクラウド リソースの柔軟性
  • 成長要件を満たすスケーラビリティ
  • パフォーマンスとレイテンシ

1.3 ネットワーク、ストレージ、コンピューティング リソースを設計する

考慮点

  • オンプレミス環境またはマルチクラウド環境との統合
  • クラウド ネイティブ ネットワーキング(VPC、ピアリング、ファイアウォール、コンテナ ネットワーキング)
  • データ処理技術の選択
  • 適切なストレージ タイプ(オブジェクト、ファイル、データベースなど)を選択する
  • コンピューティング リソースの選択(プリエンプティブ、カスタム マシンタイプ、特殊なワークロードなど)
  • プラットフォーム プロダクトへのコンピューティング ニーズのマッピング

1.4 移行計画を作成する(ドキュメントやアーキテクチャ図など)

考慮点

  • 既存システムとソリューションの統合
  • ソリューションをサポートするためのシステムおよびデータの移行
  • ソフトウェア ライセンスのマッピング
  • ネットワーク計画
  • テストと概念実証
  • 依存関係の管理の計画

1.5 将来のソリューションの向上を想定する

考慮点

  • クラウドおよび技術の向上
  • ビジネスニーズの進化
  • 普及活動と提唱

セクション 2: ソリューション インフラストラクチャの管理とプロビジョニング

2年前の試験内容に比べて、細かく分類されていて分かりやすくなっています。このセクションはネットワーク関連が前回よりもクローズアップされている印象です。

2.1 ネットワーク トポロジを構成する

考慮点

  • オンプレミス環境への拡張(ハイブリッド ネットワーキング)
  • マルチクラウド環境への拡張(Google Cloud 間の通信を含む)
  • セキュリティ保護(侵入防止、アクセス制御、ファイアウォールなど)

2.2 ストレージ システムを個別に構成する

考慮点

  • データ ストレージの割り当て
  • データ処理、コンピューティングのプロビジョニング
  • セキュリティとアクセスの管理
  • データ転送とレイテンシを考慮したネットワーク構成
  • データ保持とデータ ライフサイクルの管理
  • データ増大の計画

2.3 コンピューティング システムを構成する

考慮点

  • コンピューティング リソースのプロビジョニング
  • コンピューティングの変動性の構成(プリエンプティブル vs. 標準)
  • コンピューティング リソースのネットワーク構成(Google Compute Engine、Google Kubernetes Engine、サーバーレス ネットワーキング)
  • インフラストラクチャ オーケストレーション、リソース構成、パッチ管理
  • コンテナ オーケストレーション

セクション 3: セキュリティとコンプライアンスを考慮した設計

2年前の試験内容に比べて、セクションの一つとしてクローズアップされていて、重要度が上がっているなという印象です。

3.1 セキュリティを考慮して設計する

考慮点

  • Identity and Access Management(IAM)
  • リソース階層(組織、フォルダ、プロジェクト)
  • データ セキュリティ(鍵管理、暗号化、シークレット管理)
  • 職掌分散(SoD)によるセキュリティ制御(監査、VPC Service Controls、コンテキストアウェア アクセス、組織のポリシーなど)
  • Cloud Key Management Service を使用した顧客管理の暗号鍵の管理
  • リモート アクセス

3.2 コンプライアンスを考慮して設計する

考慮点

  • 法規制(健康記録のプライバシー、児童のプライバシー、データのプライバシー、所有権など)
  • 商用(クレジット カードの情報処理などのセンシティブ データ、個人を特定できる情報(PII)など)
  • 業界の認定資格(SOC 2 など)
  • 監査(ログを含む)

セクション 4: 技術プロセスやビジネス プロセスの分析と改善

試験ではビジネスに沿った出題が行われます。このセクションの考慮点は2年前の内容と変わらないと思います。

4.1 技術プロセスを分析、定義する

考慮点

  • ソフトウェア開発ライフサイクル(SDLC)
  • 継続的インテグレーション、継続的デプロイ
  • トラブルシューティングと根本原因の分析のベスト プラクティス
  • ソフトウェアとインフラストラクチャのテストと検証
  • サービス カタログとプロビジョニング
  • ビジネスの継続性と障害復旧

4.2 ビジネス プロセスを分析、定義する

考慮点

  • ステークホルダー管理(影響と便宜)
  • チェンジ マネジメント
  • チームの評価、スキルの準備
  • 意思決定プロセス
  • お客様の成功管理
  • コストの最適化、リソースの最適化(CAPEX / OPEX)

4.3 本番環境でソリューションの信頼性を確保する手順を開発する(カオス工学、ペネトレーション テストなど)

カオス工学とペネトレーションテストを組み合わせることで、より包括的なセキュリティ評価を行うことができます。例えば、ペネトレーションテストで発見された脆弱性に対して、カオス工学を用いてその影響を評価することができます。

カオス工学

カオス工学は、システムに意図的に障害を発生させ、その耐性を評価する手法です。

  • 障害シナリオの設計
  • 実験範囲の限定
  • 自動化
  • モニタリング:Cloud Monitoring
  • 事後分析:Cloud Logging

ペネトレーションテスト

ペネトレーションテストは、攻撃者の視点からシステムに侵入し、脆弱性を発見する手法です。

  • テスト範囲の決定
  • テスト手法の選択
  • 発見された脆弱性の評価:Security Command Center
  • 対策の実施

セクション 5: 実装の管理

Google Cloud の各サービスのエミュレータなどテストに関する部分なども試験内容に入っています。「ツールを用意しているのだからしっかりと把握しておくように」とGoogle 側からのメッセージですね。SDK は普段使いするので覚えておけば役に立ちます。

5.1 ソリューションを確実に導入できるように開発チームや運用チームに助言する

考慮点

  • アプリケーション開発
  • API のベスト プラクティス
  • フレームワークのテスト(読み込み、単体、統合)
  • データとシステムの移行および管理ツール

5.2 Google Cloud をプログラムで操作する

考慮点

  • Google Cloud Shell
  • Google Cloud SDK(gcloud、gsutil、bq)
  • クラウド エミュレータ(Cloud Bigtable、Datastore、Spanner、Pub/Sub、Firestore など)

セクション 6: ソリューションおよびオペレーションの信頼性の確保

以下の考慮点は大きな変更がなさそうです。
ただ、各項目における機能については様々なアップデートが行われ、非常に使いやすくなっています。

6.1 モニタリング、ロギング、プロファイリング、通知ソリューション

具体的な例

  • Cloud Monitoring
    • システムのメトリクス(CPU使用率、メモリ使用量など)をリアルタイムで監視し、異常を検知
  • Cloud Logging
    • アプリケーションログ、システムログを収集し、分析
  • Cloud Profiler
    • アプリケーションのパフォーマンスをプロファイリングし、ボトルネックを特定
  • Cloud Alerting
    • 異常を検知した場合に、メールやSMSで通知

6.2 デプロイとリリース管理

具体的な例

  • Cloud Build
    • コードのビルド、テスト、デプロイを自動化
  • Cloud Deploy
    • アプリケーションのデプロイを安全かつ効率的に実行
  • Canary リリース
    • 新機能を一部のユーザーに限定してリリースし、フィードバックを得ながら段階的に展開

6.3 デプロイされたソリューションをサポート支援する

具体的な例

  • Incident Response
    • インシデント発生時の対応手順を定義し、練習
  • 問題追跡システム
    • Jiraなどのツールを活用し、問題を管理
  • ナレッジベース
    • 解決済みの問題やFAQを蓄積

6.4 品質管理方法の評価

具体的な例

  • コードレビュー
    • コードの品質を確保するために、コードレビューを実施
  • 静的コード分析
    • 静的コード解析ツールを使用して、潜在的なバグを発見
  • セキュリティスキャン
    • セキュリティ脆弱性を検出

Google Cloud アップデートを個人的にPickup

2022年4月から2024年3月の Google Cloud アップデートで機能追加を中心に個人的に取り上げます。すべての更新は載せきれないため、公式のリリースノートや別の方がまとめている記事などを参照してください。

2022年4月

4月

  • Cloud Logging
    • エクスプローラが進化した
    • ログのピン止め機能が改善
  • Error Reporting

5月

  • Cloud Run
    • jobs がプレビュー

6月

7月

  • Cloud Functions
    • 第2世代実行環境 が一般公開(GA)された
  • Cloud Storage
    • dual-region が一般公開(GA)された
    • gcloud alpha storage にコマンドが追加された
  • Cloud Monitoring
  • Cloud Run
    • Open Container Initiative (OCI)イメージに対応
  • Cloud SQL

8月

9月

  • Cloud CDN
  • Compute Engine
  • Cloud Run
    • 起動時のヘルスチェックがプレビュー
    • 起動時 CPU ブーストがプレビュー
    • HTTP でライブネスヘルスチェックができるようになった
  • Cloud SQL
    • インプレースでメジャーバージョンアップグレードができるようになった(GA)
    • 削除後すぐに同じインスタンス名が使えるようになった
  • Cloud Monitoring
    • ダッシュボードなどを作成する際に Prometheus Query Language (PromQL)が使えるようになった

10月

  • Cloud Armor
    • デフォルトのレート制限セキュリティ ポリシーをロードバランサを設定する際、構成できるようになった(GA)
  • Cloud Monitoring
    • uptime checks が課金されるようになった

11月

12月

2023年

1月

  • Cloud Build
    • gcloud コマンドでトリガーを作成/編集する機能が一般公開(GA)された
  • Cloud Load Balancing
    • Global External HTTP(S) Load Balancer による柔軟なパターンマッチング機能(ワイルドカード)を使用した高度なトラフィック管理がプレビュー

2月

  • Cloud Deploy
    • Cloud Run に対応(GA)
  • Cloud Monitoring
    • uptime check でユーザが定義した content-type ヘッダを設定できるようになった

3月

  • Cloud Build
  • Compute Engine
  • Cloud SQL
    • プライマリのメンテナンス設定に従い、プライマリのメンテナンス前にレプリカをメンテナンスするようになった
  • Cloud Storage
  • Cloud Load Balancing
    • コンソールからコンソールで実行するアクション同等の API コードを確認できるようになった(Preview)
  • Cloud Run
    • Google が署名した OpenID Connect ID トークンを Authorization ヘッダーに含めることで、サービスに対して認証を行うことができるようになった

4月

  • Cloud Armor
    • 複数のキーに基づくレート制限が一般公開(GA)された
  • Cloud Deploy
  • Cloud Tasks
    • HTTP リクエストをキューに送信してタスクを作成できるようになった
  • Cloud Run
    • jobs が一般公開(GA)された
    • 起動時 CPU のブースト機能が一般公開(GA)された
    • セッション アフィニティが一般公開(GA)された
    • Identity-aware Proxy(IAP)対応が一般公開(GA)された
    • 新しいリビジョンをデプロイした際に、必要なインスタンスを起動してからトラフィックを切り替えるようになった
  • Cloud Scheduler
    • Cloud Functions と Cloud Run を内部的に呼び出すためのサポートがプレビュー
  • Cloud Load Balancing
    • regional external/internal HTTP(S) ロードバランサー で Network Endpoint Group (NEG) の Cloud Run をバックエンドへ指定できるようになった(GA)

5月

  • Cloud Load Balancing
    • Global External HTTP(S) Load Balancer による柔軟なパターンマッチング機能(ワイルドカード)を使用した高度なトラフィック管理が一般公開された
  • Container Registry
    • deprecated になった
  • Cloud Run

6月

  • Cloud Functions
    • コンソールの [作成] フォームから直接、サービスまたはジョブのサーバーレス VPC アクセス コネクタを作成して構成できるようになった
  • Cloud Storage
    • Cloud Storage FUSE が一般公開(GA)された
  • Cloud SQL
  • Cloud Run
    • コンソールの [作成] フォームから直接、サービスまたはジョブのサーバーレス VPC アクセス コネクタを作成して構成できるようになった

7月

  • Artifact Registry
    • 使われていないアーティファクトを自動で削除してくれる Cleanup policies がプレビュー
  • Batch
    • 大阪含む複数リージョンで使えるようになった
  • Cloud Monitoring
  • Cloud Load Balancing
    • コンソールからコンソールで実行するアクション同等の API コードを確認できるようになった(GA)
  • Cloud Run
    • 60分以上の long running jobs がプレビュー
  • Cloud SQL(MySQL/PostgreSQL)
    • インポートやエクスポートのキャンセルができるようになった

8月

  • Artifact Registry(v1)
    • Python と Node.js の脆弱性スキャン機能が一般公開(GA)された
  • Compute Engine
  • Cloud Functions
    • Google Cloud Console のプレビュー リリース レベルでのデプロイ前テストをサポートするようになった
  • Cloud Load Balancing
    • クロスリージョンの内部 Application Load Balancer がプレビュー
  • Cloud Logging
    • Duet AI アシスタンスを使用したログ エントリの要約がプレビュー
    • 単純なテキスト検索時に検索語を二重引用符で囲まないようにすると、パフォーマンスが向上するようになった
  • Cloud Run
    • ジョブの実行時に、ジョブにすでに設定されている引数、環境変数、タスクの数、およびタスクタイムアウトを上書きできるようになった(Preview)
    • 直接 VPC にトラフィックを流せる機能がプレビュー
  • Cloud Spanner
    • Spanner Studio への Duet AI アシスタンスがプレビュー

9月

  • Cloud Build
    • 無料枠が日単位から月単位で2,500分へ変更になった
  • Compute Engine
    • インスタンステンプレートは、リージョンリソースとグローバルリソースの両方として使用できるようになった(GA)
  • Cloud Monitoring
    • アラート ポリシーでカスタムの件名をつけられるようになった
  • Cloud Load Balancing
    • より高度なロード バランシング最適化が可能になった
  • Cloud Logging
    • Log Analytics SQL クエリから生成されたグラフをカスタムダッシュボードへ保存できるようになった
    • ログのダッシュボードをカスタムできるようになった
  • Cloud Pub/Sub
    • サブスクリプションでフィルタしている場合にバックログメトリクスがフィルタに合致したものだけになった
  • Cloud Storage
    • Cloud Storage FUSE でマウントオプションを設定ファイルを使って指定できるようになった
  • Cloud Run
    • 60分以上の long running jobs が一般公開(GA)された
  • Error Reporting
    • モニタリング対象のリソースタイプとして Cloud Run ジョブがサポートされるようになった
    • Duet AI アシスタンスによるエラーのトラブルシューティングがプレビュー

10月

  • プロジェクト管理者が予算アラートを作れる機能が一般公開(GA)された
  • Cloud Armor
    • Regional external Application Load Balancer での使用が一般公開(GA)された
  • Cloud Domains
    • いくつかの機能がdeprecatedになることがアナウンスされた
  • Cloud SQL
    • Enterprise と Enterprise Plus の異なるエディション間でバックアップとリストアが可能になった

11月

  • Cloud Logging
    • Duet AI が ログを要約・説明してくれる機能が一般公開(GA)された
  • Cloud Run
    • サイドカーコンテナが一般公開(GA)された
    • コールドスタートが10秒以上かかるインスタンスについて、リクエストがコールドスタートの時間の間はタイムアウトせず、キューされるようになった
    • ジョブをキャンセルできる機能が一般公開(GA)された
  • Cloud Armor
    • Network edge security polices が使えるようになった
  • Error Reporting
    • Duet AI がログのトラブルシュートをしてくれる機能が一般公開(GA)された

12月

  • 組織ポリシーのドライラン機能が一般公開(GA)された
  • 新生成AIモデル Gemini(ジェミニ)が公開された
  • Cloud Logging
    • _Default シンクに対して包含フィルターまたは除外フィルターを指定できるようになった
  • Cloud Monitoring
    • アラートポリシーで重要度を設定できるようになった
  • Cloud SQL
    • IAMグループ認証ができるようになった(Preview)
2024年3月

1月

  • Cloud Armor
    • ユーザー IP 要求ヘッダーのサポートなどの新機能が追加された
  • Cloud Build
    • サービスアカウントの挙動が変更になった
  • Cloud Domains
    • いくつかの機能がdeprecatedになった
  • Cloud Functions
    • 1st gen が Artifact Registry を利用するようになった(今まではContainer Registry)
  • Cloud Run
    • Cloud Storage をマウントできるようになった(Preview)
    • Cloud Storage FUSE が内部利用されるようになり、インストールが不要になった
    • 大阪などのリージョンで direct VPC egress が使えるようになった
  • Personalized Service Health
    • 新サービスとして一般公開(GA)された

2月

  • Backup and DR
    • Cloud Monitoring と統合された
    • 新しいレポート機能が追加された
  • Cloud Logging
    • ログを Cloud Storage にエクスポート(コピー)できるようになった
  • Cloud Load Balancing
    • Global external Application LB で HTTP のエラーコードを返すときにメッセージを自分でカスタマイズできるようになった(Preview)
  • Cloud SQL
    • プライマリ インスタンスでセルフサービス メンテナンスを実行するときに、リードレプリカを自動的に更新するようになった
  • Filestore
    • Enterprise と Zonal インスタンスで NFSv4.1 をサポート(Preview)

3月

  • Backup and DR
    • 11.0.10 で OS が「CentOS 7」から「Rocky Linux 8」に更新される
  • Compute Engine
    • VM Manager の組織全体のパッチ ステータス ダッシュボードと組織全体の OS ポリシー コンプライアンス レポートが一般公開(GA)された
  • Cloud Monitoring
    • ダッシュボードで Compute Engine,GKE,Cloud Run のイベントを確認できる機能が一般公開(GA)された
  • Cloud Run
    • 新たなリビジョンをデプロイすることなく最小インスタンス数の設定を変更できるようになった
    • NFS volume をマウントできるようになった(Preview)
      • Filestore をマウントできるようになった
    • Direct VPC egress が複数リージョンで使えるようになった(今までは東京リージョンなど限定されていた)
    • Direct VPC egress で Cloud NAT が使用可能になった(今まではサーバーレス VPC アクセスを使う必要があった)
  • Cloud Storage
    • GCS FUSEでキャッシュ機能を使えるようになった
  • Container Registry が廃止
  • Duet AI が Gemini for Google Cloud になった

さいごに

2023年5月 に Duet AI for Google Cloud が発表され、AI によるサポートがいくつかのサービスにて行われるようになりました。今は Gemini for Google Cloud に名前を変えてより進化した形でサービスが提供されています。
今後は AI の支援を受けながらサービスを利用していく使い方となっていくかと思われます。これにより試験内容も変わってくる部分がありそうですね。ただ、最小権限の原則など本質的な部分というのは変わらないので、基本をしっかりと覚えておくことが大切なことだと思います。

レスキューナウテックブログ
レスキューナウテックブログPublication

日本で唯一の危機管理情報を専門に取り扱う防災・BCPの専門企業、(株)レスキューナウです。当社で活躍するエンジニアの技術ブログを中心に公開していきます。

Discussion