ACE 模擬題練習

組織政策 (Organization Policy) 的 `constraints/gcp.resourceLocations` 可以限制資源建立的位置。IAM 條件雖然技術上可行但設定複雜且不適合大規模管理。自訂 IAM 角色控制的是「能做什麼」而非「在哪裡做」。VPC 防火牆規則只控制網路流量，無法限制資源建立位置。

Google 最佳做法是盡可能避免使用服務帳戶金鑰。在 GKE 中使用 Workload Identity、在 Compute Engine 上使用附加的服務帳戶，可以完全不需要金鑰檔案。手動輪換 (A) 容易出錯。Cloud KMS 加密金鑰 (C) 並不解決輪換問題。Secret Manager (D) 能安全儲存但根本性的最佳做法是不使用金鑰。

預算警示 (Budget Alerts) 預設只發送通知（email 或 Pub/Sub），不會自動停止或限制任何服務。要自動化回應，你需要自行透過 Pub/Sub 觸發 Cloud Functions 來執行動作。這是常見的考試陷阱題 — 很多人誤以為設定預算就能自動控制花費。

roles/storage.objectAdmin 允許完全管理物件（建立、讀取、更新、刪除物件），但不包含 bucket 層級的管理權限。roles/storage.admin (A) 包含 bucket 的管理權限，權限過大。roles/storage.objectViewer (C) 只能讀取，無法管理物件。roles/editor (D) 是基本角色，權限範圍遠超需求，違反最小權限原則。

gcloud config configurations 讓你建立多組命名設定檔，每組包含不同的專案、區域、帳號等設定，使用 `gcloud config configurations activate` 即可切換。手動設定 (B) 繁瑣且容易出錯。不同使用者帳號 (C) 過度複雜。環境變數 (D) 可以覆蓋設定但不適合管理多組設定。

新專案預設只啟用少數 API，大部分 GCP 服務（包含 Cloud Run）需要先啟用對應的 API 才能使用。VPC 網路 (A) 會自動建立 default 網路。服務帳戶 (C) 預設就有 Compute Engine default service account。Cloud Build (D) 不是使用 Cloud Run 的必要前提。

Cloud Spanner 是唯一同時提供強一致性、水平擴展和自動跨區域複寫的關聯式資料庫。Cloud SQL (A) 是關聯式但無法水平擴展（只能垂直擴展和讀取副本）。Cloud Bigtable (C) 支援水平擴展但不是關聯式資料庫，不支援 SQL 語法。Firestore (D) 是文件型 NoSQL 資料庫，不支援關聯式查詢。

最佳方案是使用 Standard 儲存類別（第一年需要存取）搭配物件生命週期管理規則（自動將超過一年的物件轉移到 Coldline 或 Archive）。只用 Nearline (B) 在第一年存取成本較高。只用 Coldline (C) 第一年存取成本更高。只用 Standard (A) 長期儲存成本過高。

Global External HTTP(S) Load Balancer 提供全球 Anycast IP、自動將流量路由到最近的健康後端、內建 CDN 和 SSL 終止。Regional External (A) 只在單一區域運作，不適合全球用戶。Internal Load Balancer (C) 用於內部流量，外部用戶無法存取。TCP/UDP Network LB (D) 不支援 Layer 7 功能如路徑路由。

GCP 子網路 IP 範圍在建立後可以擴展但不能縮小。/24 (A) 只有 256 個可用 IP（扣除預留後更少），連目前需求都不太夠。/23 (B) 有 512 個 IP，但考慮到 GCP 每個子網路會預留 4 個 IP，且未來需要 500 個，可能不夠。/22 (C) 有 1024 個 IP，足夠應付未來擴展且預留了合理的成長空間。/16 (D) 浪費太多 IP 空間。

Cloud Functions 是事件驅動的無伺服器函式，可以直接由 Cloud Storage 事件觸發，非常適合這類輕量級、事件驅動的處理任務。Compute Engine (A) 需要管理 VM，過度複雜。GKE (B) 需要管理叢集，不適合單一輕量任務。App Engine (C) 適合完整的 Web 應用，不適合事件驅動的單一函式。

Cloud Bigtable 專為大規模、低延遲的讀寫工作負載設計，是 IoT 時間序列資料的理想選擇，可處理每秒數百萬次操作。Cloud SQL (A) 在極高寫入量下效能不足且無法水平擴展。Firestore (C) 適合行動/Web 應用的文件資料，不適合高吞吐量時間序列。Memorystore (D) 是記憶體快取，不適合持久化大量時間序列資料。

Cloud Run 是全代管的容器服務，支援自動擴展到零 — 沒有請求時不會產生費用。Compute Engine (A) 無論是否有流量 VM 都在運行。GKE Standard (C) 需要至少一個節點持續運行。App Engine Flexible (D) 至少需要一個實例運行，不支援擴展到零。

GKE Autopilot 完全由 Google 管理節點基礎設施，包括作業系統更新、安全修補、節點配置和擴展。你只需定義 Pod 規格，按 Pod 資源使用量計費。Standard + 自動升級 (A) 仍需管理節點池配置。Shielded Nodes (C) 提供安全啟動但不自動管理節點。Container-Optimized OS (D) 只是 OS 選擇，不免除節點管理。

gcloud app services set-traffic --splits 可以精確控制各版本的流量分配比例，實現金絲雀部署。先用 --no-promote 部署 v2，再用 set-traffic 分流。--promote (A) 會立即將所有流量切到新版本。--stop-previous-version (C) 會停止舊版本。instances set-traffic (D) 不是有效的指令。

Cloud Functions 的 Pub/Sub 觸發類型會在指定的 Pub/Sub 主題收到新訊息時自動呼叫函式。HTTP 觸發 (A) 需要透過 HTTP 請求呼叫。Cloud Storage 觸發 (B) 回應檔案事件。Firestore 觸發 (D) 回應文件變更。每種觸發類型對應不同的事件來源。

Terraform state 檔案記錄了 Terraform 管理的每個資源的實際狀態，用於將設定檔中宣告的資源對應到雲端中的實際資源。這讓 Terraform 能知道哪些資源需要建立、更新或刪除。state 檔案不是語法驗證結果 (A)，不儲存認證金鑰 (C)，也不是 provider 快取 (D)。

Managed Instance Group (MIG) 使用 Instance Template 自動建立和管理相同的 VM，提供自動修復、自動擴展和滾動更新。Unmanaged Instance Group (A) 不提供自動管理功能。Sole-Tenant Node (C) 用於獨佔實體主機，不是自動管理。Instance Schedule (D) 用於排程啟停 VM，不是自動擴展。

Compute Engine VM 的預設維護行為是即時遷移 (Live Migration)，VM 會在不停機的情況下自動轉移到另一台實體主機。只有極短暫的網路中斷（通常不到一秒）。VM 不會被停止 (A) 或終止 (C)。維護是自動進行的，不需要手動確認 (D)。注意：Spot/Preemptible VM 不支援 Live Migration。

Persistent Disk Snapshot 是 GCP 原生的增量備份機制，支援排程備份，適合定期備份開機磁碟。Machine Image (A) 是完整 VM 設定的備份（包含所有磁碟、中繼資料），適合用於複製 VM 而非例行備份。Custom Image (C) 用於建立可重複使用的開機映像，不支援排程。Local SSD (D) 是暫時性儲存，資料在 VM 停止時會遺失。

BigQuery 是最佳選擇，因為它同時滿足長期保存和 SQL 分析兩個需求。透過 Log Router 的 Sink 可以將日誌匯出到 BigQuery。Cloud Storage (A) 適合長期保存但不支援直接 SQL 分析（需要額外工具）。Pub/Sub (C) 是即時串流，不適合長期儲存。Cloud Spanner (D) 不是 Log Sink 的支援目的地。

Alerting Policy 配合 metric threshold 條件可以監控 CPU 使用率指標，設定閾值（80%）和持續時間（5 分鐘），超過時觸發通知。Uptime Check (A) 用於監控服務可用性（HTTP/TCP），不是 CPU 指標。Dashboard (C) 只是視覺化顯示，不會發送通知。Log-based Metric (D) 用於從日誌建立指標，CPU 使用率是內建指標不需要從日誌擷取。

Surge Upgrade 在升級時額外建立新版本的節點，將工作負載遷移到新節點後再移除舊節點，最大程度減少中斷。直接升級所有節點 (A) 會造成服務中斷。刪除重建叢集 (C) 會導致長時間停機和設定遺失。停止工作負載 (D) 會導致計劃性停機。

Spot VM 可以在任何時候被 Google 回收（收到 30 秒終止通知），因此必須設計應用程式能夠處理中斷。Spot VM 不保證最低運行時間 (A)。Spot VM 價格比一般 VM 低 60-91% (C)。被回收時不會自動儲存資料 (D)，你需要自行處理 checkpoint 和資料持久化。

最小權限原則要求只授予完成任務所需的最低權限。建立專用服務帳戶並只授予 Storage Object Viewer 角色，精確符合需求。預設服務帳戶 + Editor (A) 權限過大。個人帳號 (C) 不適合用於服務驗證，且離開團隊後會有問題。公開存取 (D) 是最大的安全風險，任何人都能存取資料。

信封加密 (Envelope Encryption) 是用一個金鑰 (KEK) 來加密另一個金鑰 (DEK)，DEK 用來加密實際資料。好處是：只需將小的 DEK 傳送到 KMS 加密/解密，不需要將大量資料傳送到 KMS。透明加密 (A) 是由平台自動處理的加密（如 Google default encryption）。客戶端加密 (C) 是在上傳前自行加密，但不特指這種雙層金鑰結構。雙重加密 (D) 不是標準術語。

VPC Service Controls 建立安全邊界，限制 GCP 服務的資料只能在邊界內流動，防止資料被複製或匯出到邊界外部。VPC 防火牆 (A) 控制的是網路層流量，無法阻止 API 層級的資料匯出。Cloud DLP (C) 用於識別和遮罩敏感資料，但不阻止匯出。Binary Authorization (D) 用於確保只有受信任的容器映像能部署到 GKE。

Admin Activity 審計日誌記錄所有修改資源設定或中繼資料的 API 呼叫，包括 IAM 政策變更。此日誌預設啟用且免費，不可停用。Data Access (A) 記錄讀取資源資料的操作（如讀取 Cloud Storage 物件）。System Event (C) 記錄 Google 系統自動產生的事件。Policy Denied (D) 記錄因安全政策被拒絕的存取。

VPC 防火牆規則按優先級數字評估，數字越小優先級越高。規則 B（優先級 900）比規則 A（優先級 1000）先被評估，且規則 B 拒絕所有流量，所以 HTTPS 請求會被拒絕。GCP 不會提示衝突 (C)，規則按優先級順序評估。HTTPS 沒有預設允許 (D)。

Workload Identity 是 GKE 中存取 GCP 服務的建議方式，它將 Kubernetes 服務帳戶 (KSA) 與 GCP 服務帳戶 (GSA) 綁定，Pod 可以直接以 GSA 身分呼叫 GCP API，不需要金鑰。Kubernetes Secret (A) 仍然需要管理金鑰。節點的預設服務帳戶 (C) 違反最小權限原則，所有 Pod 共享同一個身分。ConfigMap (D) 不應用來存放認證資訊，且不加密。