(2025年)gcp考试试题及答案

(2025年)gcp考试试题及答案一、单项选择题（每题2分，共30分）1.某企业需在GCP上部署一个高并发的Web应用，要求实例可自动扩缩容且无需管理底层服务器。以下哪种服务最适合？A.ComputeEngine（自定义实例组）B.CloudRunC.AppEngine标准环境D.KubernetesEngine（GKE）答案：B解析：CloudRun是无服务器容器执行平台，支持自动扩缩容且无需管理服务器，适合高并发Web应用；GKE需管理集群，AppEngine标准环境有语言限制，ComputeEngine实例组需手动配置扩缩容策略。2.关于GCP的CloudStorage存储类，以下描述错误的是？A.多区域存储（Multi-Regional）适用于全球频繁访问的内容B.近线存储（Nearline）的最低存储时间为30天C.冷线存储（Coldline）的访问延迟高于多区域存储D.归档存储（Archive）的每GB存储成本低于近线存储答案：B解析：近线存储的最低存储时间为30天，冷线存储为90天，归档存储为365天（2025年GCP政策调整后）。3.某用户需为GCP项目启用VPC服务控制，限制CloudStorage存储桶仅允许特定VPC内的资源访问。以下哪一步是必需操作？A.在组织层级创建服务控制策略B.将存储桶添加到服务控制范围（AccessLevel）C.为存储桶绑定VPC网络peeringD.启用“私有服务访问”（PrivateServiceAccess）答案：B解析：VPC服务控制通过定义服务控制范围（ServicePerimeter）和访问级别（AccessLevel）实现，需将目标服务（如CloudStorage）和资源（如存储桶）添加到范围中，限制仅允许指定VPC内的资源访问。4.以下哪种IAM角色属于预定义角色（PredefinedRole）？A.roles/owner（项目所有者）B.roles/compute.instanceAdmin.v1（计算实例管理员）C.roles/editor（编辑者）D.roles/viewer（查看者）答案：B解析：roles/owner、editor、viewer是基本角色（BasicRole），预定义角色是更细粒度的服务特定角色，如roles/compute.instanceAdmin.v1。5.某企业使用BigQuery分析日志数据，需优化查询成本。以下哪种策略最有效？A.将数据存储为CSV格式而非ParquetB.对大表按日期字段分区（Partition）并聚类（Cluster）C.启用“按需定价”（On-Demand）而非“预留槽位”（FlatRate）D.增加查询并发数答案：B解析：分区和聚类可减少查询时扫描的数据量，降低成本；Parquet是列式存储，压缩率更高，优于CSV；预留槽位适合长期稳定查询，按需定价适合偶发查询；增加并发会提高成本。6.关于GKE（GoogleKubernetesEngine）的节点池（NodePool），以下描述正确的是？A.一个集群中只能创建一个节点池B.节点池中的节点必须使用相同的机器类型和操作系统C.自动节点修复（Auto-Repair）默认关闭D.节点池支持跨多区域（Multi-Region）部署答案：B解析：节点池是具有相同配置（机器类型、镜像、元数据等）的节点集合；一个集群可创建多个节点池；自动节点修复默认启用；GKE集群默认部署在区域（Region）内的多个可用区（Zone），而非跨多区域。7.某用户需将本地MySQL数据库迁移至GCP，要求完全托管、支持自动备份和故障转移。以下哪种服务最适合？A.CloudSQLforMySQL（高可用版）B.CloudSpannerC.BigtableD.Firestore（原生模式）答案：A解析：CloudSQL是托管的关系型数据库服务，支持MySQL、PostgreSQL等，高可用版提供跨可用区的自动故障转移；CloudSpanner是全球分布式数据库，适合超大规模和强一致性需求；Bigtable是NoSQL宽表数据库；Firestore是文档型数据库。8.关于GCP的网络负载均衡（NetworkLoadBalancing），以下描述错误的是？A.支持TCP和UDP协议B.基于IP地址和端口分发流量C.可配置健康检查（HealthCheck）D.提供全球负载均衡能力（跨多区域）答案：D解析：网络负载均衡默认是区域级别的（Regional），全局负载均衡需使用HTTP(S)负载均衡或TCP代理负载均衡（全球版）。9.某用户需在GCP上部署一个实时数据处理管道，输入为Pub/Sub消息，输出为BigQuery表，要求低延迟且支持事件时间窗口聚合。以下哪种服务最适合？A.Dataflow（使用ApacheBeamSDK）B.CloudFunctions（触发式）C.Dataproc（SparkStreaming）D.Composer（Airflow）答案：A解析：Dataflow是托管的流批一体处理服务，支持ApacheBeam的事件时间窗口、水印（Watermark）等特性，适合实时处理；CloudFunctions适合短时间任务；Dataproc需管理Spark集群；Composer是工作流调度工具。10.关于GCP的组织策略（OrganizationPolicy），以下描述正确的是？A.策略仅能在组织层级（Organization）设置B.可限制项目中允许使用的服务（如禁用ComputeEngine）C.策略冲突时，子资源（如项目）的策略会覆盖父资源（如文件夹）的策略D.所有策略默认处于“未配置”（Unset）状态，不生效答案：B解析：组织策略可在组织、文件夹、项目层级设置，子资源策略优先级高于父资源；部分策略默认有约束（如允许所有服务），可通过策略限制特定服务；策略可用于禁用服务（如constraints/compute.disableCompute）。11.某用户需为GCP项目启用双因素认证（2FA），强制所有成员使用。以下哪项是必需操作？A.在IAM中为每个用户分配“2FA强制启用”角色B.启用组织策略中的“enforceTwoFactorAuthentication”约束C.在CloudIdentity或Workspace中配置2FA策略D.在项目层级启用“安全规则”（SecurityRules）答案：C解析：GCP的2FA强制策略通过CloudIdentity或GoogleWorkspace（前GSuite）的管理员控制台配置，组织策略不直接控制2FA；IAM角色无法直接强制2FA。12.关于CloudStorage的统一访问控制（UniformAccessControl），以下描述错误的是？A.启用后，存储桶的对象无法使用ACL（访问控制列表）B.仅支持通过IAM角色管理权限C.适用于需要简化权限管理的场景D.启用后，存储桶的默认对象所有者为项目服务账号答案：D解析：统一访问控制禁用对象级ACL，仅使用存储桶级IAM；默认对象所有者由存储桶配置决定，与统一访问控制无关。13.某用户需在GCP上部署一个混合云架构，本地数据中心与GCPVPC通过专用线路（DedicatedInterconnect）连接。以下哪项不是必需步骤？A.在GCP控制台创建互连附件（InterconnectAttachment）B.本地网络配置BGP路由C.启用VPC的“动态路由”（DynamicRouting）D.配置VPCpeering连接本地数据中心答案：D解析：专用线路通过物理或虚拟连接（如AWSDirectConnect对等）实现，无需VPCpeering；VPCpeering用于GCP内部VPC连接。14.关于GKE的自动扩缩容（Autopilot模式），以下描述正确的是？A.需手动配置节点池的最小和最大节点数B.仅支持基于CPU利用率的扩缩容策略C.自动管理节点和Pod的扩缩容，无需用户干预D.不支持Windows容器答案：C解析：GKEAutopilot模式是完全托管的，自动管理节点和Pod的扩缩容；支持多种扩缩容指标（如内存、自定义指标）；2025年GKE已支持Windows容器（需特定节点池）。15.某用户需使用GCP的SecretManager存储API密钥，要求密钥在传输和存储时均加密。以下哪项描述正确？A.密钥在存储时默认使用Google管理的加密密钥（GCEK）B.密钥传输时需用户手动启用TLS1.2C.密钥可通过CloudKMS（密钥管理服务）使用用户管理的密钥（CMEK）加密D.SecretManager不支持版本控制答案：C解析：SecretManager默认使用GCEK加密，也可通过CMEK（用户管理的密钥）自定义加密；传输默认启用TLS1.2+；支持版本控制和自动轮换。二、多项选择题（每题3分，共30分，多选、少选、错选均不得分）1.以下哪些服务属于GCP的无服务器计算（ServerlessCompute）？A.CloudRunB.AppEngine标准环境C.KubernetesEngine（GKE）D.CloudFunctions答案：ABD解析：无服务器计算指用户无需管理底层服务器，GKE需管理集群，不属于无服务器。2.关于GCP的VPC网络，以下描述正确的是？A.每个项目默认有一个VPC网络B.VPC网络是全局资源（Global）C.子网（Subnet）是区域资源（Regional）D.VPC网络支持跨项目共享（SharedVPC）答案：BCD解析：GCP项目默认无VPC网络（2023年后政策调整），需手动创建或使用共享VPC；VPC是全局的，子网是区域的，支持跨项目共享。3.某企业需保护GCP中的敏感数据，要求实现数据加密“三要素”（传输加密、存储加密、密钥管理）。以下哪些措施符合要求？A.启用CloudStorage的客户管理密钥（CMEK）B.对ComputeEngine实例间通信启用内部IP（无外部IP）C.使用HTTPS协议传输数据D.通过CloudKMS轮换加密密钥答案：ACD解析：内部IP仅限制公网访问，不直接实现传输加密；HTTPS（TLS）实现传输加密，CMEK实现存储加密，CloudKMS管理密钥。4.关于BigQuery的查询优化，以下策略正确的是？A.对大表使用分区（Partition）和聚类（Cluster）B.将重复字段（RepeatedFields）转换为嵌套结构（Nested）C.避免使用SELECT，仅选择需要的字段D.对频繁查询的字段创建物化视图（MaterializedView）答案：ACD解析：重复字段本身是嵌套结构的一种，转换无意义；分区和聚类减少扫描数据量，限制字段减少处理数据量，物化视图预计算结果加速查询。5.以下哪些场景适合使用CloudSpanner？A.全球分布式的金融交易系统（需强一致性）B.实时分析TB级日志数据（需高并发查询）C.高频写入的物联网（IoT）设备数据（每秒百万条）D.需要自动水平扩展的关系型数据库答案：AD解析：CloudSpanner是全球分布式、强一致性的关系型数据库，适合需要全球部署和自动扩展的场景；实时分析日志更适合BigQuery，高频IoT写入适合Bigtable。6.关于GCP的监控（Monitoring）和日志（Logging）服务，以下描述正确的是？A.CloudMonitoring用于收集指标（Metrics）和设置告警B.CloudLogging用于收集和查询日志C.两者数据均可导出到BigQuery或CloudStorageD.日志路由（LogRouter）可将日志发送到第三方服务（如Splunk）答案：ABCD解析：CloudMonitoring（原StackdriverMonitoring）处理指标和告警，CloudLogging处理日志；两者支持数据导出，日志路由支持第三方集成。7.某用户需将本地应用迁移至GCP，要求保留现有VM镜像（如CentOS7）。以下哪些服务支持直接导入镜像？A.ComputeEngineB.CloudRunC.GKE（作为节点镜像）D.AppEngine灵活环境答案：ACD解析：ComputeEngine支持通过“镜像导入”工具（ImageImport）导入本地VM镜像；GKE节点池可使用自定义镜像；AppEngine灵活环境基于ComputeEngine，支持自定义运行时；CloudRun仅支持容器镜像（如Docker）。8.关于GCP的成本管理，以下措施可降低费用的是？A.对长期运行的ComputeEngine实例使用预留实例（ReservedInstances）B.将CloudStorage中的冷数据从多区域存储转为归档存储C.关闭未使用的VPC网络peering连接D.对BigQuery查询启用“DryRun”模式预先估算成本答案：ABCD解析：预留实例提供折扣，归档存储成本更低，关闭冗余资源减少费用，DryRun可避免意外高额查询。9.以下哪些GCP服务支持跨多区域（Multi-Region）部署？A.CloudStorage（多区域存储类）B.CloudSpanner（多区域配置）C.HTTP(S)负载均衡（全球版）D.ComputeEngine实例（跨多区域）答案：ABC解析：ComputeEngine实例部署在区域（Region）内的可用区（Zone），无法跨多区域（如同时部署在us-central和europe-west）；CloudStorage多区域存储自动分布在多个区域，CloudSpanner支持多区域配置，HTTP(S)负载均衡是全球资源。10.关于GCP的服务账号（ServiceAccount），以下描述正确的是？A.服务账号用于应用程序在GCP上进行API调用B.服务账号可绑定到ComputeEngine实例、CloudRun服务等资源C.服务账号密钥（JSON密钥文件）应避免硬编码在代码中D.服务账号属于IAM主体（Principal）答案：ABCD解析：服务账号是IAM主体，用于服务间认证；可附加到资源（如VM实例）；密钥需安全管理，避免硬编码。三、判断题（每题1分，共10分，正确填“√”，错误填“×”）1.GCP的组织（Organization）是资源层级的最高节点，所有项目必须归属于一个组织。（）答案：√解析：GCP要求所有项目必须属于一个组织（通过CloudIdentity或Workspace创建）。2.CloudFunctions的最大执行时长为9分钟（2025年政策）。（）答案：√解析：2025年GCP将CloudFunctions的最大执行时间延长至9分钟（原90秒），以支持更长任务。3.VPC服务控制（VPCServiceControls）可限制用户通过公网直接访问CloudStorage存储桶。（）答案：√解析：VPC服务控制通过定义服务范围，仅允许指定VPC内的资源访问服务，阻止公网直接访问。4.BigQuery的“外部表”（ExternalTable）支持直接查询CloudStorage中的CSV文件，无需加载到BigQuery数据集。（）答案：√解析：BigQuery可通过外部表直接查询存储在CloudStorage、Bigtable等位置的数据，无需导入。5.GKE的Autopilot模式不支持自定义节点配置（如GPU实例）。（）答案：×解析：2025年GKEAutopilot已支持GPU、TPU等加速实例，允许自定义节点类型。6.CloudSQL的“维护窗口”（MaintenanceWindow）可设置为特定可用区，避免影响业务。（）答案：×解析：维护窗口设置的是时间（如每周三23:00-01:00），而非可用区；高可用版会自动切换到另一个可用区。7.Pub/Sub的“确认截止时间”（AckDeadline）是指消息发送到订阅者后，订阅者必须在该时间内确认接收，否则消息会被重新发送。（）答案：√解析：AckDeadline默认10秒，可延长至600秒，订阅者需在该时间内发送确认（Ack），否则消息重新入队。8.所有GCP服务的API调用默认启用VPC服务控制约束。（）答案：×解析：VPC服务控制需显式配置服务范围（ServicePerimeter），仅对加入范围的服务生效。9.ComputeEngine的“抢占式实例”（PreemptibleInstance）最长可运行24小时，且无法自动重启。（）答案：×解析：抢占式实例最长运行24小时，但可能被提前终止；2025年GCP推出“持续抢占式实例”（SustainedPreemptible），支持自动重启（需配置实例模板和自动恢复策略）。10.Firestore的“本地模式”（NativeMode）和“Datastore模式”（DatastoreMode）支持相同的API和查询功能。（）答案：×解析：Firestore本地模式支持更丰富的查询（如范围查询、复合索引），Datastore模式（遗留）功能有限，两者API部分兼容但不完全相同。四、案例分析题（每题15分，共30分）案例1：某金融企业计划将核心交易系统迁移至GCP，需求如下：-系统需支持全球用户低延迟访问（覆盖亚洲、欧洲、北美）-交易数据需强一致性（ACID特性），支持自动水平扩展-每天产生约500GB交易日志，需实时分析并提供统计报表-敏感数据（如用户银行卡号）需加密存储，密钥由企业自主管理请设计技术方案，说明所选GCP服务及理由。答案：1.数据库选择：CloudSpanner（5分）。理由：CloudSpanner是全球分布式、强一致性的关系型数据库，支持自动水平扩展，符合交易系统的强一致性