실전 문제

문제 1

You are troubleshooting an Apache Flink streaming cluster running on 12 Compute Engine VMs in a managed instance group without external IPs on the custom VPC "analytics-vpc" and subnet "stream-subnet". TaskManager nodes cannot communicate with one another. Your networking team manages access using Google Cloud network tags to define firewall rules. Flink has been configured to use TCP ports 12345 and 12346 for RPC and data transport between nodes. You need to identify the issue while following Google-recommended networking security practices. What should you do?

문제 분석

핵심 개념: 이 문제는 Google Cloud에서 east-west (VM-to-VM) 트래픽에 대한 VPC firewall 동작, 특히 firewall rule의 selector로 network tag를 사용할 때를 테스트합니다. Google Cloud에서 VPC firewall rule은 stateful이며 대상 VM으로 들어오는 ingress에서 평가됩니다. 내부 클러스터 통신(예: Flink TaskManagers)의 경우, 올바른 인스턴스(일반적으로 network tag를 통해)를 대상으로 하는 ingress firewall rule을 통해 필요한 TCP port를 명시적으로 허용해야 합니다. 정답인 이유: TaskManagers가 서로 통신할 수 없고, Flink가 TCP 12345 및 12346을 사용하도록 구성되어 있습니다. external IP가 없는 custom VPC/subnet에서 가장 흔한 원인은 내부 트래픽에 대한 ingress firewall rule이 없거나 잘못된 경우입니다. networking team이 “network tag를 사용해 access를 관리한다”고 했으므로, 올바른 troubleshooting 단계는 TCP 12345 및 12346을 허용하고 target tag(flink-workers)를 지정한 ingress firewall rule이 있는지 확인하는 것입니다. 이것이 없으면 같은 subnet에 있는 인스턴스끼리도 해당 port로 서로 통신할 수 없습니다. 이는 least privilege, 명시적인 port allowlisting, tag 기반 targeting이라는 Google 권장 사례와 일치합니다. 주요 기능 / 모범 사례: - VPC firewall rule은 stateful입니다: 대상에 대한 ingress를 허용하면 return traffic은 충분히 허용됩니다. - Rule은 network tag(역할 기반 segmentation에 권장) 또는 service account로 인스턴스를 대상으로 지정할 수 있습니다. - 내부 트래픽은 implied rule(예: implied allow egress)을 제외하고 자동으로 허용되지 않습니다. Ingress는 허용되어야 합니다. - MIG의 경우, instance template에 올바른 tag가 적용되어 있는지 확인한 다음 firewall rule이 해당 tag를 대상으로 하는지 확인해야 합니다. 흔한 오해: - “같은 subnet”이면 모든 port가 열려 있다고 가정하는 것(사실이 아님). - subnet 기반 제어와 firewall targeting을 혼동하는 것: firewall rule은 target으로 “subnet에 적용”되지 않으며, 인스턴스에 적용됩니다(tag/service account를 통해). source range는 subnet CIDR로 필터링할 수 있습니다. - 내부 통신에 external IP가 필요하다고 생각하는 것(그렇지 않음). 시험 팁: 클러스터의 내부 노드들이 서로 통신하지 못할 때는 먼저 다음을 확인하세요: (1) 필요한 port에 대해 대상에 대한 firewall ingress, (2) 올바른 target selector(tag/service account), (3) 올바른 source range(예: subnet CIDR), (4) 인터넷으로의 egress가 관련된 경우에만 route/NAT. tag로 관리되는 환경에서는 항상 tag를 대상으로 하고 특정 port를 허용하는 firewall rule을 검증하세요.

문제 2

Your company operates three independent data workflows that must be orchestrated from a single place with consistent scheduling, monitoring, and on-demand execution.

A Dataproc Serverless Spark batch job in us-central1 converts CSV files in a regional Cloud Storage bucket into partitioned BigQuery tables; it must run daily at 01:30 UTC and complete within 45 minutes.
A Storage Transfer Service job pulls approximately 50 GB from an external SFTP endpoint into Cloud Storage every 4 hours; you cannot install agents on the external system.
A Dataflow Flex Template pipeline calls a third-party REST API (rate limit: 1,000 requests/hour) to fetch deltas and stage them in Cloud Storage. You need a single solution to schedule these three workflows, monitor task status and logs, receive failure alerts within 10 minutes, and allow manual ad-hoc runs (up to 5 per day) without building custom infrastructure. What should you do?

문제 분석

핵심 개념: 이 문제는 이기종 데이터 워크플로(Dataproc Serverless, Storage Transfer Service, Dataflow Flex Templates)를 위한 관리형 오케스트레이션을 중앙 집중식 스케줄링, 관측 가능성(observability), 알림, 그리고 애드혹 실행과 함께—커스텀 인프라 없이—구현하는지를 테스트합니다. 이를 위한 정석적인 GCP 서비스는 Cloud Composer(관리형 Apache Airflow)입니다. 정답이 맞는 이유: Cloud Composer는 여러 GCP 서비스 전반에서 스케줄(cron), 의존성, 재시도, SLA, 수동 트리거를 정의할 수 있는 단일 컨트롤 플레인을 제공합니다. Airflow operator와 hook을 통해 Dataproc Serverless batch를 시작하고 모니터링할 수 있으며, Storage Transfer Service 실행을 호출하고, Dataflow Flex Template job을 실행할 수 있습니다. Composer UI는 온디맨드 DAG 실행(“하루 최대 5회” 요구사항 충족)과 작업 상태에 대한 일관된 모니터링을 지원합니다. 로그는 Cloud Logging으로 중앙화할 수 있고, 실패는 log-based metric 또는 Airflow/Composer metric을 사용해 Cloud Monitoring에서 10분 이내로 알림을 보낼 수 있습니다. 주요 기능 / 구성: - 스케줄링: 01:30 UTC 매일(Dataproc), 4시간마다(STS), 그리고 1,000 requests/hour 제한을 준수하면서 API 파이프라인에 적절한 주기(예: Dataflow 병렬성 제어, 파이프라인 내 rate-limiting, 그리고/또는 스케줄 빈도 조정)를 설정하는 Airflow DAG 스케줄. - 모니터링: Airflow task 상태, 재시도, SLA 미스 처리; task 로그를 위한 Cloud Logging 통합. - 알림: Composer environment metric(task 실패) 및/또는 log-based metric에 대한 Cloud Monitoring alert policy; 10분 요구사항을 충족하기 위한 notification channel(email, PagerDuty, webhook). - 커스텀 인프라 없음: Composer는 관리형이므로, 자체 스케줄러/상태 저장소/UI를 구축·운영할 필요가 없습니다. 흔한 오해: “단순 트리거”를 위해 Cloud Scheduler + Functions/Run을 쓰고 싶을 수 있지만, 요구사항에는 단일 장소에서의 일관된 모니터링, 로그, 수동 애드혹 실행이 포함됩니다. 예외 기반 모니터링(Option B)은 오케스트레이션이 아닙니다. DIY 오케스트레이터(Options C/D)는 “커스텀 인프라를 구축하지 말 것”을 위반하며 운영 부담을 증가시킵니다. 시험 팁: Professional Data Engineer에서 “여러 워크플로,” “단일 장소,” “스케줄링 + 모니터링 + 수동 실행,” “커스텀 인프라 없음”을 보면 Cloud Composer/Airflow를 떠올리세요. 또한 에이전트를 설치할 수 없을 때 SFTP 수집에는 Storage Transfer Service가 적절한 도구이며, Composer가 Dataflow 및 Dataproc과 함께 이를 오케스트레이션할 수 있음을 인지하세요. 요구사항을 Google Cloud Architecture Framework에 매핑해보면: 운영 우수성(모니터링/알림), 신뢰성(재시도/SLA), 보안(operator를 위한 최소 권한 service account)입니다.

문제 3

You are designing a platform to store 1-second interval temperature and humidity readings from 12 million cold-chain sensors across 40 warehouses. Analysts require real-time, ad hoc range queries over the most recent 7 days with sub-second latency. You must avoid per-query charges and ensure the schema can scale to 25 million sensors and accommodate new metrics without frequent schema changes. Which database and data model should you choose?

문제 분석

핵심 개념: 이 문제는 예측 가능한 비용으로, 높은 ingest(수집)량의 time-series 데이터에 대해 낮은 지연 시간의 range scan을 수행할 수 있는 올바른 storage system과 data model을 선택하는지를 평가합니다. BigQuery(쿼리당/온디맨드 비용이 발생하는 serverless analytics)와 Cloud Bigtable(키/범위 접근 패턴에 최적화된, 낮은 지연 시간의 수평 확장 가능한 wide-column store)을 대비합니다. 정답이 맞는 이유: Cloud Bigtable을 좁고 append-only인 schema로 설계하는 것(Option C)이 요구사항을 가장 잘 충족합니다: (1) 매초 12M sensors가 쓰는 것은 극단적인 write throughput이며, Bigtable은 지속적인 높은 QPS와 대규모 time-series에 맞게 설계되었습니다. (2) 분석가가 최근 7일에 대해 sub-second latency로 실시간 ad hoc range query를 수행해야 하는데, Bigtable은 쿼리가 row-key range에 정렬되어 있으면 millisecond read를 제공할 수 있습니다. (3) “per-query charges를 피하라”는 요구는 BigQuery의 on-demand query pricing과 맞지 않으며, Bigtable은 provisioned(nodes/processing units) 방식이라 쿼리당 비용이 아닙니다. (4) “잦은 schema 변경 없이 새로운 metrics를 수용”은 Bigtable의 sparse하고 유연한 column-family/qualifier 모델에 부합합니다—새 metrics는 테이블 DDL churn 없이 새 column으로 추가할 수 있습니다. 주요 기능 / best practices: 지배적인 access pattern(센서별 최근 시간 범위)에 맞게 row key를 설계하세요. 일반적인 패턴은 sensorId + reversed timestamp(또는 time-bucket prefix + reversed time)로, 최근 데이터가 연속적으로 배치되게 하여 “최근 7일”에 대한 효율적인 scan을 가능하게 합니다. “m”(metrics) 같은 column family를 두고 qualifier로 temperature, humidity 등을 사용합니다. retention을 강제하고 storage를 제어하기 위해 GC policy(예: max age 7 days)를 적용합니다. hot-spotting도 고려하세요: 많은 write가 동일한 key range를 타겟하면, range query를 가능하게 유지하면서도 부하를 분산하기 위해 salting/hashing 또는 bucket prefix를 추가합니다. 흔한 오해: BigQuery는 ad hoc analytics에 매력적으로 보이지만, 신선한(high-velocity) 데이터에 대한 sub-second latency와 “per-query charges 없음” 요구는 flat-rate reservations에 커밋하고 streaming/partitioning 고려사항을 감수하지 않는 한 부적합합니다. wide-row Bigtable 설계(분 단위 bucket에 60 columns)는 효율적으로 보일 수 있지만, schema evolution을 복잡하게 만들고 크고 자주 변경되는 row를 만들 수 있습니다. 시험 팁: IoT/time-series에서 매우 높은 ingest와 낮은 지연 시간의 key/range read가 필요하면 Bigtable을 떠올리세요. 대규모 dataset 전반에 대한 복잡한 SQL analytics가 필요하면 BigQuery를 떠올리세요. data model을 선택할 때는 항상 요구사항을 pricing model(per-query vs provisioned), latency 기대치, 그리고 주요 access pattern에 매핑하세요.

문제 4

You operate a Cloud Run service that receives messages from a Cloud Pub/Sub push subscription at a steady rate of ~1,200 messages per minute, aggregates events into 5-minute batches, and writes compressed JSON files to a dedicated Cloud Storage bucket.\nYou want to configure Cloud Monitoring alerts that will reliably indicate if the pipeline stalls for more than 10 minutes by detecting a growing upstream backlog and a slowdown in data written downstream; which alerts should you create?

문제 분석

핵심 개념: 이 문제는 Cloud Pub/Sub(푸시 subscription)에서 Cloud Run으로 스트리밍 수집 파이프라인을 운영 모니터링하고, 이후 Cloud Storage로 쓰기를 수행하는 상황을 테스트합니다. 목표는 업스트림 압력(백로그 증가)과 다운스트림 처리량(쓰기 바이트 감소)을 모두 관찰하여 정체(stall)를 감지하는 것입니다. 정답이 맞는 이유: 파이프라인이 10분 이상 정체되면 Pub/Sub는 계속 메시지를 수신하지만 Cloud Run은 같은 속도로 성공적으로 acknowledge(ack)하지 못합니다. 이는 Pub/Sub 백로그 증가로 나타나며, 시간이 지남에 따라 subscription/num_undelivered_messages 메트릭이 상승하는 것으로 가장 잘 표현됩니다. 동시에 Cloud Storage bucket은 새로운 배치 파일 수신이 멈추거나(또는 느려지므로) storage used bytes의 변화율(즉, 쓰기 처리량)이 0에 가까워지며 감소합니다. 따라서 올바른 알림 조합은 (1) subscription/num_undelivered_messages 증가에 대한 알림과 (2) storage used bytes 변화율 감소에 대한 알림입니다. 핵심 기능 / 모범 사례: 정렬(alignment) 및 지속(duration) 윈도우를 사용해 Cloud Monitoring 알림 정책을 구성합니다. 5분 단위 파일로 배치하므로, 정상적인 배치 간 공백을 허용하는 윈도우(예: 10분)로 정렬 및 평가한 뒤, 추가 지속 시간 동안 조건이 유지되도록 요구(또는 10분 롤링 윈도우 사용)하여 오탐을 줄여야 합니다. Pub/Sub의 경우, 10분 평가로 지속적인 증가를 감지하기 위해 num_undelivered_messages에 대한 변화율(derivative) 또는 임계값을 고려합니다. Cloud Storage의 경우, bytes-used 메트릭에 derivative aligner(바이트/초)를 적용하고 10분 이상 예상 최소값 아래로 떨어질 때 알림을 발생시킵니다. 이는 Google Cloud Architecture Framework의 reliability/operations 가이드에 부합합니다: 선행 지표(백로그)와 후행 지표(출력)를 함께 모니터링합니다. 흔한 오해: undelivered messages 감소는 정체가 아니라 정상 상태입니다. 또한 “source”와 “destination” 메트릭을 혼동하는 경우가 흔합니다: Pub/Sub 백로그는 업스트림에 속하고, storage bytes는 다운스트림에 속합니다. 또 다른 함정은 storage used bytes의 절대값(계속 증가만 함)에 알림을 거는 것으로, 변화율이 아니라면 의미 있는 감지가 어렵습니다. 시험 팁: 정체 감지를 위해 업스트림 큐/백로그 메트릭의 증가와 다운스트림 처리량 메트릭의 감소를 짝지으세요. 배칭을 사용할 때는(여기서는 5분) 알림 윈도우를 배치 간격보다 길게 잡아 노이즈를 줄이고, “감속” 감지를 위해 rate 기반 신호(derivative)를 선호하세요.

문제 5

Your fintech compliance team must store 12 TB of transaction audit files (about 200,000 objects per month) in a Cloud Storage Archive bucket with a 7-year retention requirement. Due to a zero-trust mandate, you must implement a Trust No One (TNO) model so that even cloud provider personnel cannot decrypt the data; uploads will be performed from an on-prem hardened host using gsutil, and only the internal security team may hold the encryption material. What should you do to meet these requirements?

문제 분석

핵심 개념: 이 문제는 Cloud Storage 암호화 모델과, Google(제공업체 인력 포함)이 데이터를 복호화할 수 없어야 하는 “Trust No One”(TNO) / zero-trust 요구사항을 어떻게 충족하는지 평가합니다. Google Cloud에서 이 요구사항은 원시 암호화 키 재료(raw encryption key material)를 클라이언트 측에서 제어하는 방식, 즉 Cloud Storage와 함께 사용하는 Customer-Supplied Encryption Keys (CSEK)로 충족됩니다. 정답인 이유: 옵션 D는 gsutil 업로드에 대해 CSEK를 구성하고, 원시 키를 Google Cloud 외부에서 내부 보안 팀의 통제 하에(예: on-prem HSM/offline vault) 독점적으로 보관합니다. CSEK를 사용하면 Cloud Storage는 객체를 암호화/복호화하기 위해 일시적으로만 키를 전달받으며, Google은 키를 저장하지 않습니다. 키가 Google Cloud 서비스에 영구 저장되지 않고 엄격히 통제된다면, 제공업체 인력은 동일한 원시 키가 있어야 복호화가 가능하므로 저장된 객체를 복호화할 수 없습니다. 주요 기능 / 구성 / 모범 사례: - 규정 준수를 위한 불변성을 강제하기 위해 Cloud Storage Archive class bucket과 7년 retention policy (Bucket Lock)를 사용합니다. - 강화된 on-prem 호스트에서 .boto CSEK 구성(또는 명령별 키 지정)으로 gsutil을 사용합니다. - 원시 CSEK를 Google Cloud 외부(on-prem HSM, offline vault)에 저장 및 관리하고, 엄격한 접근 제어, 직무 분리, 키 에스크로/백업 절차를 적용합니다. - 운영 리스크를 이해합니다: CSEK를 분실하면 데이터는 영구적으로 복구 불가능합니다. 안전한 키 라이프사이클 프로세스를 구현하십시오. 흔한 오해: - CMEK (Cloud KMS)는 “customer-managed”이지만 “customer-supplied”는 아닙니다. Google Cloud 서비스는 KMS decrypt 작업을 요청할 수 있으며, 이는 제공업체 인력이 복호화할 수 없어야 하는 엄격한 TNO를 충족하지 못합니다. - CSEK를 Secret Manager 또는 Google-managed 저장소에 보관하면, 암호화 재료가 제공업체 경계 내부에 존재하게 되어 TNO 요구사항을 훼손합니다. 시험 팁: - “Google조차 복호화할 수 없어야 함”이라면, client-side encryption 또는 Google Cloud 외부에 키를 보관하는 CSEK를 찾으십시오. - 장기 규정 준수 보관을 위해 storage class 선택을 retention policy + Bucket Lock과 함께 적용하십시오. - TNO에 대해 Cloud KMS를 언급하는 답안을 경계하십시오. KMS는 규정 준수와 키 통제에 매우 유용하지만, 외부에서 보유하는 원시 키와 비교하면 가장 엄격한 “provider cannot decrypt” 모델은 아닙니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

문제 6

Your marketing analytics team needs to run a weekly PySpark batch job on Google Cloud Dataproc to score customer churn propensity using input data in Cloud Storage and write results to BigQuery; testing shows the workload completes in about 35 minutes on a 16-worker n1-standard-4 cluster when triggered every Friday at 02:00 UTC; you are asked to cut infrastructure costs without rewriting the job or changing the schedule—how should you configure the cluster for cost optimization?

문제 분석

핵심 개념 - 이 문제는 예약된 비대화형 Dataproc 배치 워크로드에 대한 비용 최적화를 테스트합니다. 핵심 레버는 Dataproc 클러스터 라이프사이클(일시적(ephemeral) vs 장기 실행(long-running)), VM 가격 모델(standard vs Spot/Preemptible), 그리고 컴퓨팅 지출을 줄이면서 동일한 작업 코드와 스케줄을 유지하는 것입니다. 정답이 맞는 이유 - Dataproc worker 노드에 preemptible(Spot) VM을 사용하는 것은 내결함성이 있는 배치 처리에서 컴퓨팅 비용을 줄이는 전형적인 방법입니다. 약 35분 실행되는 주간 작업은 클러스터가 작업 시간 창에만 존재하고 재시도를 허용할 수 있으므로 매우 적합합니다. Dataproc/Spark는 executor 손실을 처리할 수 있으며, preemptible worker가 회수되면 Spark는 남아 있는 executor에서 작업을 다시 스케줄링할 수 있습니다. 비용 절감 효과는 on-demand VM 대비 상당할 수 있고, PySpark 작업을 다시 작성하거나 금요일 02:00 UTC 스케줄을 변경할 필요가 없습니다. 핵심 기능 / 모범 사례 - standard(비-preemptible) master 노드와 대부분 또는 전체 worker 노드를 preemptible로 구성한 Dataproc 클러스터를 설정합니다. 선택적으로 과도한 churn 위험을 줄이기 위해 소수의 비-preemptible worker를 유지하고, 허용된다면 autoscaling policies를 활성화할 수 있습니다(여기서는 필수는 아님). 유휴 시간에 대한 비용 지불을 피하기 위해 ephemeral clusters(create cluster, submit job, delete cluster)를 사용하세요. 이는 최대 절감을 위해 preemptible workers와 함께 자주 사용됩니다. Architecture Framework 관점에서 이는 비용 최적화(할인 리소스 사용)와 Spark의 분산 재시도 동작을 통한 신뢰성 유지에 부합합니다. 흔한 오해 - Dataflow로 마이그레이션하면 운영 오버헤드는 줄일 수 있지만, Dataproc의 PySpark는 Dataflow로 재구현 없이 lift-and-shift가 불가능하므로 “재작성 금지” 제약을 위반합니다. 더 높은 메모리 머신 타입을 선택하거나 local SSD를 추가하면 성능은 개선될 수 있지만, 일반적으로 시간당 비용이 증가하며 35분 작업의 총비용을 줄인다는 보장이 없습니다. 이는 지출이 아니라 속도를 최적화하는 선택입니다. 시험 팁 - Dataproc 배치 작업에서는 먼저 다음을 확인하세요: (1) ephemeral clusters, (2) preemptible/Spot workers, (3) right-sizing. preemptibles는 워크로드가 재시작 가능하고 시간 제한이 있을 때 가장 적합합니다. master는 항상 standard VM으로 유지하세요. preemptibles는 언제든 회수될 수 있으므로 워크로드가 중단을 허용해야 합니다. Spark는 일반적으로 이를 처리할 수 있지만, 매우 타이트한 SLA 또는 비-idempotent 부작용이 있는 경우 주의가 필요할 수 있습니다.

문제 7

Your factory collects 50 MB/s of PLC telemetry into an on-premises Apache Kafka cluster (3 brokers, 6 topics with 48 total partitions, 7-day retention), and you must replicate these topics to Google Cloud so raw events land in Cloud Storage and can later be analyzed in BigQuery with end-to-end replication lag under 3 minutes; due to strict change control you must avoid deploying any Kafka Connect plugins on-premises and the team prefers a mirroring-based approach for replication; what should you do?

문제 분석

핵심 개념: 이 문제는 운영 제약(온프레미스에 Kafka Connect plugins 설치 불가)과 낮은 RPO/lag 목표를 전제로, 온프레미스 Kafka에서 Google Cloud로의 하이브리드 ingestion/replication 패턴을 테스트합니다. 또한 올바른 landing zone(Cloud Storage)과 확장 가능한 consumer 계층(Dataflow/Dataproc)을 선택하는지도 평가합니다. 정답이 맞는 이유: 옵션 A는 모든 제약을 충족합니다. mirroring 기반 접근(예: Kafka MirrorMaker 2)을 사용해 온프레미스 Kafka의 topic을 Google Cloud(Compute Engine)에서 실행되는 Kafka cluster로 복제합니다. MirrorMaker 2는 Kafka client application으로 동작하며 cloud 측에 배포할 수 있으므로, 온프레미스에 Kafka Connect plugins를 설치하지 않아도 됩니다(엄격한 change control). 데이터가 cloud Kafka cluster에 들어오면 Dataflow(streaming) 또는 Dataproc(Spark)로 consume하여 raw event를 Cloud Storage에 쓸 수 있습니다. 적절한 네트워킹(Cloud VPN/Interconnect), sizing, partition-parallelism을 갖추면 end-to-end lag 3분 미만을 달성할 수 있습니다. 주요 기능 / 구성: - MirrorMaker 2는 offset translation과 consumer group replication을 포함한 topic replication을 지원합니다. replication factor, fetch size, parallelism을 튜닝하여 ~50 MB/s를 처리합니다. - 가용성을 위해 cloud Kafka cluster를 여러 zone에 걸쳐 실행하고, partition(48)을 consumer parallelism과 정렬합니다. - Dataflow streaming templates 또는 custom pipeline을 사용해 exactly-once/at-least-once semantics를( sink 설계에 따라) 제공하고, window 기반 file write를 Cloud Storage로 수행합니다. - Cloud Storage를 변경 불가능한 raw landing zone으로 사용한 뒤, 이후 BigQuery로 로드합니다(batch load 또는 external table). 이는 Google Cloud Architecture Framework의 원칙인 ingestion과 analytics의 decoupling에 부합합니다. 흔한 오해: Pub/Sub Kafka connectors는 Kafka Connect plugins입니다. 옵션 C와 D는 “온프레미스 plugins 금지” 제약을 위반합니다. 옵션 B도 Kafka Connect에 의존하며(또한 connector의 방향/사용을 잘못 설명), mirroring 선호를 충족하지 못합니다. 시험 팁: “온프레미스에 Kafka Connect plugins 배포를 피하라”와 “mirroring을 선호한다”를 보면, cluster 외부에서 실행되는 MirrorMaker 2(또는 동등한 replication)를 떠올리세요. 또한 관심사를 분리하세요: 먼저 replicate/ingest하고, raw 데이터를 Cloud Storage에 landing한 다음, BigQuery에서 분석합니다. 항상 connector 유형(source vs sink)과 설치 위치를 검증하세요.

문제 8

Your company runs a private Google Kubernetes Engine (GKE) cluster in a custom VPC in us-central1 using a subnetwork named analytics-subnet; due to the organization policy constraints/compute.vmExternalIpAccess, all nodes have only internal IPs with no external IPs. A nightly Kubernetes Job must download 500 MB CSV files from Cloud Storage and load transformed results into BigQuery using the BigQuery Storage Write API, but pods fail with DNS resolution/connection errors when contacting storage.googleapis.com and bigquery.googleapis.com. What should you do to allow access to Google APIs while keeping the nodes on internal IPs only?

문제 분석

핵심 개념: 이 문제는 private GKE 네트워킹과 external IP가 없는 VM/pod의 워크로드가 Google APIs(Cloud Storage 및 BigQuery)에 어떻게 접근하는지를 테스트합니다. 핵심 기능은 subnet에서의 Private Google Access(PGA)로, internal IP 주소만 가진 리소스가 Google의 네트워크를 통해 Google APIs 및 서비스에 접근할 수 있게 해줍니다. 정답이 맞는 이유: private GKE cluster에서 node가 internal IP만 가지고(그리고 org policy가 external IP를 차단하는 경우), pod의 egress는 일반적으로 node의 네트워크를 통해 나갑니다. Cloud NAT 또는 Private Google Access가 없으면 public Google API endpoint(예: storage.googleapis.com, bigquery.googleapis.com)로의 호출은 public internet으로 나갈 유효한 egress 경로가 없어 실패할 수 있습니다. node가 사용하는 특정 subnet(analytics-subnet)에서 Private Google Access를 활성화하면, internal-only node(따라서 pod)가 external IP를 할당하지 않고도 Google의 front end로 internal routing을 사용해 Google APIs에 도달할 수 있습니다. 주요 기능 / 구성: - analytics-subnet에서 Private Google Access 활성화(subnet-level 설정). - DNS resolution이 동작하는지 확인(Cloud DNS 기본 설정이면 충분); 핵심은 DNS 자체가 아니라 routing/egress입니다. - 표준 Google API hostname을 사용; PGA는 application code 변경 없이 접근을 처리합니다. - 이는 필요한 연결성을 유지하면서 public 노출을 최소화하는 Google Cloud Architecture Framework 보안 원칙과 일치합니다. 흔한 오해: - Firewall rule(태그 포함)은 internet 또는 Google API 도달성을 만들어주지 않습니다. 이미 route가 있는 트래픽에 대해 permit/deny만 합니다. - Google APIs에 대해 “IP range 허용”은 실용적이지 않습니다. 많은 Google API는 anycast front end로 제공되고 IP가 변경될 수 있으며, route(NAT/PGA) 없이는 egress를 허용해도 도움이 되지 않습니다. - VPC Service Controls는 데이터 유출(data exfiltration) 통제와 service perimeter를 위한 것이지, private node에서의 network egress를 제공하는 기능이 아닙니다. 시험 팁: external IP가 없는 private GKE/VM의 경우: - Google APIs에 도달하려면: Private Google Access를 활성화(또는 더 고급 설계에서는 Google APIs용 Private Service Connect 사용). - public internet/비-Google endpoint에 도달하려면: Cloud NAT 사용. 문제에서 “node를 internal IP only로 유지”라고 명시하고 목적지가 Google APIs라면, Private Google Access가 정석 답안입니다.

문제 9

Your ride-hailing platform operates a Standard Tier Memorystore for Redis instance (15 GB capacity, ~80k QPS, multi-zone production deployment with 12-hour key TTLs), and you need to run the most realistic disaster recovery drill by triggering a Redis failover while guaranteeing zero impact on production data (no data loss); what should you do?

문제 분석

핵심 개념: 이 문제는 Memorystore for Redis (Standard Tier)의 고가용성 동작과 수동 failover 제어, 특히 failover 중 “data protection mode” 선택지를 테스트합니다. 또한 프로덕션 데이터 무결성을 위험에 빠뜨리지 않으면서 재해 복구(DR) 훈련을 수행하는 방법도 테스트합니다. 정답이 맞는 이유: 프로덕션 데이터에 대한 영향이 0(데이터 손실 없음)임을 보장하려면, 프로덕션 인스턴스에서 failover를 트리거하면 안 됩니다. “limited-data-loss”조차 “zero data loss”가 아닙니다. 이는 위험을 줄이지만, replication이 비동기이므로 failover 시점에 일부 write가 replica에 아직 도달하지 않았을 수 있어 손실이 전혀 없다고 보장할 수 없습니다. 프로덕션 영향이 없음을 보장하면서도 가장 현실적인 훈련은, 프로덕션 특성(tier, region, multi-zone, 가능하다면 size/QPS)을 미러링하는 Standard Tier 인스턴스를 sandbox project에 생성한 뒤 limited-data-loss mode로 수동 failover를 시작하는 것입니다. 이렇게 하면 운영 절차, 모니터링, 클라이언트 재연결 동작, failover 메커니즘을 실제처럼 검증하면서도 잠재적 데이터 손실을 non-production으로 격리할 수 있습니다. 주요 기능 및 모범 사례: Standard Tier는 zone 간 primary/replica를 제공하며 automatic failover를 지원합니다. 테스트/유지보수를 위한 manual failover도 지원됩니다. Data protection mode에는 다음이 포함됩니다: - Limited-data-loss: 가장 최신 상태의 replica로 failover를 시도하여 잠재적 손실을 최소화합니다. - Force-data-loss: 최근 write 손실 가능성이 커지더라도 failover를 강제로 수행합니다. Google Cloud Architecture Framework의 복원력 원칙에 따른 모범 사례는 blast radius를 제한(별도 project/environment 사용)하면서 DR을 정기적으로 테스트하고, RPO/RTO 가정을 검증하는 것입니다. TTL 비중이 큰 ephemeral 데이터의 Redis라 하더라도, 요구사항에 “no data loss”가 명시되어 있다면 이를 엄격한 요구로 취급해야 합니다. 흔한 오해: 자주 있는 함정은 “limited-data-loss”를 “no data loss”로 착각하여 프로덕션에서 훈련을 수행하는 것입니다. 또 다른 오해는 replica를 추가하면 비동기 replication이라는 근본 동작이 바뀐다고 생각하는 것입니다. replica 추가는 가용성/읽기 스케일링에는 도움이 될 수 있지만, zero-loss failover를 보장하지는 않습니다. 시험 팁: 문제에서 “guarantee zero impact on production data”라고 하면, 상태를 변경하거나 RPO를 위험에 빠뜨릴 수 있는 프로덕션 작업은 피해야 합니다. 아키텍처를 복제한 sandbox/staging 훈련을 우선 선택하세요. 또한 기억할 점: Standard Tier Redis failover는 동기식, zero-RPO 메커니즘이 아닙니다. 요구사항이 절대적인 zero loss라면, 유일하게 안전한 방법은 프로덕션에서 failover를 하지 않는 것(또는 zero-RPO 의미론을 지원하는 시스템으로 재설계하는 것)입니다.

문제 10

Your team operates a 7-node RabbitMQ ingress tier (~50,000 msgs/sec) and a 5-node TimescaleDB cluster for durable storage; both clusters run on Compute Engine VMs with 2 TB Persistent Disks per node spread across three zones. Compliance mandates that all data at rest be encrypted with keys your team can create, rotate every 90 days, and destroy on demand, without requiring changes to the application code. What should you do?

문제 분석

핵심 개념: 이 문제는 Google Cloud 인프라에서 데이터 저장 시 암호화를 위해 Cloud KMS를 사용한 Customer-Managed Encryption Keys (CMEK)를 테스트하며, 특히 Compute Engine Persistent Disk에 초점을 둡니다. 또한 CMEK를 기본 Google-managed encryption 및 애플리케이션 수준 암호화와 암묵적으로 대비합니다. 정답인 이유: 컴플라이언스 요구사항은 (1) 저장 시 암호화, (2) 팀이 생성할 수 있는 키, (3) 90일마다 로테이션, (4) 필요 시 즉시 파기, (5) 애플리케이션 코드 변경 없음입니다. CMEK로 Persistent Disk를 암호화하면 RabbitMQ 또는 TimescaleDB를 수정하지 않고도 이 모든 요구사항을 충족합니다. CMEK에서는 Google이 스토리지 계층에서 디스크 데이터의 암호화/복호화를 투명하게 관리하고, 사용자는 Cloud KMS에서 키 라이프사이클을 제어합니다. KMS 키를 로테이션(또는 사용되는 key version을 변경)하는 작업은 스케줄에 따라 수행할 수 있으며, key version을 destroy/disable하면 데이터를 읽을 수 없게 만들어 “요청 시 파기” 요구사항을 충족할 수 있습니다. 주요 기능 / 구성 / Best Practices: - 디스크와 동일한 region에 Cloud KMS key ring/key를 사용합니다(Compute Engine CMEK는 regional alignment가 필요). multi-zone 배포의 경우 Regional Persistent Disks를 사용하거나, 각 zonal disk가 해당 region의 CMEK 키를 사용하도록 보장합니다. - Compute Engine service agent/service account에 키에 대한 필요한 KMS 권한(예: cloudkms.cryptoKeyEncrypterDecrypter)을 부여합니다. - Cloud KMS rotation schedules 및 해당되는 경우 새 key version으로 재암호화/사용 전환을 위한 운영 절차를 통해 90일 로테이션을 구현합니다. - 가용성을 고려합니다: KMS를 사용할 수 없거나 권한이 회수되면 disk attach/start 작업이 실패할 수 있습니다. 이는 의도된 통제 수단이므로, 이에 맞게 운영 runbook을 설계합니다(Google Cloud Architecture Framework: security, reliability, operational excellence). 흔한 오해: - “기본 저장 시 암호화”는 Google-managed keys를 사용하므로, customer-managed keys가 필요한 요구사항을 충족하기에 충분하지 않습니다. - “로컬 키를 KMS에 업로드”는 KMS를 오해한 것입니다: 일반적으로 KMS에서 키를 생성(또는 key material을 import)하지만, 그 다음 VM 디스크를 사용자가 직접 수동으로 암호화하지는 않습니다. - “애플리케이션 API 호출에서 키를 참조”는 애플리케이션 수준 envelope encryption을 의미하며, ‘코드 변경 없음’ 제약을 위반합니다. 시험 팁: “애플리케이션 변경 없음” + “키 로테이션/파기” + “GCE 디스크의 저장 데이터”를 보면, Persistent Disk에 대해 Cloud KMS의 CMEK를 떠올리세요. 또한 regional 제약과 IAM 요구사항을 확인하고, key version을 disable/destroy하면 암호화된 리소스에 대한 접근을 의도적으로 차단할 수 있음을 기억하세요.

문제 11

Your company runs a real-time vehicle telemetry system on Google Cloud, where a Cloud Dataflow streaming job consumes events from a Cloud Pub/Sub topic 'telemetry-prod' via subscription 'telemetry-prod-v1' at an average rate of 25,000 messages per minute with a 60-second ack deadline. You must roll out a new version of the pipeline within the next hour that changes the keying and windowing logic in a way that is incompatible with the current job, and you cannot pause event producers; the business requires zero data loss during the cutover. What should you do to deploy the new pipeline without losing data?

문제 분석

핵심 개념: 이 문제는 Cloud Pub/Sub에서 소비하는 Cloud Dataflow streaming pipeline에 대한 안전한 배포 패턴을 테스트하며, 특히 Pub/Sub subscription이 delivery/ack 상태를 어떻게 추적하는지와 Dataflow job 업데이트/드레이닝이 호환되지 않는 pipeline 변경과 어떻게 상호작용하는지를 다룹니다. 정답이 맞는 이유: 호환되지 않는 pipeline 변경(키잉/윈도잉 변경)을 배포하면서 데이터 손실을 0으로 달성하려면, 기존 pipeline의 메시지 acknowledgment 상태에 간섭하지 않으면서 새 pipeline을 병렬로 실행해야 합니다. Pub/Sub delivery 상태는 topic이 아니라 subscription 단위로 유지됩니다. 동일한 topic에 새 subscription을 만들면, 새 Dataflow job은 그 시점부터 독립적인 메시지 스트림을 수신하고, 기존 job은 종료할 때까지 원래 subscription에서 계속 메시지를 소비하고 ack 처리합니다. 이는 기존 job에서 메시지를 “가로채는” 일을 방지하고, 동일 subscription에서 경쟁 소비자로 인해 발생하는 공백을 예방합니다. 새 job이 정상이며 올바른 출력을 생성하는지 검증한 뒤, 기존 job을 cancel/drain 하면 됩니다. 주요 기능 / 모범 사례: - Pub/Sub fan-out은 동일한 topic에 여러 subscription을 생성하여 달성하며, 각 subscription은 게시된 각 메시지의 사본을 수신합니다. - Subscription은 acknowledgment의 단위이며, 하나의 subscription에 여러 subscriber가 붙으면 backlog를 공유하고 비결정적 분배가 발생할 수 있습니다. - 호환되지 않는 Dataflow 변경의 경우, in-place 업데이트보다 blue/green(병렬) 배포를 선호합니다. - ordering/duplication을 고려하세요: 병렬 subscription은 두 pipeline이 동일한 sink에 쓰는 경우 downstream 중복 쓰기를 유발할 수 있습니다. idempotent writes, versioned outputs, 또는 제어된 cutover로 완화하세요. 흔한 오해: 많은 사람들이 “in-place 업데이트 + drain”이 어떤 변경에도 손실이 없다고 보장한다고 가정합니다. Draining은 in-flight 작업을 마치는 데 도움이 되지만, 호환되지 않는 graph/state 변경은 종종 in-place로 안전하게 적용할 수 없습니다. 또 다른 오해는 동일 subscription에서 두 번째 job을 시작하는 것이 안전하다는 것인데, 이는 메시지 분배를 바꾸고 cutover 전환 동안 모든 메시지가 정확히 한 번 처리되었는지 보장하기 어렵게 만듭니다. 시험 팁: - 기억하세요: Topic = publish 스트림; Subscription = delivery/ack 커서. 손실 0 cutover는 일반적으로 새 subscription(fan-out) 또는 replay 가능한 소스가 필요합니다. - streaming Dataflow의 경우, 깔끔한 cutover를 위해 별도 subscription으로 blue/green을 사용하고, 전환 중 중복을 허용하도록 sink를 설계하세요. - ack deadline/backlog를 모니터링하세요: 25,000 msg/min 및 60s ack deadline 조건에서, 겹치는 기간 동안 어느 subscription도 무한히 backlog가 쌓이지 않도록 충분한 Dataflow worker/autoscaling을 보장하세요.

문제 12

ByteFarm, an agri-tech startup, runs a Cloud Dataflow streaming pipeline that ingests telemetry from 75,000 greenhouse sensors via Pub/Sub and writes aggregated metrics to BigQuery. To prepare for seasonal peaks where throughput can triple for up to 4 hours, you enabled autoscaling and set the initial number of workers to 25. During a load test, the job stops scaling at 40 workers and backlog grows; you want Dataflow to be able to scale compute higher without manual intervention. Which Cloud Dataflow pipeline configuration setting should you update?

문제 13

Your healthcare analytics startup must lift-and-shift a single-region 2.3 TB on-premises PostgreSQL database that powers your billing API; you have fewer than 400 concurrent client connections, require standard SQL with ACID transactions and point-in-time recovery, cannot redesign the schema or application within the next quarter, do not need global distribution, and minimizing ongoing operating cost is the top priority; which Google Cloud service should you use to store and serve this workload?

문제 분석

핵심 개념: 이 문제는 PostgreSQL 호환성, ACID 트랜잭션, 표준 SQL, point-in-time recovery, 그리고 낮은 운영/지속 비용이 필요한 lift-and-shift OLTP 워크로드에 적합한 managed database storage service를 선택하는지를 평가합니다. 정답이 맞는 이유: Cloud SQL (for PostgreSQL)은 스키마나 애플리케이션 동작을 변경할 수 없을 때 on-prem PostgreSQL 데이터베이스와 가장 유사한 managed 대안입니다. 표준 PostgreSQL SQL semantics, 완전한 ACID 트랜잭션, 그리고 일반적인 billing API가 기대하는 기능(인덱스, 제약조건, 조인, 지원 범위 내 stored procedures/extensions)을 지원합니다. 워크로드는 single-region이며 동시 연결이 <400이고 global distribution이 필요하지 않으므로, Cloud Spanner의 global consistency와 horizontal scaling은 불필요하며 비용/복잡도만 증가시킵니다. 지속적인 운영 비용을 최소화해야 한다는 요구는 Cloud SQL의 managed operations 모델(패치, 백업, replication)과 right-sizing 옵션과도 부합합니다. 주요 기능 / 구성 / Best Practices: - High availability: billing API에 더 높은 uptime이 필요하면 Cloud SQL HA (regional) 구성을 사용하고, 그렇지 않다면 single-zone이 더 저렴할 수 있지만 복원력은 낮습니다. - Point-in-time recovery (PITR): 복구 요구사항을 충족하기 위해 automated backups와 WAL archiving (PITR)을 활성화합니다. - Connection management: 수백 개의 클라이언트가 있는 경우 Cloud SQL Auth Proxy / connectors를 사용하고, connection limit 소진을 방지하기 위해 PgBouncer(또는 built-in connection pooling 패턴)를 고려합니다. - Security/compliance: 필요 시 CMEK, private IP, VPC Service Controls(해당 시), 그리고 IAM/Cloud SQL roles를 사용합니다. 헬스케어 환경에서는 least privilege와 audit logging에 맞춥니다. - Cost: CPU/RAM/storage를 right-size하고, SSD/HDD를 적절히 선택하며, 해당되는 경우 committed use discounts를 고려합니다. 흔한 오해: - “Spanner가 최고의 relational DB다”: Spanner는 global scale과 horizontal scaling을 통한 높은 write throughput에 매우 뛰어나지만, 일반적으로 더 비싸고 스키마/SQL 조정이 필요할 수 있습니다. single-region PostgreSQL lift-and-shift에는 과도한 선택입니다. - “Bigtable/Firestore가 더 저렴하다”: 둘 다 NoSQL이며 PostgreSQL 호환 SQL + 임의의 relational query 전반에 대한 ACID transactional semantics를 제공하지 않으므로 애플리케이션 재설계가 필요합니다. Exam Tips: 기존 PostgreSQL/MySQL + lift-and-shift + ACID + 표준 SQL + 최소한의 앱 변경을 보면 기본 선택은 Cloud SQL입니다. Spanner는 여러 리전에서 strong consistency를 유지하며 horizontal scaling이 필요하거나 global scale에서 매우 높은 availability가 필요할 때만 선택하세요. NoSQL(Bigtable/Firestore)은 스키마/앱 재설계와 다른 query/transaction 모델을 전제로 합니다.

문제 14

You manage a BigQuery dataset that stores hourly IoT telemetry for 500,000 sensors, and you must let 5 internal departments across 10 consumer projects discover and use the data without creating copies, keeping monthly maintenance under 1 hour and costs minimal; within the same Google Cloud organization, what is the most self-service, low-maintenance, and cost-effective way to share this dataset?

문제 분석

핵심 개념: 이 문제는 동일한 조직 내 여러 소비자 프로젝트에 대해 운영 오버헤드를 최소화하고 데이터 중복 없이 BigQuery 데이터 공유 패턴을 테스트합니다. 핵심 서비스는 Analytics Hub로, 프로젝트 간 BigQuery dataset(및 listing)을 공유하기 위한 관리형 셀프서비스 데이터 교환을 제공합니다. 정답이 맞는 이유: Analytics Hub private exchange를 사용하면 telemetry dataset을 한 번만 게시하고 여러 내부 부서(구독자)가 각자의 프로젝트에서 이를 검색하고 구독할 수 있습니다. 구독은 데이터를 복사하는 대신 linked dataset(메타데이터 포인터)을 생성하므로 스토리지 비용이 증가하지 않습니다. 이는 요구사항(복사 없음, 셀프서비스 검색, 많은 소비자 프로젝트로 확장 가능, 매우 낮은 지속 운영/유지보수—한 번 게시하고 접근을 중앙에서 관리)을 직접 충족합니다. 주요 기능 / 모범 사례: Analytics Hub는 조직으로 제한된 private exchange를 지원하여 중앙 통제를 통한 거버넌스 기반 공유를 가능하게 합니다. 소비자는 자신의 프로젝트에서 구독하므로 chargeback/showback 및 least-privilege access에 부합합니다. exchange를 볼 수 있는 사용자, 구독할 수 있는 사용자 관리와 listing 업데이트를 프로젝트별 view 생성과 조율 없이 수행할 수 있습니다. 이 접근은 Google Cloud Architecture Framework의 운영 우수성(작업 부담 감소), 보안(중앙 거버넌스), 비용 최적화(중복 스토리지 없음) 원칙과 일치합니다. 흔한 오해: Authorized views(옵션 B)는 row/column-level security에 자주 사용되지만, 소비자 프로젝트/dataset별로 view와 권한을 생성·관리해야 하며 discovery/subscription 워크플로를 제공하지 않습니다. view를 사용자에게 직접 공유(옵션 C)하는 방식은 간단해 보이지만, 많은 프로젝트와 부서로 확장되지 않고 거버넌스를 복잡하게 만듭니다. BigQuery Data Transfer Service(옵션 D)로 복사하는 방식은 격리 측면에서는 직관적이지만, “복사 없음” 요구사항을 명시적으로 위반하고 스토리지 및 전송 비용을 증가시킵니다. 시험 팁: “복사 없이 프로젝트 간 BigQuery 데이터 공유” + “셀프서비스 검색” + “낮은 유지보수”를 보면 Analytics Hub를 떠올리세요. Authorized views는 주로 생산자가 강제하는 세밀한 필터링/마스킹이 필요할 때 사용하며, 광범위한 다중 프로젝트 배포가 주목적일 때의 1순위는 아닙니다. 또한 비용 단서를 확인하세요. 대용량/시간 단위 telemetry를 복사하면 스토리지가 배로 늘고, 중복된 테이블과 파이프라인 때문에 쿼리 비용도 증가할 수 있습니다.

문제 15

Your globally distributed ride-hailing platform lets drivers accept trip requests, and occasionally multiple drivers tap Accept for the same request within 10–50 ms while different regional application clusters handle those taps; each acceptance event includes rideId, driverId, acceptTimestamp (RFC3339 UTC), region, and fareEstimate, and events may arrive out of order by up to 3 seconds; you must aggregate these events centrally in real time with under 2 seconds end-to-end latency at a sustained rate of 200,000 events per minute to determine which driver accepted first. What should you do?

문제 분석

핵심 개념: 이 문제는 전 세계에 분산된 이벤트를 수집하고, 순서가 뒤바뀌어 도착하더라도 각 ride에 대해 가장 이른 acceptance를 조정할 수 있는 low-latency, high-throughput streaming architecture를 구축하는 것에 관한 것입니다. 올바른 GCP 패턴은 확장 가능한 이벤트 수집을 위한 Cloud Pub/Sub와 stateful하고 event-time-aware aggregation을 위한 Dataflow streaming입니다. 정답인 이유: Option D가 최적의 아키텍처 선택인 이유는 Pub/Sub가 모든 regional cluster의 acceptance event를 대규모로 수용할 수 있고, Dataflow가 streaming mode에서 rideId별로 이벤트를 그룹화하고 acceptTimestamp 값을 비교할 수 있기 때문입니다. Dataflow는 event-time processing, watermark, allowed lateness를 지원하며, 이는 이벤트가 최대 3초까지 순서 없이 도착할 수 있을 때 정확히 필요한 기능입니다. 적절한 state와 timer 또는 windowing과 trigger를 사용하면, 이 pipeline은 각 ride에 대해 가장 이른 acceptance event를 판별하면서도 near-real-time latency 목표를 충족할 수 있습니다. 주요 기능: - Pub/Sub는 burst와 지속적인 throughput을 위해 전역적으로 확장 가능하고 decoupled된 ingestion을 제공합니다. - Dataflow는 arrival time이나 processing time에 의존하지 않고 acceptTimestamp에서 event timestamp를 할당할 수 있습니다. - Stateful per-key aggregation 또는 event-time windowing은 각 rideId에 대해 최소 acceptTimestamp를 추적할 수 있습니다. - Allowed lateness와 watermark를 통해 시스템은 정확성을 희생하지 않으면서 late event를 잠시 기다릴 수 있습니다. - Pub/Sub delivery는 at least once이므로 downstream write의 idempotent 처리도 여전히 중요합니다. 흔한 오해: 주요 함정은 먼저 처리된 이벤트를 실제로 먼저 발생한 이벤트와 혼동하는 것입니다. 분산 시스템에서는 network delay와 regional 차이로 인해 더 늦은 acceptance가 더 먼저 도착할 수 있으므로 processing-time 순서는 신뢰할 수 없습니다. 이 해법은 acceptTimestamp를 기반으로 한 event-time semantics를 사용해야 합니다. 시험 팁: 순서가 뒤바뀐 이벤트, low latency, per-key aggregation이 포함된 streaming 문제에서는 Google Cloud에서 보통 Pub/Sub와 Dataflow 조합이 의도된 정답입니다. Hadoop 같은 batch system은 피하고, high-rate streaming workload의 기본 reconciliation engine으로 Cloud SQL이나 MySQL을 사용하는 것도 피하세요. 또한 event time과 processing time을 구분하는 표현을 주의 깊게 보세요.

문제 16

You are using Cloud Bigtable to persist and serve real-time error logs from five microservices in a payment platform, and the on-call dashboard needs only the most recent log entry per service (logs stream at up to 1,000 rows per second per service) with the simplest possible query to fetch the latest per service—how should you design your row keys and tables?

문제 분석

핵심 개념: 이 문제는 access pattern을 기반으로 한 Cloud Bigtable schema design을 테스트합니다. Bigtable에서는 row가 row key 기준으로 lexicographically 정렬되므로, 가장 일반적인 read pattern을 효율적이고 단순하게 만들 수 있도록 row key를 설계해야 합니다. 여기서는 dashboard가 각 microservice의 가장 최근 log entry만 필요로 하므로, 해당 service에 대해 가장 최신 row가 자연스럽게 맨 앞에 오도록 하는 설계가 이상적입니다. 정답인 이유: 각 service마다 별도의 table을 사용하고 reverse timestamp row key를 적용하면, 최신 log entry가 해당 table의 첫 번째 row가 됩니다. 즉, dashboard는 가능한 가장 단순한 query를 수행할 수 있습니다. 각 service의 table 시작 부분에서 single row를 읽으면 됩니다. 이는 service별로 가장 최근 log만 최소한의 query complexity로 가져와야 한다는 요구 사항과 직접적으로 일치합니다. 주요 특징: Reverse timestamp는 newer entry가 older entry보다 먼저 정렬되도록 하며, 이는 최근 데이터 조회가 주를 이루는 time-series data에서 흔히 사용되는 Bigtable pattern입니다. 별도의 table은 각 service의 write stream을 분리하고 service별 최신 항목 조회를 매우 단순하게 만듭니다. microservice가 5개뿐이므로, 5개 table에 대한 운영 오버헤드는 이 시나리오에서 크지 않고 수용 가능합니다. 흔한 오해: service_id#timestamp와 같은 composite key는 row를 service별로 묶어 주지만, 일반 timestamp를 사용하면 최신 row가 range의 끝에 위치하므로 이를 가져오는 것이 가장 단순한 read pattern은 아닙니다. shared table에서 service_id 없이 reverse timestamp만 사용하면 전체 기준 최신 항목 조회는 쉬워지지만, service별 최신 항목 조회에는 적합하지 않습니다. 또한 Bigtable은 보통 적은 수의 큰 table을 선호하지만, 그 지침이 절대적인 것은 아니며 소수의 table이 access pattern에 더 잘 맞는 경우도 있습니다. 시험 팁: Bigtable 문제에서는 정확한 read pattern부터 시작하고, 원하는 row들이 서로 인접하고 가능하면 정렬 순서상 맨 앞에 오도록 row key를 설계하세요. Reverse timestamp는 최신 record를 자주 필요로 할 때 유용합니다. 문제가 소수의 고정된 entity 집합에 대해 가능한 가장 단순한 lookup을 강조한다면, 별도의 table을 사용하는 것도 유효한 설계 선택이 될 수 있습니다.

문제 17

You manage an overnight telemetry-validation workflow in Cloud Composer 2; one Airflow task calls a partner's device registry API via an HTTP operator and is configured with retries=3 and retry_delay=5 minutes, while the DAG has an SLA of 45 minutes; you want a notification to be sent only when this specific task ultimately fails after exhausting all retries (and not on retries or SLA misses); what should you do?

문제 분석

핵심 개념: 이 문제는 Apache Airflow (Cloud Composer 2)의 task lifecycle callback과 task failure, retry 이벤트, SLA miss의 차이를 테스트합니다. Airflow에서 retry는 scheduler/executor가 처리하며, 모든 retry가 소진된 후에야 task가 FAILED로 표시됩니다. 별도로, SLA miss는 타이밍 신호(지속 시간 초과)이며 task가 실패했다는 의미는 아닙니다. 정답이 맞는 이유: 특정 HTTP task가 모든 retry를 소진한 뒤 최종적으로 실패할 때만 알림을 보내려면, 해당 operator의 on_failure_callback에 알림 로직을 연결해야 합니다. Airflow는 task instance가 FAILED 상태로 전이될 때 on_failure_callback을 호출합니다. retries=3인 경우, 중간의 실패 시도는 UP_FOR_RETRY(또는 유사)로 전이되며 on_failure_callback을 트리거하지 않습니다. 대신 on_retry_callback을 트리거합니다. 따라서 on_failure_callback은 “최종 실패 후에만 알림”과 정확히 일치하며, 전체 DAG가 아니라 단일 task(operator)에 범위가 한정됩니다. 주요 기능 및 모범 사례: - Task 수준 callback: on_failure_callback, on_retry_callback, on_success_callback은 task별 동작을 허용합니다. - SLA callback/metrics: sla_miss_callback 및 sla_missed metrics는 최종 task 결과가 아니라 지연/경과 시간에 관한 것입니다. - Cloud Composer 2는 GKE에서 Airflow를 실행합니다. 알림은 보통 email, Pub/Sub, Cloud Functions/Run webhook, 또는 Chat integration으로 구현하지만, 먼저 트리거 조건이 정확해야 합니다. - Architecture Framework 정렬: operational excellence 및 reliability—alert fatigue를 줄이기 위해 조치 가능한 실패(최종 task 실패)에 대해서만 알림을 보냅니다. 흔한 오해: - retry와 failure를 혼동: on_retry_callback은 각 retry 시도마다 실행되므로 “retry에는 알리지 않기” 요구사항을 위반합니다. - SLA 기반 alerting 사용: SLA miss는 task가 결국 성공하더라도 발생할 수 있으며(또는 scheduling delay로 인해 miss될 수 있음), “최종 실패”의 신뢰할 수 있는 대리 지표가 아닙니다. 시험 팁: - 기억할 점: on_failure_callback = 종단 실패(terminal failure); on_retry_callback = 각 retry 이벤트; sla_miss_callback/metrics = 시간 임계값 초과. - 요구사항이 한 task에만 해당하면 task 수준 callback을 선호하고, 요구사항이 적시성(timeliness)이 아니라 정확성/실패에 관한 것이라면 SLA alert를 피하세요.

문제 18

Your analytics team streams 80,000 events per second into a BigQuery table via a Pub/Sub BigQuery subscription in us-central1. Currently, both the Pub/Sub topic (project: stream-prd) and the BigQuery table (project: analytics-prd, dataset: ops_ds, table: events_raw) use Google-managed encryption keys. A new organization policy mandates that all at-rest data for this pipeline must use a customer-managed encryption key (CMEK) from a centralized KMS project (project: sec-kms-prj, key ring: analytics-ring, key: event-data-key, region: us-central1). You must comply with the policy and keep streaming ingestion running while you transition and preserve historical data. What should you do?

문제 분석

핵심 개념: 이 문제는 Pub/Sub BigQuery subscription과 BigQuery storage를 사용하는 streaming ingestion pipeline에 대해 end-to-end CMEK 적용을 테스트합니다. 또한 ingestion을 중단하지 않고 기존(과거) 데이터를 보존하면서 전환하는 방법도 테스트합니다. 정답이 맞는 이유: pipeline에서 at-rest 상태로 저장되는 모든 데이터에 대해 CMEK를 의무화하는 organization policy를 준수하려면, 데이터를 영구 저장(persist)하는 두 가지 storage 시스템 모두가 CMEK를 사용해야 합니다: (1) Pub/Sub topic의 message storage와 (2) BigQuery table storage. Google-managed encryption으로 생성된 기존 Pub/Sub topic이나 기존 BigQuery table을 사후적으로 “재암호화(re-encrypt)”할 수는 없습니다. CMEK는 리소스 생성 시점에 설정되기 때문입니다. 따라서 규정을 준수하는 접근은 (둘 다 us-central1에) CMEK가 활성화된 새 Pub/Sub topic과 CMEK가 활성화된 새 BigQuery table을 생성하고, publisher를 새 topic으로 리다이렉트한 뒤, 새 CMEK table에 쓰도록 하는 새 Pub/Sub BigQuery subscription을 만드는 것입니다. 과거 데이터는 기존 table에서 새 CMEK table로 copy하여 보존해야 합니다. 주요 기능 / 구성: - Pub/Sub CMEK: 동일 region(us-central1)의 Cloud KMS key로 topic을 구성합니다. Pub/Sub service agent에 해당 key에 대한 cryptoKeyEncrypterDecrypter 권한이 있는지 확인합니다. - BigQuery CMEK: 중앙화된 key를 사용하여 destination table(또는 dataset default CMEK)을 생성합니다. BigQuery service agent에 key 접근 권한을 부여합니다. - Cross-project KMS: 중앙화된 KMS project를 사용하는 것이 일반적이며, key policy는 stream-prd와 analytics-prd의 service agent를 허용해야 합니다. - Migration: BigQuery copy jobs(또는 CTAS)를 사용해 events_raw의 과거 데이터를 새 table로 복사합니다. backfill이 실행되는 동안에도 새 subscription을 통해 streaming은 계속됩니다. 흔한 오해: CMEK로 구성된 Dataflow job은 Pub/Sub 또는 기존 BigQuery table의 non-CMEK storage 문제를 해결하지 못합니다. 데이터는 여전히 해당 서비스의 자체 encryption 설정에 따라 at rest로 저장됩니다. 또한 BigQuery만 또는 Pub/Sub만 변경하면 pipeline의 일부가 여전히 비준수 상태로 남습니다. 시험 팁: - 기억할 점: Pub/Sub topic과 BigQuery table은 보통 리소스 생성 이후 CMEK를 변경할 수 없습니다(immutable). 따라서 “새로 생성 + cutover + backfill”을 계획해야 합니다. - 80k events/sec의 streaming에서는 운영 리스크를 최소화하기 위해 managed integration(Pub/Sub BigQuery subscription)을 선호하고, migration은 병렬로 수행합니다. - 중앙화된 CMEK project를 사용할 때는 항상 region 정합성과 service agent에 대한 KMS IAM을 확인하세요.

문제 19

A logistics company (AeroFleet) ingests 120,000 events/sec (avg ~40 MB/s, peak 80 MB/s) from a 3-broker on-premises Apache Kafka cluster into Google Cloud over a 10 Gbps Dedicated Interconnect with 7–10 ms RTT; security policy allows only private IPs and TLS/SASL to Kafka, and the analytics team needs events queryable in BigQuery with p50 < 5 s and p99 < 20 s end-to-end latency while keeping architecture hops to a minimum and ensuring horizontal scalability; what should you do to meet throughput and latency goals with minimal added components?

문제 분석

핵심 개념: 이 문제는 최소한의 구성 요소로 온프레미스 Kafka에서 BigQuery로 저지연 스트리밍 수집을 수행하면서, private connectivity 및 보안 제약을 충족하는지를 평가합니다. 핵심 서비스/개념은 Dataflow (Apache Beam) streaming, KafkaIO를 통한 Kafka 직접 소비, 그리고 고처리량/저지연 쓰기를 위한 BigQuery의 Storage Write API입니다. 정답이 맞는 이유: 옵션 C는 가장 직접적인 아키텍처입니다. VPC 내의 Dataflow worker가 Dedicated Interconnect를 통해 private IP와 TLS/SASL로 온프레미스 Kafka broker에서 데이터를 소비한 뒤, Storage Write API를 통해 BigQuery로 스트리밍합니다. 이는 hop을 최소화(Kafka -> Dataflow -> BigQuery)하며, Pub/Sub 및 Kafka Connect를 추가 구성 요소로 도입하지 않아도 됩니다. Dataflow는 수평 확장(autoscaling worker, partition 기반 parallelism)을 제공하여 40–80 MB/s의 지속/피크 처리량을 처리할 수 있고, Storage Write API는 legacy streaming insert 대비 강력한 성능 특성을 가진 고처리량 스트리밍용으로 설계되었습니다. Interconnect에서 RTT가 7–10 ms라면 직접 소비가 가능하며, 파이프라인을 튜닝(충분한 worker, 적절한 checkpointing, batching, BigQuery write 설정)하면 일반적으로 요구되는 p50/p99 end-to-end latency를 지원할 수 있습니다. 주요 기능 / 구성 / 모범 사례: - TLS/SASL, consumer group 관리, Kafka partition에 맞춘 충분한 parallelism으로 KafkaIO를 구성한 Dataflow streaming을 사용합니다. - Dedicated Interconnect를 통해 온프레미스로 라우팅되는 VPC에 Dataflow worker를 배치하고, BigQuery API를 위해 필요 시 firewall rule 및 Private Google Access를 보장합니다. - BigQuery에는 Storage Write API로 기록(exactly-once/at-least-once semantics는 구성에 따라 달라짐)하고, latency와 throughput의 균형을 위해 batch size/flush frequency를 튜닝합니다. - Google Cloud Architecture Framework 원칙을 따릅니다: reliability(관리형 autoscaling), security(private IP + TLS), operational excellence(관리형 서비스, 모니터링). 흔한 오해: Pub/Sub는 범용 ingestion buffer로 자주 권장되지만, 여기서는 추가 hop을 만들고 Kafka Connect 인프라 및 운영 오버헤드를 요구합니다. 또한 proxy VM(옵션 B)은 네트워킹을 단순화하는 것처럼 보이지만, 단일 장애 지점과 병목을 도입하여 수평 확장 요구사항과 충돌합니다. 시험 팁: 요구사항이 “최소 hop/구성 요소”와 엄격한 private connectivity를 강조할 때는, 관리형 확장 처리 서비스(Dataflow)로의 direct connector(KafkaIO)를 우선 고려합니다. BigQuery에서 높은 속도의 streaming에는 오래된 streaming insert 패턴보다 Storage Write API를 선호합니다. 항상 throughput/latency 요구사항을 보안 및 확장성 제약을 만족하는 최소 서비스 수에 매핑하세요.

문제 20

You are building a regression model to estimate hourly fuel consumption for cargo drones from 70 telemetry features in historical flight logs stored in BigQuery. You have 120M labeled rows, you randomly shuffle the table and create an 85/15 train–test split, then train a 4-layer neural network with early stopping in TensorFlow. After evaluation, you observe that the RMSE on the training set is about 2x higher than on the test set (e.g., 3.0 L vs 1.5 L). To improve overall model performance without changing the dataset source, what should you do next?

문제 분석

핵심 개념: 이 문제는 ML 모델 진단(편향/분산)과 train vs test 지표가 예상과 다르게 동작할 때 무엇을 바꿔야 하는지를 평가합니다. 표준 i.i.d. train/test split에서는 모델이 training set에 최적화되므로 training error는 보통 test error보다 작거나 같습니다. 그런데 training RMSE가 test RMSE보다 ~2배 더 나쁘다면, 가장 흔한 해석은 underfitting 또는 과도하게 제약된 training 과정(예: early stopping이 너무 공격적임, regularization이 과도함, 모델 capacity가 부족함, 또는 optimization이 수렴하지 않음)입니다. 정답이 맞는 이유: 데이터셋이 매우 크고(라벨된 120M rows) 85/15 split 전에 무작위로 shuffle되었으므로, test set은 대표성이 있어야 하며 기대값 관점에서 “더 쉬운” 데이터가 되기 어렵습니다. training RMSE가 크게 높다는 것은 모델이 training distribution을 잘 맞추지 못한다는 신호입니다. 다음 개선 단계는 bias를 줄이기 위해 model capacity를 늘리고/또는 더 풍부한 상호작용을 허용하는 것입니다: layer/neurons를 추가하거나, layer를 더 넓히거나, categorical telemetry를 위한 feature crosses/embeddings를 추가하거나, 데이터에 더 적합한 architecture(예: residual MLP, telemetry가 sequential이라면 time window에 대한 attention)를 사용하는 방식입니다. 또한 training이 더 낮은 training loss에 도달할 수 있도록 early stopping patience와 learning-rate schedules도 재검토해야 합니다. 핵심 기능 / best practices: TensorFlow/Keras tuning(learning rate, batch size, patience)을 사용하고, 체계적인 탐색을 위해 Vertex AI Training + hyperparameter tuning을 고려하세요. training과 validation curve를 모두 모니터링하고, 둘 다 높고 서로 가깝다면 전형적인 underfitting입니다. BigQuery를 source로 사용한다면 데이터는 그대로 두고 feature representation(정규화, missing values 처리)과 모델의 표현력을 개선하세요. 흔한 오해: 사람들은 종종 “overfitting”으로 성급히 결론내리고 regularization을 추가하지만, overfitting은 보통 training error가 낮고 test error가 더 높게 나타납니다. test split size를 늘리는 것은 모델 품질을 개선하지 않으며, 평가 분산만 바꿉니다. 더 많은 데이터를 수집하는 것은 variance가 지배적일 때 도움이 되는데, 여기서는 120M rows이므로 데이터 양이 병목일 가능성은 낮습니다. 시험 팁: Professional Data Engineer에서는 train/validation/test 지표 해석에 능숙해야 합니다. train error > test error라면 underfitting, training-time 제약(early stopping), 또는 data leakage/metric mismatch를 의심하세요. 제시된 선택지 중에서는 data source를 바꾸지 않으면서 취할 수 있는 최선의 교정 조치가 capacity를 늘리는 것입니다.