Security Engineer 認定狙いから Network Engineer 認定狙いへ変更

今期の業務目標を「Google Certified Professional Cloud Security Engineer の取得」から「Google Certified Professional Cloud Network Engineer の取得」に変更することにした。

まだ上長には話していない。近々報告する。

Cloud Security Engineer の前提知識として Cloud Network Engineer の知識が必要であり、一か月ほど学習を進めてきたが、未だに Cloud Network Engineer の学習内容の域を出ることができていない。

今期は「データベーススペシャリストの取得」も行わねばならず、こちらにあまり時間をかけすぎるわけにもいかない。そのため、狙う資格を切り替えることにした。

来来週、 8/7 にでもまず第一回目の受験を行う。万全の態勢での受験ではないので、半ば博打である。

合格したらそれでよし。不合格の場合は、 8月の末に再受験を行う。

9月からはデータベーススペシャリスト試験に掛かりきりになる予定で、 Google Cloud の試験に構っている暇はないと思われるので、 8月末二回目の受験に落ちた場合は諦める。

今日実施したこと

Cloud Network Engineer を狙うことにしたため、以下コースを順に実施していくことにした。

Professional Cloud Network Engineer | Google Cloud Skills Boost for Partners

本日は、以下を実施した。

Logging, Monitoring and Observability in Google Cloud | Google Cloud Skills Boost for Partners

• Module 1: Introduction to Google Cloud Monitoring
• Module 2: Avoiding Customer Pain

Monitoring Dashboard

Google Cloud で可視化を行うことのできるサービスは様々ある。

このサービスでは、VM インスタンスのリソース使用率などをグラフ表示することができる。

また、 Condition に応じたアラートを定義し、通知を受け取ることができる

Uptime checks test

複数リージョンから HTTP, HTTPS, TCP などによる任意の Uptime Check が行える。

Network Inteligence Center

ネットワーク図のようなものが描画され、 GCP に構築したネットワークの可視化 (Visualization) が行える。

Connectivity Test

インスタンスと疎通ができなくなった際など、ネットワークの疎通に問題が発生した際に様々な観点から疎通確認ができる。

通常こういう場合は様々なところに PING を送信して問題を切り分けるが、これを簡単に行えるようにしたのが Connectivity Test である。

アタッチした External の IPアドレスと疎通はとれるのか、 VPC のエンドポイントと疎通はとれるのかなどなどの疎通確認を行うことができる。

Performance Dashboard

ネットワークの遅延やパケットロスの情報について確認ができる。

アプリケーションの速度低下などがこれに起因する場合、一目でわかる。

Firewall Insight

firewall の設定を可視化できる。

また、その設定が適切かを検証 (Insight) したり、過剰な許可設定を入れている場合は提案を行ったりしてくれる。

VPC Flow Log

• VPC を通過するパケットについて、ロギングを行うことができる。
• サブネット単位で有効化する。
• ロギング処理による速度低下などは発生しない。
• src_ip, src_port, dest_ip, dest_port, protocol の 5種のフィールドを持つエントリとして、パケットの情報がロギングされる。

Packet Mirroring

• インスタンスの in/out 両方のすべてのトラフィックをミラーリングすることができる
• インスタンス単位で有効化する。
• 有効にすると、このためにインスタンスの帯域が過剰に消費される。

Cloud NAT Logging

• NAT を利用したネットワークを作成したイベント
• ポートが足りなくなってパケットがドロップされたイベント

この機能を有効化すると、上記のふたつのイベントについてロギングを行う。

ログは Cloud Logging に保存される。 Cloud Logging でもログは閲覧できるが、 BigQuery にエクスポートすることが推奨される。

また、図やグラフを作成したい場合は BigQuery では足りないため、 BigQuery と Data Studio を連携させ、 Data Studio で図やグラフを生成して閲覧することが推奨される。

Monitoring

Google Cloud における監視を担当するサービス。

リソース状況をエージェント (Collector) で取得し、 Dashboard や Alert, Metric Explorer で処理する。

Logging

ログに関する全てに加え、ログに関するアラーティングを担当するプロセス。

Error Reporting

Web アプリケーションで 403, 500 などのステータスコードが返された際など、アプリがクラッシュしたイベントについて報告するサービス。

クラッシュの回数を報告したり、分析したり、集計したりするために用意されている。

Service Monitoring

SLO の監視に特化した監視サービス。

App Engine などを利用するにおいて、リクエストの遅延やエラー発生率など、よく計測される SLI (Service Level Indicators) を収集し、また SLO や Error Bucket を定義してアラーティングも行える。

Debugger

本番アプリケーションにおいてデバッグ処理を動かし、変数のスナップショットを取得したりデバッグ用の出力を吐かせたりできる。

一度、 Cloud Developer 取得の勉強をしていた際に Lab で実際に利用した記憶。

便利な機能だが、悲しいことに廃止予定らしい。

Trace

リクエストにかかった時間の観点から、Tracing を行う。

リクエストにかかった時間のうち、アプリケーションのどの処理にどれくらいの時間がかかっていたのかを Trace する。

Profiler

リクエストが消費したリソースの観点から、 Profiling を行う。

アプリケーションの各処理について、それぞれの処理がどの程度のリソース (CPU 時間、メモリなど) を消費したかを Profiling する。