2026年gcp网络试题及答案

2026年gcp网络试题及答案一、单项选择题（每题2分，共20分）1.在GCP自定义模式VPC中，关于子网的IP地址范围，以下说法正确的是：A.子网必须使用RFC1918定义的私有IP地址段B.子网IP范围可以是任意IPv4地址段，包括公有地址C.同一VPC内不同区域的子网IP范围必须重叠D.子网创建后IP范围可直接通过控制台扩展20%答案：B解析：GCP允许自定义模式VPC的子网使用任意IPv4地址段（包括公有地址），但需注意跨VPC通信时的路由冲突。RFC1918地址非强制（A错误）；不同区域子网IP范围可重叠（C错误）；子网IP范围创建后无法直接扩展，需删除重建（D错误）。2.关于GCP防火墙规则的处理顺序，正确的是：A.按规则名称字母顺序处理B.按优先级数值从小到大处理（0为最高）C.按规则创建时间从早到晚处理D.所有允许规则优先于拒绝规则处理答案：B解析：GCP防火墙规则按优先级（Priority）数值排序，数值越小优先级越高（0-65535），高优先级规则先匹配。名称、创建时间不影响顺序（A、C错误）；允许和拒绝规则按优先级处理，非全局允许优先（D错误）。3.以下哪种GCP负载均衡类型支持跨多区域后端实例自动分发流量？A.内部TCP/UDP负载均衡（区域型）B.HTTP(S)负载均衡（全球型）C.网络负载均衡（区域型）D.内部HTTP(S)负载均衡（区域型）答案：B解析：GCP的HTTP(S)负载均衡为全球型，支持跨多区域（甚至跨大洲）的后端服务，自动路由到最近的健康实例。其他选项均为区域型，仅在单一区域内分发（A、C、D错误）。4.某企业需通过私有IP访问GCP托管的BigQuery服务，应使用以下哪种技术？A.VPC对等连接B.私有服务连接（PrivateServiceConnect）C.CloudVPND.共享VPC（SharedVPC）答案：B解析：私有服务连接允许通过私有IP访问GCP托管服务（如BigQuery、CloudSQL），无需公网IP。VPC对等用于VPC间通信（A错误）；CloudVPN用于混合云连接（C错误）；共享VPC用于项目间共享网络资源（D错误）。5.在GCP中配置CloudInterconnect专用连接时，以下要求错误的是：A.需与GCP边缘节点物理连接（如Equinix、NTT等）B.支持1Gbps至100Gbps的带宽选择C.必须使用BGP协议建立路由D.连接冗余需通过两条独立物理线路实现答案：C解析：CloudInterconnect支持BGP或静态路由（可选），非必须使用BGP（C错误）。其他选项均为专用连接的基本要求（A、B、D正确）。二、多项选择题（每题3分，共15分，少选、错选均不得分）1.以下属于GCPVPC自动模式（Auto-modeVPC）特性的是：A.自动为每个区域创建一个子网B.子网IP范围为10.xx.0.0/20（xx为区域代码）C.子网创建后可手动删除D.支持跨区域子网IP范围重叠答案：A、B、C解析：自动模式VPC会为每个启用的区域自动创建一个/20子网（如/20用于us-central1），子网可手动删除（删除后不会自动重建）。自动模式子网IP范围不允许重叠（D错误）。2.关于GCP云路由（CloudRouter），正确的描述是：A.用于管理VPC的自定义静态路由B.与CloudVPN或Interconnect配合实现动态路由C.支持BGP路由协议D.每个VPC最多可创建5个云路由实例答案：B、C解析：云路由主要用于动态路由（如与VPN/Interconnect的BGP会话），不管理静态路由（静态路由通过路由表手动配置，A错误）。每个VPC最多可创建10个云路由（D错误）。3.以下场景适合使用GCP内部负载均衡（InternalLoadBalancing）的是：A.暴露内部微服务给同一VPC内的其他应用B.为互联网用户提供Web服务C.跨VPC对等连接分发数据库流量D.需要公网IP的API网关答案：A、C解析：内部负载均衡仅通过私有IP暴露，适用于VPC内或对等VPC内的内部通信（B、D需要外部负载均衡，错误）。4.GCP云DNS（CloudDNS）的私有区域（PrivateZones）支持的功能包括：A.解析记录仅对指定VPC可见B.支持跨组织VPC解析C.与公共区域（PublicZones）记录冲突时优先解析公共记录D.支持将外部DNS记录转发到内部解析答案：A、B解析：私有区域可通过VPC关联限制可见性（A正确），支持跨组织共享VPC的解析（B正确）；私有记录优先级高于公共记录（C错误）；外部转发需通过云DNS的转发规则（D属于转发区功能，非私有区域特性）。5.关于GCP网络服务层级（NetworkServiceTiers），正确的是：A.高级层级（PremiumTier）提供跨区域更低延迟B.标准层级（StandardTier）跨大洲流量通过GCP骨干网优化C.高级层级支持CloudInterconnect专用连接D.服务层级可随时在VPC级别切换答案：A、B解析：高级层级通过GCP全球骨干网优化跨区域/大洲延迟（A正确）；标准层级流量可能通过公共互联网，但跨大洲仍走GCP骨干（B正确）；两种层级均支持Interconnect（C错误）；服务层级创建VPC时指定，无法后期切换（D错误）。三、判断题（每题2分，共10分，正确填“√”，错误填“×”）1.GCPVPC的默认路由表包含指向互联网网关的/0路由，所有实例默认可以访问公网。（）答案：×解析：默认VPC的默认防火墙规则拒绝所有入站流量，但实例需绑定公网IP或通过NAT网关才能访问公网，默认路由表的/0路由指向互联网网关，但实例无公网IP时无法主动访问公网（需NAT）。2.VPC对等连接（VPCPeering）支持传递路由，即A与B对等、B与C对等，则A可通过B访问C的资源。（）答案：×解析：VPC对等连接为非传递性，A与B、B与C对等时，A无法直接访问C，需A与C单独建立对等。3.GCP的HTTP(S)负载均衡支持基于用户地理位置（Geo）的流量分发策略。（）答案：√解析：HTTP(S)负载均衡支持地理路由（GeoRouting），可根据用户所在地理位置将流量导向指定区域的后端服务。4.私有服务连接（PrivateServiceConnect）的消费者项目必须与服务项目属于同一组织。（）答案：×解析：私有服务连接支持跨组织共享，通过服务项目发布端点，消费者项目通过服务目录（ServiceDirectory）引用，无需同组织。5.CloudVPN的IPsec隧道支持主动模式（AggressiveMode）和主模式（MainMode），其中主模式提供更好的安全性。（）答案：√解析：主模式（MainMode）通过6次握手协商密钥和SA，比主动模式（3次握手）更安全，GCP默认使用主模式。四、简答题（每题8分，共40分）1.简述GCP自定义模式VPC与自动模式VPC的主要区别（至少4点）。答案：（1）子网管理：自动模式自动为每个区域创建/20子网，自定义模式需手动创建；（2）IP范围灵活性：自动模式子网IP为固定10.xx.0.0/20（xx为区域代码），自定义模式可任意选择（包括公有地址）；（3）子网重叠：自动模式子网IP不允许重叠，自定义模式允许跨区域子网IP重叠；（4）扩展性：自动模式子网删除后不会自动重建，自定义模式完全由用户控制；（5）适用场景：自动模式适合快速启动的简单应用，自定义模式适合需要精细控制的企业级架构。2.说明GCP防火墙规则中“目标”（Target）字段的三种配置方式及其适用场景。答案：（1）所有实例在VPC中（AllinstancesintheVPC）：应用于VPC内所有带有网络标签的实例，适合全局规则（如允许内部SSH）；（2）标签（Targettags）：仅应用于带有指定网络标签的实例，适合按服务/环境隔离（如允许“web-server”标签实例的80端口入站）；（3）服务账户（Targetserviceaccounts）：基于实例关联的服务账户应用规则，适合按权限控制（如允许“db-service-account”的数据库端口访问）。3.对比GCP网络负载均衡（NetworkLoadBalancer）与HTTP(S)负载均衡的关键差异（至少5点）。答案：（1）协议支持：网络负载均衡支持TCP/UDP/ESP/ICMP，HTTP(S)负载均衡仅支持HTTP/HTTPS；（2）层级：网络负载均衡工作在传输层（OSIL4），HTTP(S)负载均衡工作在应用层（OSIL7）；（3）后端类型：网络负载均衡支持实例组、外部IP、混合云实例，HTTP(S)负载均衡支持实例组、托管实例组、云存储桶；（4）全球/区域：网络负载均衡为区域型（单区域），HTTP(S)负载均衡为全球型（跨多区域）；（5）会话保持：网络负载均衡通过源IP哈希实现会话保持，HTTP(S)负载均衡支持基于Cookie的会话保持；（6）安全特性：HTTP(S)负载均衡支持SSL/TLS终止、WAF集成，网络负载均衡不支持应用层安全功能。4.描述通过CloudVPN实现混合云连接的基本步骤（基于IPsec隧道）。答案：（1）在GCP控制台或CLI创建VPN网关（VPNGateway），选择区域并关联VPC；（2）配置隧道参数：指定对等方IP（本地IDC的VPN网关公网IP）、预共享密钥（PSK）、BGPASN（可选，用于动态路由）；（3）在本地IDC端配置IPsec隧道，匹配GCP侧的对等IP、PSK、加密协议（如AES-256、SHA-256）；（4）配置路由：GCP侧通过云路由（CloudRouter）或静态路由指向本地IDC的IP范围，本地IDC侧配置指向GCPVPC子网的路由；（5）验证连接：通过gcloud命令或控制台检查隧道状态（UP/DOWN），使用ping或traceroute测试跨网通信。5.解释GCP“共享VPC”（SharedVPC）的核心设计目标及关键组件。答案：核心设计目标：实现跨项目的网络资源共享，简化多项目环境的网络管理（如开发、测试、生产项目共享同一VPC的子网、防火墙规则）。关键组件：（1）宿主项目（HostProject）：承载共享VPC的项目，管理VPC、子网、防火墙、路由等资源；（2）服务项目（ServiceProject）：附加到共享VPC的项目，其实例可使用共享VPC的子网和网络资源；（3）网络管理员角色：宿主项目的用户需具备“compute.xpnAdmin”权限，服务项目需具备“compute.xpnUser”权限；（4）共享资源：包括VPC、子网、防火墙规则、云路由、VPN网关等（互联网网关、NAT网关不可共享）。五、综合应用题（共25分）某金融企业计划将核心交易系统迁移至GCP，要求：（1）系统包含Web层、应用层、数据库层，需按层级隔离网络；（2）数据库层仅允许应用层访问，禁止Web层直接访问；（3）Web层需对外提供HTTPS服务（全球访问，低延迟）；（4）本地数据中心（IDC）需通过私有连接访问GCP数据库层（带宽≥10Gbps，高可靠性）；（5）所有跨层流量需记录日志，用于合规审计。请设计GCP网络架构方案，要求画出逻辑拓扑图（文字描述即可），并说明关键配置步骤及技术选型理由。答案：逻辑拓扑描述：GCP侧：自定义模式VPC（名称：bank-vpc），划分3个子网：web-subnet（区域：多个全球区域，如us-central1、europe-west1、asia-east1），IP范围：/20（各区域独立）；app-subnet（区域：与web-subnet同区域），IP范围：/20；db-subnet（区域：主区域us-central1，单区域部署），IP范围：/20（加密存储，高IOPS）。互联网侧：通过全球HTTP(S)负载均衡（L7）暴露Web层，后端为各区域web-subnet中的实例组（含健康检查）。内部隔离：防火墙规则：允许app-subnet→db-subnet的3306端口（MySQL），拒绝web-subnet→db-subnet的所有流量；允许互联网→HTTP(S)负载均衡的443端口，负载均衡→web-subnet的8080端口（应用服务）。混合云连接：通过CloudInterconnect专用连接（10Gbps），本地IDC与GCPus-central1的边缘节点（如Equinix）物理连接，使用BGP动态路由，本地IDCIP范围（/16）与db-subnet（/20）互访。流量日志：启用VPC流日志（VPCFlowLogs），记录所有子网间流量，存储至CloudStorage（长期保留）和BigQuery（分析）。关键配置步骤及技术选型理由：1.VPC与子网设计：选择自定义模式VPC，支持灵活子网划分和跨区域部署（满足全球低延迟需求）。web-subnet跨多区域部署，配合全球HTTP(S)负载均衡实现用户就近访问；db-subnet单区域部署（金融系统数据集中需求），减少跨区域复制延迟。2.负载均衡选型：HTTP(S)负载均衡（全球型）支持跨区域后端