App Engine 은 2가지 타입이 존재한다. 

1. Standard

* Easily deploy your application

* Autoscale workloads

* Free daily quota

* Usage based pricing

2. Flexible

* Web , Mobile application, continer based.

Flexible vs Standard

Kubernetes Engine VS App Engine

참고

https://cloud.google.com/appengine/docs

https://www.coursera.org/learn/gcp-fundamentals/lecture/4ZurT/google-app-engine-flexible-environment

Dedicated Interconnect

On-premise 네트워크와 Google 의 네트워크를 물리적으로 연결해준다.

설정을 위해서는 Cloud Router 와 On-premise router 사이에 BGP 세션을 설정해줘야 한다.

99.9 ~ 99.99% 의 SLA 를 보장해 준다.

Partner Interconnect

Partner Interconnect는 Service Provider 를  통해서 On-premise 네트워크와 VPC 네트워크 간의 연결을 제공한다.

VPC 네트워크와 서비스 제공업체 네트워크 간의 연결에 한해 99.9 ~ 99.99% 의 SLA 를 보장해 준다.

Direct Peering

비즈니스 네트워크와 Google 에지 네트워크 사이를 연결할 수 있다.

다이렉트 피어링을 설정하면 온프레미스 네트워크에서 Google Cloud Platform 전체 제품군을 포함한 Google 서비스로 연결되는 직접 경로가 생성된다. 

Direct Peering 은 Google Cloud 외부에 존재한다. 따라서 G Suite 를 액세스 해야 하는 경우가 아니라면 Dedicated Interconnect 를 사용하는 것이 좋다.

SLA 를 보장하지 않는다.

Carrier Peering

서비스 제공 업체를 통해 G Suite 와 같은 Google 애플리케이션에 액세스 할 수 있다.

VPN 

2개의 서로 다른 Network 간에 통신을 할때 사용된다. 

2개의 서로 다른 Network 는 GCP 내부의 서로 다른 Network 또는 GCP 내 Network 와 on-premiss Network 를 포함한다.

Cloud VPN gateway

Regional external IP 를 사용하는 Regional 리소스 이다. 

VPN Tunnel 을 VPN Gateway 를 연결해서 암호화된 트래픽을 전달하는 가상의 매체 역할을 한다. 

따라서 두개의 VPN gateway 를 연결 하기 위해서는 VPN Tunnel 을 설정해야 한다. 

VPN gateway 는 1460 bytes 보다 큰것을 전송할 수 없다. 

올 한해동안 미루고 미루었던 ACE 자격증 시험을 드디어 봤다.

2019년 목표 중 하나였는데 다행히 2019년이 지나가기 전에 완료를 할 수 있었다. 

시험 준비

Google Study Jam 을 통해서 Coursera 강의도 들었고 qwiklab 도 들었지만 막상 시험을 준비하려고 하니 어떤것 부터 해야할지 감이 안잡혔다. 그래서 최근에 자격증 시험을 봤던 분들이 후기를 올려 놓은 글들을 읽어봤다. 그 글들은 Google Cloud Certified Korea 페이스북 페이지에 보면 찾을 수 있다.

그래서 우선 Linux Academy 에서 Free trial 로 Google Cloud Certified Associate Cloud Engineer 코스를 한번 들었다. 기존에 Coursera 에서 들었던 내용을 기억하면서 정리하는데 도움이 됐다. 그리고 포함되어 있던 Practice Exam 을 통해 테스트를 해봤다. 

Linux Academy 에 있던 Google Cloud Certified Associate Cloud Engineer - Practice Exam 을 처음 봤을때 결과는 Fail 이었다. (헐..-_-;;) 그래도 다행이었던 것은 왜 틀렸는지 해설이 다 나와있다는 것이었다. 그것을 통해서 틀렸던 문제 기준으로 몰랐던 내용들을 보완을 했다. 아래 링크는 내가 시험보고 나서 해설을 보면서 알아둬야 겠다고 생각했던 내용들이다.

2019/12/17 - [Development/GoogleCloud] - [GCP] Google Cloud Certified Associate Cloud Engineer - Practice Exam

그리고 Udemy 에 있는 Google Associate Cloud Engineer Exam Dumps 2019 를 사서 들었다. Udemy는 항상 할인을 하니 정가에 사지 말고 40%, 50% 할인코드 찾아서 구매를 하면 된다. 총 4개의 문제 세트를 풀어볼 수 있는데 이것도 마찬가지로 처음 볼때 다 Fail 이었다.  마찬가지로 여기에서도 풀고나서 해설 보면서 틀린 부분들을 찾아보면서 공부를 했다.

2019/12/23 - [Development/GoogleCloud] - [GCP] Google Associate Cloud Engineer Exam Dumps 2019 (Udemy)

시험 신청(https://www.webassessor.com/)

시험 장소는 회사에서 가장 가까운 문정역에 있는 SRTC 에서 9시에 보는것으로 신청을 했다. 

시험 보기전에 신분증과 신용카드로 본인 확인을 한다.

그리고 시험을 볼 때에는 아무것도 가지고 들어갈수 없으며 모든 소지품은 사물함에 보관 해야 한다. 몸에 있는 시계를 포함한 악세사리들도 빼야 한다. 그렇게 대기 하고 있다가 시험보는 장소로 입장 전에 다시 한번 검사를 한다. 

시험

시험은 총 50문제 2시간의 시간이 주어진다. 문제 아래에 mark 어쩌고 하는 부분을 체크해 놓으면 review all 이라는 버튼을 눌렀을때 그 문제들이 * 표시로 표시가 된다. 

시험을 보기전에 문제도 풀어봤고 몰랐던 부분들고 공부를 했기에 충분히는 아니지만 그래도 자신은 있었다. "설마 떨어지겠어?" 라는 생각이었다. 그런데 1번부터 10번까지 문제 풀고 멘붕이 오기 시작했다. 1번부터 10번까지 문제 풀면서 답이 확실치가 않아서 * 표시한 문제가 5문제가 넘었던 것이다. 아직 40문제나 남았는데...

당황스런 맘을 추스리고 다시 문제를 풀기 시작했다. 10번 이후로 약간 의심이 가는 문제도 * 표시를 체크하지 않았다. 그냥 두번 세번 문제를 더 읽어보고 답을 체크했다. 10번 이후로는 어차피 모르는 문제는 다시봐도 모를거다라는 생각에서 체크를 안했던것 같다. 

결과적으로 50번 문제까지 다 풀었을 때에는 1번에서 10번 사이에 체크했던 부분만 남아있었다. 그래서 그 문제들만 다시 검토해서 답을 선택 한 후 제출 버튼을 눌렀다. 

결과를 제출하고 시간을 보니 약 1시간 20분 정도 걸렸다. 

실제 시험과 Practice Exam

정확하지는 않지만 연습으로 풀었던 시험 문제중에 동일하게 나왔던 문제는 6-7문제 였던것 같다. 나같은 경우는 기출문제 풀어보고 틀린문제를 통해서 공부를 했던 것이 많은 도움이 되었던것 같다. 그런 연습 덕분에 주어진 문제에서 나오는 상황들을 이해를 할 수 있었고 문제를 풀 수 있었다. 그리고 동일하지는 않지만 비슷한 부분, 기능 들을 물어보는 문제들도 몇몇 있긴 했었다. 

결과 확인

시험이 끝난 후에 https://www.webassessor.com/ 사이트에 들어가서 보면 Pass/Fail 을 확인 할수 있다.

단, 결과는 나왔지만 Your exam result must be confirmed by Google before being considered final. 이라고 가이드가 되어있다. 시험 채점 결과와 Google 의 최종 결정이 다를수 있을지는 모르겠다. 

하루가 지나니 Congratulation 이라는 제목으로 메일이 왔다.

https://www.credential.net/3af09c23-62bd-48e1-b77e-c6c3d25fceed

마치며..

이제 ACE 를 끝냈으니 다음 시험을 준비 하려고 한다. Google Cloud Certified Professional Cloud Architect 와 Google Cloud Certified Professional Cloud Developer 사이에서 고민을 많이 했다. 하고 싶은건 Developer 였는데 일단 ACE 공부했으니 Google Cloud Certified Professional Cloud Architect 가 좀더 접근이 쉬울것 같아서 다음 목표로 정해놓았다. 그리고 차례 차례 Developer 랑 Network 쪽도 도전을 해볼 생각이다.

Google Associate Cloud Engineer Exam Dumps 2019

Udemy 에 있는 Dump 풀면서 적은 오답노트들..

## failover replica

Failover replica helps provides High Availability for Cloud SQL. The failover replica must be in the same region as the primary instance.

 ## Cloud Datastore

 A scalable, fully managed NoSQL document database for your web and mobile applications. Semistructured application dataHierarchical dataDurable key-value dataUser profilesProduct catalogsGame state.

Bigtable is not an ideal storage option for state management.

## BigQuery

BigQuery is a good storage option with analysis capability. Also, the access to the data can be controlled using ACLs and Views. BigQuery uses access control lists (ACLs) to manage permissions on projects and datasets

Cloud Storage is a good storage option but does not provide direct analytics capabilities.

 ## HTTP load Balancer

HTTP load balancer support global access. HTTP(S) load balancing can balance HTTP and HTTPS traffic across multiple backend instances, across multiple regions. Your entire app is available via a single global IP address, resulting in a simplified DNS setup. HTTP(S) load balancing is scalable, fault-tolerant, requires no pre-warming, and enables content-based load balancing. For HTTPS traffic, it provides SSL termination and load balancing.

 ## Big Table

Cloud Bigtable is the most performant storage option to work with IoT and time-series data. Google Cloud Bigtable is a fast, fully managed, highly-scalable NoSQL database service. It is designed for the collection and retention of data from 1TB to hundreds of PB.

## Testing application

Google Compute Engine managed instance group can help the testing application to scale to reduce the amount of time to run tests.

## Cloud SQL
Failover replica must be in the same region.

## App Engine Standard, Flexible
The App Engine Standard Environment provides rapid scaling as compared to App Engine Flexible Environment and is ideal for applications requiring quick start times and handle sudden and extreme spikes.

Feature - SSH-debugging

Standard environment - No

Flexible environment - Yes

## App Engine Deployer
App Engine Deployer gives write access only to create a new version.

## roles/storage.objectCreator
allows users to create objects. Does not give permission to view, delete, or overwrite objects.

## Instance Group auto-healing

performs a health check and if the application is not responding the instance is automatically recreated

## Kubernetes Cluster auto-repairing

as the resiliency and high availability can be increased using the node auto-repair feature, which would allow Kubernetes engine to replace unhealthy nodes.

## gsutil options

Multi-threaded/processed: Useful when transferring large number of files.

Parallel composite uploads: Splits large files, transfers chunks in parallel, and composes at destination.

Retry: Applies to transient network failures and HTTP/429 and 5xx error codes.

Resumability: Resumes the transfer after an error.

## command

gcloud compute instances create "preempt" --preemptible --no-boot-disk-auto-delete 

gcloud container clusters resize --num-nodes= --size=

gcloud container clusters update --min-nodes=

gcloud deployment-manager deployments update

kubectl set image deployment nginx nginx=nginx:1.9.1]

gcloud app deploy --project 

Linux Academy 에서 Practice Exam 문제를 풀고나서 틀린것들 중에 몇가지 정리한 부분이다.

여러번 볼 예정이어서 내용이 계속 추가될수 있다.

## point-in-time recovery

특정 시점으로 복구하는 기능이다. 클론 생성과 비슷하게 기존 인스턴스의 설정을 상속하여 항상 새로운 인스턴스를 만든다. point-in-time recovery 를 수행 하려면 소스 인스턴스에서 백업 자동화 및 바이너리 로깅 사용설정이 선택된 상태여야 한다.

https://cloud.google.com/sql/docs/mysql/backup-recovery/restore

## DaemonSet

클러스터 전체에 포드를 띄울때 사용한다. DaemonSet 을 사용하면 그 포드는 클러스터 전체 노드에 떠있게 된다. 만약 노드가 추가되거나 삭제 되면 DaemonSet 으로 띄운 포드도 추가되고 삭제된다.

## Fire Wall Priority

방화벽의 우선순위는 0~65535 사이의 정수이며 낮은 정수는 높은 우선순위를 나타낸다.

https://cloud.google.com/vpc/docs/firewalls#priority_order_for_firewall_rules

## Primitive Role

roles/owner, roles/editor, roles/viewer 가 있다.

프로젝트와 관련하여 광범위한 권한을 부여하고 싶거나 개발 또는 테스트 환경에서 권한을 부여할때 사용한다.

팀원들의 권한을 세분화 할 필요가 없는 소규모 팀에서 사용한다.

https://cloud.google.com/iam/docs/using-iam-securely#least_privilege

## Flow log

VPC 흐름 로그는 VM 인스턴스에서 전송되거나 수신되는 네트워크 흐름의 샘플을 기록한다. 이러한 로그를 네트워크 모니터링, 포렌식, 실시간 보안 분석, 비용 최적화에 사용할 수 있다.

https://cloud.google.com/vpc/docs/using-flow-logs

## dry-run flag in BigQuery

쿼리 실행시 --dry run 플래그를 사용하면 쿼리에서 읽은 바이트 수를 추정 할 수 있다. 연습 실행에서 반환된 추정값을 사용하여 가격 계산기에서 쿼리 비용을 계산할 수 있다. 연습 실행에 대한 요금은 청구되지 않는다. 

https://cloud.google.com/bigquery/docs/dry-run-queries?hl=ko

## SSL proxy

SSL proxy 는 SSL offload 를 사용하는 external TCP Load Balancer 이다.

https://cloud.google.com/load-balancing/docs/load-balancing-overview

## Managed Instance Group autoscaler

Mangaged Instance Group 의 autoscaler 는 특정 metric 을 베이스로 작동한다. 이때 기준은 그룹에 있는 모든 instance 를 기준으로 한다. 

https://cloud.google.com/compute/docs/autoscaler/?hl=ko

## App-Engine deploy option

--no-promote : 모든 트래픽을 해당 버전으로 자동으로 라우팅 하지 않는다.

기본적으로 새로운 버전을 deploy 하게되면 100% 의 트래픽을 받게 된다.

https://cloud.google.com/appengine/docs/standard/nodejs/testing-and-deploying-your-app

## App Engine Environment

https://cloud.google.com/appengine/docs/the-appengine-environments

## Cloud Strage

정적 웹 사이트는 저 비용으로 Cloud Storage 를 통해 서비스 할수 있다.

https://cloud.google.com/storage/docs/hosting-static-website?hl=ko

## Cloud Storage Content-Type

Content-Type 을 통해 브라우저가 객체를 제대로 렌더링할 수 있다. pdf 일 경우 Object의 Content-Type 을 "application/pdf" 로 설정하면 파일 클릭시 다운로드 되는게 아니라 웹 브라우저상에서 볼수 있게 된다.

https://cloud.google.com/storage/docs/metadata?hl=ko

### Relational Database

Cloud SQL

* good for : web framework

* Such as : CMS, eCommerce

Cloud Spanner

* good for : RDBMS+scale, HA, HTAP

* Such as : User metadata, Ad/Fin/MarTech

### Non-relational

Cloud Datastore

* good for : Hierarchial mobile, web

* Such as : User profile, Game state

Cloud Bigtable

* good for : Heavy read, write

* Such as : AdTech

### Object

Cloud Storage

* good for : Binary or object data

* Such as : Images, media, serving

### Warehose

BigQuery

* good for : Enterprise data warehouse

* Such as : Analytics

### Cloud Strage Classes

Multi-Regional : Most frequently accessed

Regional : Accessed frequently within a region

Nearline : Accessed less than once a month

Coldline : Accessed less than once a year

## Network resources

### Global vs Regional

Global : Http(s) Load Balancing, SSL Proxy, TCP Proxy

Regional : Internal TCP/UDP Load Balancing, Network TCP/UDP Load Balancing

### External vs Internal

External : Http(s) Load Balancing, SSL Proxy, TCP Proxy, Network TCP/UDP Load Balancing

Internal : Internal TCP/UDP Load Balancing

VPC network

기본적으로 독립적인 private network 이다.

서로 다른 network 간에 internal IP 로 통신을 하기 위해서는 VPC peering 또는 VPN 설정이 필요하다.

Instance 간 External IP 를 통한 연결

다른 VPC  network, 다른 region, 다른 zone 일 경우에도 External IP 를 통한 연결은 가능하다. 

Instance 에 대한 access는 오직 ICMP firewall rule 에 의해서 컨트롤 되기 때문이다. (0.0.0.0/0)

Instance 간 Internal IP 를 통한 연결

기본적으로 동일한 VPC Network상에 존재하지 않으면 불가능 하다.

단, 동일한 VPC Network 에 속한 instance 들은 zone, region다르더라도 internal IP 을 통한 연결이 가능하다.

위 그림을 보자.

Internal IP 접속 여부

위 표를 보면 동일 VPC  Network 가 아닌 instance 는 Internal IP 로 ping 이나가질 않는다. 

그래서 위 구성에서는 vm-appliance라는 instance 를 하나 더 만들었다. 이 instance 를 생성할때에 network interface 에 mynetwork, managementnet, privatent을 등록해주면 vm-appliance 에서 서로 다른 Network  에 있는 Instance  와 통신이 가능하게 된다. 

참고자료

https://google.qwiklabs.com/focuses/1230?parent=catalog

Projects

Project 는 Network 를 포함하고 있며 Network 에는 Subnetwork, Firewall rules, Route 가 포함된다.

Organization > Folders > Projects > Resources

Network

Network : 외부에서 각각의 Resource 들을 직접 접속한다. 외부에서 들어오거나 외부로 나가는 접속에 대해서 Firewall 을 사용한다. Global(Multiple Region) 또는 Regional(Single Region) 이 가능하다. 프로젝트가 생성되면 default Network 가 생성된다.

Subnetwork : Compute Engine instance 같이 관련된 resouce 들을 group 화 한다. Regional 만 가능하며 auto mode 와 custom mode 가 있다.

1. auto mode : Network 생성시 region 당 하나의 subnet이 자동으로 생성된다.

2. custom mode : Network 생성시에는 subnet이 생성되지 않는다. subnet 이 region 당 존재하지 않을 수 있고 여러개 존재할 수 있다.

Network 생성 방법

1. auto

gcloud compute networks create autoNetwork --subnet-mode=auto

2. custom

gcloud compute networks create customNetwork --subnet-mode=custom

custom 일 경우 subnet이 자동으로 생성되지 않기 때문에 subnet 도 만들어줘야 한다.

gcloud compute networks subnets create customNetwork --network=privatenet \
--region=us-central1 --range=10.0.0.0/24 --enable-private-ip-google-access

Cloud Route

Instance 를 Nat gateway 로 활용할 수 있다.

gcloud compute routes create NAME --destination-range=DESTINATION_RANGE (--next-hop-address=NEXT_HOP_ADDRESS
| --next-hop-gateway=NEXT_HOP_GATEWAY | --next-hop-instance=NEXT_HOP_INSTANCE
| --next-hop-vpn-tunnel=NEXT_HOP_VPN_TUNNEL) [--description=DESCRIPTION] [--network=NETWORK; default="default"] [--next-hop-instance-zone=NEXT_HOP_INSTANCE_ZONE] [--next-hop-vpn-tunnel-region=NEXT_HOP_VPN_TUNNEL_REGION] [--priority=PRIORITY; default=1000] [--tags=TAG,[TAG,…]] [GCLOUD_WIDE_FLAG …]

예시 )

gcloud compute routes create nat-route --network customNetwork \
--destination-range 0.0.0.0/0 --next-hop-instance privatenet-bastion \
--next-hop-instance-zone us-central1-c --tags nat-me --priority 800

--next-hop-instance : route 를 핸들링 할 instance 이름 (--next-hop-instance 을 사용할 경우 --next-hop-instance-zone 값도 필수로 넣어야 한다. )

--tags : route 를 적용할 instance 들의 모음

그 이외에 옵션에 대해서는 아래 참고 링크를 가보면 더 자세히 알수 있다. 

Network 관련된 IAM Role

Network Admin : networks, subnetworks, addresses, routes등에 대한 create, modify, delete 권한 (제외 : firewall rule, SSL certificates - view)

Security Admin : firewall rule, SSL ceritifates 에 대한 create, modify 권한.

Network Viewer : 읽기만 가능한 권한

참고자료

https://www.qwiklabs.com/focuses/556?parent=catalog

https://cloud.google.com/sdk/gcloud/reference/compute/routes/create