GCP培训考试试题及答案

GCP培训考试试题及答案一、单项选择题（每题2分，共40分）1.以下关于GoogleCloudPlatform（GCP）核心服务的描述中，正确的是：A.ComputeEngine仅支持预定义实例类型，无法自定义CPU/内存配置B.CloudStorage的多区域（Multi-Regional）存储类适用于需要低延迟访问的全球用户数据C.CloudSQL仅支持MySQL数据库，不支持PostgreSQL和SQLServerD.VPC网络的子网必须与区域（Region）绑定，无法跨区域创建答案：B解析：ComputeEngine支持自定义实例类型（如e2-custom-2-4表示2核4GB内存），A错误；CloudSQL支持MySQL、PostgreSQL和SQLServer，C错误；VPC子网必须与区域绑定（如us-central1），但VPC本身是全局资源，可跨区域创建多个子网，D错误；多区域存储类（如nam4）将数据分布在两个或多个地理区域，适合全球用户高频访问的场景，B正确。2.在GCP中配置IAM（身份与访问管理）时，以下哪种角色分配方式不符合最小权限原则？A.为运维团队分配“roles/compute.instanceAdmin.v1”角色（管理ComputeEngine实例）B.为数据分析师分配“roles/storage.objectViewer”角色（查看CloudStorage对象）C.为测试人员分配“roles/owner”角色（项目完全控制）D.为CI/CD服务账号分配“roles/cloudbuild.builds.builder”角色（执行CloudBuild构建）答案：C解析：“roles/owner”角色拥有项目的完全控制权限（如删除资源、修改IAM策略），超出测试人员的最小需求，违反最小权限原则；其他选项均为细粒度角色，符合原则。3.关于CloudStorage的生命周期管理（LifecycleManagement），以下操作无法通过策略实现的是：A.将存储桶中30天未访问的对象从多区域（Multi-Regional）转为近线（Nearline）B.将存储桶中所有对象在创建1年后自动删除C.对存储桶中前缀为“logs/”的对象设置90天后转为归档（Archive）D.将存储桶中所有对象的访问权限从私有（Private）改为公开可读（Public）答案：D解析：生命周期管理策略支持存储类转换（如A、C）、自动删除（B），但无法直接修改对象的访问权限（需通过IAM或对象ACL实现），D错误。4.某企业需要构建一个高并发的无状态Web应用，要求自动扩展且最小化运维成本，最佳方案是：A.使用ComputeEngine实例组（InstanceGroups）+手动扩展策略B.使用GoogleKubernetesEngine（GKE）+集群自动扩缩（ClusterAutoscaler）C.使用CloudRun（完全托管）+自动扩缩（0-1000+实例）D.使用AppEngine标准环境（StandardEnvironment）+手动设置实例数量答案：C解析：CloudRun是无服务器平台，支持自动扩缩（包括缩至0），无需管理服务器或集群，最符合“最小化运维成本”的需求；GKE需要管理集群，A需手动扩展，D需手动设置实例，均不符合。5.以下关于VPC网络防火墙规则的描述中，错误的是：A.防火墙规则默认拒绝所有入站流量，允许所有出站流量B.规则优先级数值越小（如0比100），优先级越高C.可以基于目标端口（如TCP80）、源IP范围（如/24）设置过滤条件D.自定义规则可以覆盖默认的“允许所有出站”规则答案：D解析：默认出站规则（优先级65534）允许所有出站流量，自定义出站规则需显式设置允许或拒绝，无法覆盖默认规则（除非自定义规则优先级更高且与默认规则冲突）；其他选项均正确。6.在GCP中，若需将本地数据中心与GCPVPC通过专用网络连接，且要求低延迟、高带宽，应选择：A.CloudVPN（IPsecVPN）B.Interconnect（专用interconnect）C.DedicatedInterconnect（直接互连）D.PartnerInterconnect（合作伙伴互连）答案：C解析：DedicatedInterconnect通过物理专线直接连接GCP边缘节点，提供最高带宽（10Gbps-100Gbps）和最低延迟；CloudVPN基于公网，延迟较高；PartnerInterconnect通过网络服务提供商连接，延迟略高于Dedicated但低于VPN；题目要求“专用网络、低延迟、高带宽”，选C。7.关于BigQuery的描述，以下正确的是：A.BigQuery是列式存储的关系型数据库，支持实时写入和实时查询B.数据加载到BigQuery时，必须使用GCS作为中间存储C.BigQuery的定价基于存储的数据量和查询扫描的数据量D.所有BigQuery查询均需通过SQLAPI调用，无法直接在控制台执行答案：C解析：BigQuery是无服务器的分析数据库，采用列式存储，支持批量写入（实时写入需通过流插入，但有延迟），A错误；数据可直接通过控制台、API或CLI加载，无需GCS中间存储，B错误；控制台支持直接编写SQL查询，D错误；定价模型为存储费用（按GB/月）+查询费用（按扫描的GB数），C正确。8.某用户需要为GKE集群中的应用配置外部负载均衡，要求支持HTTP/HTTPS流量分发、基于域名的路由（如指向服务A，指向服务B），应选择：A.网络负载均衡（NetworkLoadBalancing，TCP/UDP）B.应用负载均衡（ApplicationLoadBalancing，HTTP(S)）C.内部负载均衡（InternalLoadBalancing）D.SSL代理负载均衡（SSLProxyLoadBalancing）答案：B解析：应用负载均衡支持HTTP/HTTPS流量，且支持基于URL路径、域名的路由规则（通过URL映射配置），符合需求；网络负载均衡仅支持TCP/UDP，不支持HTTP路由；内部负载均衡用于集群内部流量；SSL代理负载均衡用于TCP流量的SSL终止，不支持基于域名的路由。9.以下关于SecretManager（密钥管理）的操作中，不符合最佳实践的是：A.将数据库密码存储为SecretManager中的密钥，并设置90天自动轮换策略B.在代码中硬编码SecretManager的API密钥，用于访问密钥C.通过IAM为服务账号分配“roles/secretmanager.secretAccessor”角色，限制其仅能读取特定密钥D.对密钥启用版本控制，保留最近5个历史版本答案：B解析：硬编码API密钥会导致安全风险（如代码泄露），应通过服务账号的身份验证（如应用默认凭证）访问SecretManager，无需在代码中存储密钥；其他选项均符合最佳实践。10.若需在ComputeEngine实例上安装自定义软件并配置启动脚本，应使用：A.元数据（Metadata）中的“startup-script”属性B.实例的“用户数据”（UserData）字段（仅适用于AWS，GCP无此概念）C.CloudDeploymentManager模板中的“init”步骤D.配置管理工具（如Ansible）手动执行答案：A解析：GCP通过实例元数据的“startup-script”属性（或“startup-script-url”指向GCS脚本）实现启动时自动执行脚本；用户数据是AWS术语，GCP无此概念，B错误；CloudDeploymentManager用于基础设施编排，C不直接对应；D是手动操作，非最佳方案。11.关于CloudSpanner的描述，正确的是：A.CloudSpanner是关系型数据库，支持ACID事务和全球分布式部署B.CloudSpanner仅支持单区域部署，无法跨区域扩展C.CloudSpanner的存储与计算分离，支持自动扩缩容，但不支持事务D.CloudSpanner适用于低延迟的键值存储场景（如缓存）答案：A解析：CloudSpanner是全球分布式的关系型数据库，支持ACID事务和水平扩展，A正确；它支持多区域部署（如区域、多区域），B错误；存储与计算不分离（节点同时负责存储和计算），C错误；适用于需要强一致性的高并发事务场景（如金融交易），而非缓存，D错误。12.某团队需要分析用户行为日志（每天100GB，格式为JSON），要求支持实时流处理和批量处理，最佳方案是：A.使用CloudStorage存储日志，通过BigQuery批量查询B.使用Pub/Sub接收实时日志，通过Dataflow（ApacheBeam）处理流数据和批数据C.使用Bigtable存储日志，通过HBaseAPI查询D.使用Firestore（实时数据库）存储日志，通过客户端SDK读取答案：B解析：Pub/Sub是实时消息队列，Dataflow基于ApacheBeam支持统一的流处理（Streaming）和批处理（Batch）模型，可同时处理实时和历史日志；A仅支持批量查询，无法实时处理；Bigtable适用于高频读写的宽表数据，C不适用；Firestore适用于结构化数据的实时同步，D不适用。13.以下关于GCP监控（CloudMonitoring）的指标（Metric）类型中，属于“累积型”（Cumulative）的是：A.实例的CPU利用率（百分比）B.应用的请求总数（从启动开始递增）C.数据库的连接数（当前活跃连接数）D.存储桶的对象数量（当前总数）答案：B解析：累积型指标表示从某个起点（如实例启动）开始的累计值（如总请求数），不会重置；CPU利用率是“gauge”（瞬时值），连接数和对象数量也是“gauge”，B正确。14.若需限制GCP项目的月度预算不超过$500，且在达到90%时发送通知，应使用：A.CloudBilling的预算与警报（Budgets&Alerts）功能B.IAM的预算控制角色（如roles/billing.user）C.CloudCostManagement的预测（Forecast）功能D.手动查看账单并设置提醒答案：A解析：CloudBilling的预算功能支持设置金额阈值（如$500），并在达到90%（$450）时通过邮件或Pub/Sub发送警报，A正确；其他选项无法实现自动预算控制。15.关于GKE集群的节点池（NodePool），以下描述错误的是：A.节点池中的节点必须使用相同的机器类型（如e2-medium）B.可以为节点池设置自动扩缩容（NodeAutoscaler）C.节点池支持混合实例类型（如同时使用抢占式实例和常规实例）D.节点池是GKE集群的子集，可独立升级或删除答案：C解析：节点池中的节点必须使用相同的机器类型、镜像、元数据等配置，无法混合实例类型（需创建多个节点池），C错误；其他选项均正确。16.以下哪种场景适合使用CloudFilestore（托管NFS文件存储）？A.存储海量非结构化数据（如图片、视频），需通过RESTAPI访问B.为多台ComputeEngine实例提供共享的文件系统（如共享代码库）C.存储需要高频随机读写的小文件（如数据库日志）D.作为Kubernetes集群的持久化存储（需支持ReadWriteMany模式）答案：B解析：CloudFilestore提供托管的NFSv3文件系统，适合多实例共享文件（如开发团队共享代码）；A是CloudStorage的场景；C和D更适合块存储（如PersistentDisk）或分布式文件系统（如GKE的ReadWriteMany卷）。17.在GCP中，若需将本地MySQL数据库迁移到CloudSQL，且要求停机时间最短（<1小时），最佳迁移方案是：A.手动导出SQL转储文件（.sql），上传至GCS，再导入CloudSQLB.使用CloudSQL导入功能（从GCS的SQL文件导入）C.使用DatabaseMigrationService（DMS）进行实时复制（CDC），完成后切换D.使用mysqldump导出数据，通过命令行工具导入CloudSQL答案：C解析：DMS支持通过CDC（ChangeDataCapture）实时复制数据，迁移过程中本地数据库的更新会同步到CloudSQL，最终切换时仅需短暂停机（应用指向新数据库），停机时间最短；其他选项均为批量导入，需长时间停机（导出/导入耗时可能超过1小时）。18.关于VPC网络的路由（Routes），以下描述正确的是：A.默认路由（/0）指向互联网网关（InternetGateway），允许实例访问公网B.自定义路由的优先级高于默认路由（数值越小优先级越高）C.路由仅支持静态路由，不支持动态路由（如BGP）D.路由表是区域级资源，每个子网必须关联独立的路由表答案：A解析：默认路由（优先级1000）指向互联网网关，允许实例访问公网，A正确；自定义路由的优先级需小于1000才会覆盖默认路由，B错误；VPC支持通过CloudRouter与外部网络（如本地数据中心）建立动态BGP路由，C错误；路由表是全局资源，子网可共享路由表，D错误。19.以下关于GCP安全最佳实践的描述中，错误的是：A.避免使用项目所有者（Owner）角色，优先使用预定义角色（如compute.admin）B.对敏感数据（如用户密码）启用静态加密（EncryptionatRest），并使用客户管理的密钥（CMEK）C.允许所有服务账号使用“allUsers”或“allAuthenticatedUsers”权限（公开资源）D.定期审查IAM策略，移除未使用的服务账号和角色答案：C解析：“allUsers”和“allAuthenticatedUsers”会导致资源公开，存在安全风险，应仅在必要时使用（如公开静态网站），C错误；其他选项均符合最佳实践。20.某用户需要为GCP项目启用组织策略（OrganizationPolicy），限制所有项目只能使用us-central1和europe-west1两个区域，应配置：A.约束（Constraint）“allowedRegions”，允许值为[“us-central1”,“europe-west1”]B.约束“deniedRegions”，拒绝值为除上述区域外的所有区域C.约束“compute.disableGuestAttributes”，禁用其他区域D.约束“storage.uniformBucketLevelAccess”，限制存储桶区域答案：A解析：“allowedRegions”约束用于限制项目可使用的区域，允许列表为指定区域，A正确；“deniedRegions”是拒绝列表，需明确列出所有拒绝区域，不如允许列表简洁；其他约束与区域无关。二、多项选择题（每题3分，共15分，少选、错选均不得分）1.以下属于GCP计算服务的有：A.ComputeEngine（虚拟机）B.CloudRun（无服务器）C.AppEngine（托管PaaS）D.BigQuery（数据分析）答案：ABC解析：BigQuery是数据分析服务，非计算服务；ABC均为计算类服务。2.关于CloudStorage的存储类，以下描述正确的有：A.多区域（Multi-Regional）：适用于全球高频访问的数据，存储成本较高B.区域（Regional）：适用于单区域高频访问的数据，存储成本低于多区域C.近线（Nearline）：适用于低频访问（至少30天一次）的数据，有访问费用D.归档（Archive）：适用于长期冷存储（至少90天），有较高的恢复费用答案：ABCD解析：所有选项均符合各存储类的特性描述。3.在GKE中，实现应用高可用（HA）的措施包括：A.将集群部署在多区域（Multi-Zonal），节点分布在不同可用区（Zone）B.使用PodDisruptionBudget限制不可用Pod的数量C.为服务配置负载均衡（如应用负载均衡）D.启用自动扩缩容（HorizontalPodAutoscaler）答案：ABCD解析：多区域部署避免单可用区故障，PodDisruptionBudget限制维护期间的中断，负载均衡分散流量，自动扩缩容应对流量波动，均为高可用措施。4.以下关于GCP网络服务的描述中，正确的有：A.VPC网络支持跨区域peering（VPCPeering），实现不同VPC间的私有通信B.CloudCDN（内容分发网络）可加速CloudStorage和ComputeEngine实例的内容分发C.内部负载均衡仅能将流量分发到同一VPC内的实例D.网络端点组（NetworkEndpointGroup，NEG）支持将流量路由到GKEPod或CloudRun服务答案：ABCD解析：所有选项均正确。VPCPeering支持跨区域；CloudCDN支持源为GCS或实例；内部负载均衡仅限同VPC；NEG支持多种端点类型（如Pod、CloudRun）。5.关于GCP成本优化的方法，正确的有：A.使用抢占式实例（PreemptibleVMs）运行非关键、可中断的工作负载（如批处理）B.对长期存储的冷数据（如日志）使用归档（Archive）存储类，降低存储成本C.为ComputeEngine实例启用自动停止（Auto-Stop）策略，避免空闲时计费D.购买承诺型使用（Commitment），锁定1年或3年的资源使用，获得折扣答案：ABCD解析：抢占式实例成本低（约80%折扣）但可能被中断；归档存储类成本最低；自动停止避免空闲计费；承诺型使用提供长期折扣，均为成本优化方法。三、判断题（每题1分，共10分）1.GCP项目（Project）是资源管理的基本单位，每个项目必须关联一个账单（BillingAccount）。（）答案：√解析：项目是GCP资源的逻辑容器，必须关联账单才能启用服务。2.CloudStorage的存储桶（Bucket）名称在全球范围内唯一，不能与其他用户的存储桶重名。（）答案：√解析：存储桶名称是全局唯一的DNS兼容名称，需确保全球唯一。3.IAM策略中的“主体”（Principal）可以是用户账号、服务账号、组或域（如@）。（）答案：√解析：IAM支持多种主体类型，包括用户、服务账号、组、域。4.ComputeEngine实例的外部IP地址（ExternalIP）默认是静态的，不会随实例停止/启动改变。（）答案：×解析：默认外部IP是临时的（Ephemeral），实例停止后释放；需手动保留为静态IP（StaticIP）才会持久。5.GKE集群的控制平面（Master）由GCP托管，用户无需管理，但需为控制平面付费。（）答案：×解析：GKE控制平面由GCP免费托管（仅节点池计费），用户无需付费。6.BigQuery的查询结果可以直接保存到CloudStorage（如CSV、JSON格式）。（）答案：√解析：BigQuery支持将查询结果导出到GCS（通过控制台或SQL的EXPORTDATA语句）。7.VPC网络的防火墙规则是无状态的（Stateless），需同时允许入站和出站流量才能建立连接。（）答案：×解析：GCP防火墙规则是有状态的（Stateful），允许入站流量后，响应流量自动允许出站。8.SecretManager的密钥版本（Version）默认保留所有历史版本，无法设置自动删除。（）答案：×解析：可通过生命周期管理策略设置密钥版本的自动删除（如保留最近5个版本）。9.CloudSQL的高可用（HA）配置默认是多区域（Multi-Regional）部署，主实例和备用实例跨区域同步。（）答案：×解析：CloudSQL的HA默认是同区域多可用区（Zonal）部署，备用实例与主实例在同一区域的不同可用区，多区域部署需额外配置。10.GCP的服务级别协议（SLA）保证所有服务的可用性均不低于99.9%。（）答案：×解析：不同服务的SLA不同（如ComputeEngine实例为99.9%，CloudStorage多区域为99.95%，部分测试版服务无SLA）。四、简答题（每题5分，共20分）1.请简述GCP中“服务账号”（ServiceAccount）与“用户账号”（UserAccount）的区别。答案：服务账号是GCP资源（如ComputeEngine实例、CloudFunction）的身份标识，用于自动化操作（如API调用、资源管理）；用户账号是人类用户的身份（如员工邮箱），用于手动管理资源。区别：-用途：服务账号用于机器/服务间交互，用户账号用于人工操作。-权限：服务账号通过密钥（JSON密钥文件）或元数据服务认证，用户账号通过Google账户（如Gmail）认证。-生命周期：服务账号可长期存在（需定期轮换密钥），用户账号随员工离职需删除或禁用。-最佳实践：避免使用用户账号执行自动化任务，应使用服务账号并遵循最小权限原则。2.请比较CloudStorage（对象存储）与PersistentDisk（块存储）的适用场景。答案：CloudStorage（对象存储）：-存储非结构化数据（如图片、视频、日志文件），通过HTTP/RESTAPI访问。-支持海量存储（单桶无大小限制），适合冷存储、备份、静态网站托管。-按存储类（多区域/区域/近线/归档）计费，访问成本随存储类降低而升高。PersistentDisk（块存储）：-提供块级存储（类似本地硬盘），需挂载到ComputeEngine实例或GKE节点。-适合需要低延迟、高频随机读写的场景（如数据库文件、应用程序数据）。-支持SSD（高性能）和HDD（低成本）类型，按GB/月计费，需与实例关联。总结：对象存储适合非结构化、海量、低频访问的数据；块存储适合结构化、高频、低延迟访问的场景。3.请说明GKE中“集群”（Cluster）、“节点”（Node）、“Pod”的层级关系，并解释为何Pod是Kubernetes的基本调度单元。答案：层级关系：集群包含多个节点（ComputeEngine实例），节点上运行多个Pod，Pod是容器的分组（一个Pod可包含多个紧密耦合的容器）。Pod是基本调度单元的原因：-原子性：Pod内的容器共享网络（同一IP）和存储（共享卷），必须被调度到同一节点，作为一个整体管理。-灵活性：Pod支持水平扩展（多个副本），调度器根据资源需求（CPU/内存）和约束（如亲和性规则）将Pod分配到节点。-生命周期：Pod是短暂的（可能因节点故障重启），但通过控制器（如Deployment）可保证副本数，实现高可用。4.请列举GCP中实现数据加密的三种方式，并说明其应用场景。答案：（1）静态加密（EncryptionatRest）：-GCP默认对所有存储服务（如CloudStorage、PersistentDisk、CloudSQL）启用静态加密，使用Google管理的密钥（GMEK）。-可选客户管理的密钥（CMEK），用户通过CloudKMS自主管理加密密钥，适用于对数据主权要求高的场景（如金融、医疗）。（2）传输加密（EncryptioninTransit）：-GCP服务间通信默认使用TLS1.2+加密（如实例到CloudStorage的API调用）。-外部访问（如用户通过浏览器访问应用）需配置HTTPS（使用SSL证书，可通过GCPManagedCertificates自动管理），适用于保护网络传输中的敏感数据。（3）应用层加密（Application-LayerEncryption）：-用户在应用代码中对数据加密（如使用AES-256），密钥由应用管理。-适用于需要额外保护层的场景（如用户密码、支付信息），即使GCP层面加密被破解，数据仍不可读。五、案例分析题（共15分）某电商公司计划将其现有的单体应用迁移到GCP，要求架构具备高可用、自动扩缩容、低成本且支持实时订单处理。现有需求如下：-前端：静态网站（HTML/JS/CSS），全球用户访问，需低延迟。-后端：Java微服务，处理订单（需ACID事务）、用户登录（高并发）。-数据库：MySQL，存储订单、用户信息，要求故障恢复时间<30分钟。-日志与监控：集中收集所有服务日志，实时监控应用健康状态（如延迟、错误率）。请设计一个符合需求的GCP架构方案，要求说明各组件的选择原因及关键配置。答案：1.前端静态网站-组件：CloudStorage（多区域存储类）+CloudCDN。-原因：-CloudStorage支持静态网站托管（设置存储桶为网站模式，指定索引页和错误页），多区域存储类（如nam4）将数据分布在北美多个区域，降低全球用户访问延迟。-CloudCDN通过边缘节点（PointofPresence，PoP）缓存静态内容，进一步减少访问延迟和源站负载。