ACEクラウドソリューションのデプロイと実装HARD単一選択

GKE クラスターに複数の環境(dev・staging・prod)を同一クラスター内で管理しています。各環境のリソースを分離しつつ、本番環境には追加のセキュリティポリシーを適用したいと考えています。最も効率的な構成はどれですか?

  1. A. 環境ごとにラベルを付けたノードプールを作成して Pod を配置する
  2. B. 環境ごとに別個の GKE クラスターを作成する
  3. C. Cloud Armor ポリシーを環境ごとに設定して通信を制限する
  4. D. Namespace で環境を分離し、NetworkPolicy と ResourceQuota で分離を強化する
解答と解説を見る

正解: D

Kubernetes Namespace で dev・staging・prod を分離し、NetworkPolicy でネームスペース間通信を制限、ResourceQuota でリソース使用量を制限、PodSecurityAdmission(PSA)で本番のみ Restricted ポリシーを適用するアプローチが効率的です。単一クラスターなのでインフラコストを抑えながら論理分離を実現できます。環境ごとの別クラスターはコストが高く管理負荷も増えます。ノードプールの分離はコンピュートリソースの分離には有効ですが、Namespace によるセキュリティポリシー適用と組み合わせる必要があります。Cloud Armor はインターネットからのトラフィック制御で、クラスター内の Namespace 間の分離には使えません。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題