12月 21, 2025
35 分で読める

シニア GCP クラウドエンジニア面接質問と回答

interview
career-advice
job-search
シニア GCP クラウドエンジニア面接質問と回答
Milad Bonakdar

Milad Bonakdar

著者

GCPシニア面接に向けて、アーキテクチャ、GKE、Cloud Run、IAM、コスト、BigQuery、信頼性の質問を実践的に確認します。

はじめに

シニア GCP クラウドエンジニアの面接では、Google Cloud サービス名を知っているかよりも、本番環境の判断を説明できるかが見られます。GKE、Cloud Run、Cloud SQL、Spanner、Shared VPC、IAM 管理、コストのガードレールを、具体的なワークロードに合わせて説明できるようにしておきましょう。

各回答では、要件を確認し、設計判断を述べ、リスクを示し、本番運用でどう守るかまで話すとシニアらしい答えになります。

アーキテクチャと設計

1. GCP上に高可用性アプリケーションを設計してください。

回答: 冗長性とスケーラビリティを備えた、本番環境に対応可能なアーキテクチャ:

Loading diagram...

主要コンポーネント:

# マネージドインスタンスグループを自動スケーリングで作成
gcloud compute instance-groups managed create my-mig \
  --base-instance-name=my-app \
  --template=my-template \
  --size=3 \
  --zone=us-central1-a

# 自動スケーリングを構成
gcloud compute instance-groups managed set-autoscaling my-mig \
  --max-num-replicas=10 \
  --min-num-replicas=3 \
  --target-cpu-utilization=0.7 \
  --cool-down-period=90

# ロードバランサーを作成
gcloud compute backend-services create my-backend \
  --protocol=HTTP \
  --health-checks=my-health-check \
  --global

# インスタンスグループをバックエンドに追加
gcloud compute backend-services add-backend my-backend \
  --instance-group=my-mig \
  --instance-group-zone=us-central1-a \
  --global

設計原則:

  • マルチゾーンデプロイメント
  • メトリクスに基づいた自動スケーリング
  • データベース向けのマネージドサービス
  • 静的コンテンツ向けのCDN
  • ヘルスチェックとモニタリング

希少性: 非常に一般的 難易度: 難しい

Google Kubernetes Engine(GKE)

2. GKE上でアプリケーションをデプロイおよび管理する方法を教えてください。

回答: GKEは、GoogleのマネージドKubernetesサービスです。

デプロイメントプロセス:

# GKEクラスタを作成
gcloud container clusters create my-cluster \
  --num-nodes=3 \
  --machine-type=e2-medium \
  --zone=us-central1-a \
  --enable-autoscaling \
  --min-nodes=3 \
  --max-nodes=10

# 認証情報を取得
gcloud container clusters get-credentials my-cluster \
  --zone=us-central1-a

# アプリケーションをデプロイ
kubectl apply -f - <<EOF
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myapp
spec:
  replicas: 3
  selector:
    matchLabels:
      app: myapp
  template:
    metadata:
      labels:
        app: myapp
    spec:
      containers:
      - name: myapp
        image: gcr.io/my-project/myapp:v1
        ports:
        - containerPort: 8080
        resources:
          requests:
            cpu: 100m
            memory: 128Mi
          limits:
            cpu: 500m
            memory: 512Mi
---
apiVersion: v1
kind: Service
metadata:
  name: myapp-service
spec:
  type: LoadBalancer
  selector:
    app: myapp
  ports:
  - port: 80
    targetPort: 8080
EOF

面接で触れたい GKE 機能:

  • コントロールプレーンとノードの可用性を高めるリージョナルクラスタ
  • Cluster autoscaling と Horizontal Pod Autoscaling
  • 長期サービスアカウントキーではなく Workload Identity Federation for GKE を使う設計
  • サプライチェーン管理のための Binary Authorization とイメージスキャン
  • Cloud Logging、Cloud Monitoring、SLO、アラート

希少性: 非常に一般的 難易度: 難しい

サーバーレスと高度なサービス

3. Cloud FunctionsとCloud Runをいつ使用しますか?

回答: どの運用責任を持つ必要があるかで選びます。良い回答では、トリガー、パッケージング、ランタイム制御、スケーリング、運用負荷を比較します。

Cloud Functions:

  • Pub/Sub、Cloud Storage、Eventarc、単純な HTTP の小さなイベントハンドラに向く
  • インフラ管理の面が小さい
  • カスタムコンテナが不要で、関数単位でデプロイしたい場合に向く
  • コンテナサービスよりランタイム形状の自由度は低い

Cloud Run:

  • コンテナ化された HTTP サービス、API、ワーカー、イベント駆動サービスに向く
  • 依存関係、並行処理、CPU 割り当て、起動動作、トラフィック分割を制御しやすい
  • ゼロスケールでき、低レイテンシが必要な経路では最小インスタンスも使える
  • 可搬性、カスタムランタイム、サービス単位の責任が必要なら多くの場合こちらが適している
# Cloud Functionの例
def hello_pubsub(event, context):
    """Pub/Subメッセージによってトリガーされます"""
    import base64
    
    if 'data' in event:
        message = base64.b64decode(event['data']).decode('utf-8')
        print(f'Received message: {message}')
        
        # メッセージを処理
        process_data(message)
# Cloud Functionをデプロイ
gcloud functions deploy hello_pubsub \
  --runtime=python312 \
  --trigger-topic=my-topic \
  --entry-point=hello_pubsub

# Cloud Runをデプロイ
gcloud run deploy myapp \
  --image=gcr.io/my-project/myapp:v1 \
  --region=us-central1 \
  --allow-unauthenticated

希少性: 一般的 難易度: 普通

高度なネットワーキング

4. Shared VPCについて説明し、いつ使用するかを説明してください。

回答: Shared VPCを使用すると、複数のプロジェクトが共通のVPCネットワークを共有できます。

利点:

  • 集中化されたネットワーク管理
  • プロジェクト間でのリソース共有
  • 簡素化された請求
  • 一貫したセキュリティポリシー

アーキテクチャ:

Loading diagram...
# ホストプロジェクトでShared VPCを有効にする
gcloud compute shared-vpc enable my-host-project

# サービスプロジェクトをアタッチ
gcloud compute shared-vpc associated-projects add my-service-project \
  --host-project=my-host-project

# 権限を付与
gcloud projects add-iam-policy-binding my-host-project \
  --member=serviceAccount:[email protected] \
  --role=roles/compute.networkUser

ユースケース:

  • 大規模な組織
  • 複数チームの環境
  • 集中化されたネットワーク管理
  • コンプライアンス要件

希少性: 一般的 難易度: 普通~難しい

コスト最適化

5. GCPのコストを最適化するにはどうすればよいですか?

回答: コスト最適化戦略:

1. 適切なサイジング:

# Recommender APIを使用
gcloud recommender recommendations list \
  --project=my-project \
  --location=us-central1 \
  --recommender=google.compute.instance.MachineTypeRecommender

2. 確約利用割引:

  • 予測可能なワークロードには 1 年または 3 年の確約を検討する
  • 支出パターンには柔軟な確約、特定の Compute 利用にはリソースベースの確約を使い分ける
  • 無駄なサイズを固定しないよう、必ず適切なサイジングと組み合わせる

3. Spot VM:

# 中断可能な処理向けに Spot VM を作成
gcloud compute instances create my-spot-vm \
  --provisioning-model=SPOT \
  --machine-type=e2-medium

4. ストレージのライフサイクル:

# ライフサイクルポリシーを設定
gsutil lifecycle set lifecycle.json gs://my-bucket

# lifecycle.json
{
  "lifecycle": {
    "rule": [
      {
        "action": {"type": "SetStorageClass", "storageClass": "NEARLINE"},
        "condition": {"age": 30}
      },
      {
        "action": {"type": "Delete"},
        "condition": {"age": 365}
      }
    ]
  }
}

5. モニタリング:

  • Cloud Billingレポート
  • 予算アラート
  • サービス/プロジェクト別のコスト内訳

希少性: 非常に一般的 難易度: 普通

セキュリティ

6. GCPでセキュリティのベストプラクティスを実装するにはどうすればよいですか?

回答: アイデンティティを起点に、露出を減らす private networking、機密データの暗号化、ログと Security Command Center による継続的な検知を組み合わせます。

1. IAMのベストプラクティス:

# 最小限の権限を持つサービスアカウントを使用
gcloud iam service-accounts create my-app-sa \
  --display-name="My App Service Account"

# 特定のロールを付与
gcloud projects add-iam-policy-binding my-project \
  --member=serviceAccount:[email protected] \
  --role=roles/storage.objectViewer \
  --condition='expression=resource.name.startsWith("projects/_/buckets/my-bucket"),title=bucket-access'

面接では、本番環境で基本ロールを避けること、人間とワークロードの ID を分けること、短期認証情報と Workload Identity Federation を優先すること、IAM バインディングを定期的に見直すことも伝えましょう。

2. VPCセキュリティ:

  • 限定公開の Google アクセス
  • VPC Service Controls
  • DDoS防御のためのCloud Armor

3. データの暗号化:

# お客様管理の暗号鍵
gcloud kms keyrings create my-keyring \
  --location=global

gcloud kms keys create my-key \
  --location=global \
  --keyring=my-keyring \
  --purpose=encryption

# Cloud Storageで使用
gsutil -o 'GSUtil:encryption_key=...' cp file.txt gs://my-bucket/

4. モニタリング:

  • Cloud Audit Logs
  • Security Command Center
  • Cloud LoggingとMonitoring

希少性: 非常に一般的 難易度: 難しい

データ分析

7. 大規模分析のためにBigQueryを設計および最適化するにはどうすればよいですか?

回答: BigQueryは、Googleのサーバーレスで高度にスケーラブルなデータウェアハウスです。

アーキテクチャ:

  • カラムナストレージ
  • 自動スケーリング
  • SQLインターフェース
  • ペタバイトスケール
  • クエリごとの支払い

テーブル設計:

-- パーティション分割されたテーブルを作成
CREATE TABLE mydataset.events
(
  event_id STRING,
  user_id STRING,
  event_type STRING,
  event_data JSON,
  event_timestamp TIMESTAMP
)
PARTITION BY DATE(event_timestamp)
CLUSTER BY user_id, event_type
OPTIONS(
  partition_expiration_days=90,
  require_partition_filter=true
);

-- マテリアライズドビューを作成
CREATE MATERIALIZED VIEW mydataset.daily_summary
AS
SELECT
  DATE(event_timestamp) as event_date,
  event_type,
  COUNT(*) as event_count,
  COUNT(DISTINCT user_id) as unique_users
FROM mydataset.events
GROUP BY event_date, event_type;

最適化戦略:

1. パーティショニング:

-- 時間ベースのパーティショニング
CREATE TABLE mydataset.sales
PARTITION BY DATE(sale_date)
AS SELECT * FROM source_table;

-- 整数範囲パーティショニング
CREATE TABLE mydataset.user_data
PARTITION BY RANGE_BUCKET(user_id, GENERATE_ARRAY(0, 1000000, 10000))
AS SELECT * FROM source_table;

-- パーティションフィルタを使用したクエリ (費用対効果が高い)
SELECT *
FROM mydataset.events
WHERE DATE(event_timestamp) BETWEEN '2024-01-01' AND '2024-01-31'
  AND event_type = 'purchase';

2. クラスタリング:

-- 頻繁にフィルタリングされる列でクラスタリング
CREATE TABLE mydataset.logs
PARTITION BY DATE(log_timestamp)
CLUSTER BY user_id, region, status
AS SELECT * FROM source_logs;

-- クエリはクラスタリングの恩恵を受ける
SELECT *
FROM mydataset.logs
WHERE DATE(log_timestamp) = '2024-11-26'
  AND user_id = '12345'
  AND region = 'us-east1';

3. クエリの最適化:

-- 悪い例: SELECT * (すべての列をスキャン)
SELECT * FROM mydataset.large_table;

-- 良い例: 特定の列を選択
SELECT user_id, event_type, event_timestamp
FROM mydataset.large_table;

-- 大規模データセットには概算集計を使用
SELECT APPROX_COUNT_DISTINCT(user_id) as unique_users
FROM mydataset.events;

-- 自己結合を避け、ウィンドウ関数を使用
SELECT
  user_id,
  event_timestamp,
  LAG(event_timestamp) OVER (PARTITION BY user_id ORDER BY event_timestamp) as prev_event
FROM mydataset.events;

4. コスト管理:

# 最大課金バイト数を設定
bq query \
  --maximum_bytes_billed=1000000000 \
  --use_legacy_sql=false \
  'SELECT COUNT(*) FROM mydataset.large_table'

# コストを見積もるためのドライラン
bq query \
  --dry_run \
  --use_legacy_sql=false \
  'SELECT * FROM mydataset.large_table'

データのロード:

# Cloud Storageからロード
bq load \
  --source_format=NEWLINE_DELIMITED_JSON \
  --autodetect \
  mydataset.mytable \
  gs://mybucket/data/*.json

# スキーマを使用してロード
bq load \
  --source_format=CSV \
  --skip_leading_rows=1 \
  mydataset.mytable \
  gs://mybucket/data.csv \
  schema.json

# ストリーミングインサート (リアルタイム)
from google.cloud import bigquery

client = bigquery.Client()
table_id = "my-project.mydataset.mytable"

rows_to_insert = [
    {"user_id": "123", "event_type": "click", "timestamp": "2024-11-26T10:00:00"},
    {"user_id": "456", "event_type": "purchase", "timestamp": "2024-11-26T10:05:00"},
]

errors = client.insert_rows_json(table_id, rows_to_insert)
if errors:
    print(f"Errors: {errors}")

ベストプラクティス:

  • 常にパーティションフィルタを使用
  • カーディナリティの高い列でクラスタリング
  • SELECT * を避ける
  • 大規模データセットには概算関数を使用
  • クエリコストを監視
  • 繰り返しクエリにはマテリアライズドビューを使用
  • 適切にデータを非正規化

希少性: 非常に一般的 難易度: 難しい

高度なデータベースサービス

8. Cloud SpannerとCloud SQLをいつ使用しますか?

回答: スケール、整合性、および地理的な要件に基づいて選択します。

Cloud Spanner:

  • グローバルに分散されたリレーショナルデータベース
  • 水平スケーリング(無制限)
  • リージョン間で強力な整合性
  • 99.999%の可用性 SLA
  • より高いコスト

Cloud SQL:

  • リージョンマネージドデータベース(MySQL、PostgreSQL、SQL Server)
  • 垂直スケーリング(制限付き)
  • 単一リージョン(リードレプリカ付き)
  • 99.95%の可用性 SLA
  • より低いコスト

比較:

特徴Cloud SpannerCloud SQL
スケールペタバイトテラバイト
整合性グローバルに強力リージョン
可用性99.999%99.95%
レイテンシグローバルで1桁ミリ秒低い(リージョン)
コスト高い中程度
ユースケースグローバルアプリ、金融システムリージョンアプリ、従来のワークロード

Cloud Spannerの例:

-- Spannerインスタンスを作成
gcloud spanner instances create my-instance \
  --config=regional-us-central1 \
  --nodes=3 \
  --description="Production instance"

-- データベースを作成
gcloud spanner databases create my-database \
  --instance=my-instance \
  --ddl='CREATE TABLE Users (
    UserId INT64 NOT NULL,
    Username STRING(100),
    Email STRING(255),
    CreatedAt TIMESTAMP
  ) PRIMARY KEY (UserId)'

-- データを挿入
gcloud spanner databases execute-sql my-database \
  --instance=my-instance \
  --sql="INSERT INTO Users (UserId, Username, Email, CreatedAt)
        VALUES (1, 'alice', '[email protected]', CURRENT_TIMESTAMP())"

-- 強力な整合性を持つクエリ
gcloud spanner databases execute-sql my-database \
  --instance=my-instance \
  --sql="SELECT * FROM Users WHERE UserId = 1"

Pythonクライアント:

from google.cloud import spanner

# クライアントを作成
spanner_client = spanner.Client()
instance = spanner_client.instance('my-instance')
database = instance.database('my-database')

# 強力な整合性で読み取り
def read_user(user_id):
    with database.snapshot() as snapshot:
        results = snapshot.execute_sql(
            "SELECT UserId, Username, Email FROM Users WHERE UserId = @user_id",
            params={"user_id": user_id},
            param_types={"user_id": spanner.param_types.INT64}
        )
        for row in results:
            print(f"User: {row[0]}, {row[1]}, {row[2]}")

# トランザクションで書き込み
def create_user(user_id, username, email):
    def insert_user(transaction):
        transaction.execute_update(
            "INSERT INTO Users (UserId, Username, Email, CreatedAt) "
            "VALUES (@user_id, @username, @email, CURRENT_TIMESTAMP())",
            params={
                "user_id": user_id,
                "username": username,
                "email": email
            },
            param_types={
                "user_id": spanner.param_types.INT64,
                "username": spanner.param_types.STRING,
                "email": spanner.param_types.STRING
            }
        )
    
    database.run_in_transaction(insert_user)

Cloud SQLの例:

# Cloud SQLインスタンスを作成
gcloud sql instances create my-instance \
  --database-version=POSTGRES_14 \
  --tier=db-n1-standard-2 \
  --region=us-central1 \
  --root-password=mypassword

# データベースを作成
gcloud sql databases create mydatabase \
  --instance=my-instance

# 接続
gcloud sql connect my-instance --user=postgres

# リードレプリカを作成
gcloud sql instances create my-replica \
  --master-instance-name=my-instance \
  --tier=db-n1-standard-1 \
  --region=us-east1

いつ使用するか:

Cloud Spannerは次の場合に使用します:

  • グローバルな分散が必要な場合
  • リージョン間で強力な整合性が必要な場合
  • 単一リージョンを超えてスケールする場合
  • 金融取引
  • ミッションクリティカルなアプリケーション
  • 予算がより高いコストを許容する場合

Cloud SQLは次の場合に使用します:

  • リージョンアプリケーション
  • MySQL/PostgreSQLに慣れている
  • コスト重視
  • 中程度のスケール(10TB未満)
  • 既存のSQLワークロード
  • グローバルな整合性が必要ない

希少性: 一般的 難易度: 普通~難しい

セキュリティとコンプライアンス

9. VPC Service Controlsを実装するにはどうすればよいですか?

回答: VPC Service Controlsは、GCPリソースの周囲にセキュリティ境界を作成し、データ流出を防ぎます。

主な概念:

  • サービス境界: リソースの周囲の境界
  • アクセスレベル: アクセスの条件
  • イングレス/イーグレスルール: データフローを制御

アーキテクチャ:

Loading diagram...

セットアップ:

# アクセスポリシーを作成
gcloud access-context-manager policies create \
  --organization=123456789 \
  --title="Production Policy"

# アクセスレベルを作成
gcloud access-context-manager levels create CorpNetwork \
  --policy=accessPolicies/123456789 \
  --title="Corporate Network" \
  --basic-level-spec=access_level.yaml

# access_level.yaml
conditions:
  - ipSubnetworks:
    - 203.0.113.0/24  # 企業IP範囲
  - members:
    - user:[email protected]

サービス境界を作成:

# 境界を作成
gcloud access-context-manager perimeters create production_perimeter \
  --policy=accessPolicies/123456789 \
  --title="Production Perimeter" \
  --resources=projects/123456789012 \
  --restricted-services=storage.googleapis.com,bigquery.googleapis.com \
  --access-levels=accessPolicies/123456789/accessLevels/CorpNetwork

# プロジェクトを境界に追加
gcloud access-context-manager perimeters update production_perimeter \
  --policy=accessPolicies/123456789 \
  --add-resources=projects/987654321098

イングレス/イーグレスルール:

# ingress_rule.yaml
ingressPolicies:
  - ingressFrom:
      sources:
        - accessLevel: accessPolicies/123456789/accessLevels/CorpNetwork
      identities:
        - serviceAccount:[email protected]
    ingressTo:
      resources:
        - '*'
      operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: '*'

# イングレスルールを適用
gcloud access-context-manager perimeters update production_perimeter \
  --policy=accessPolicies/123456789 \
  --set-ingress-policies=ingress_rule.yaml

イーグレスルール:

# egress_rule.yaml
egressPolicies:
  - egressFrom:
      identities:
        - serviceAccount:[email protected]
    egressTo:
      resources:
        - projects/external-project-id
      operations:
        - serviceName: storage.googleapis.com
          methodSelectors:
            - method: 'google.storage.objects.create'

# イーグレスルールを適用
gcloud access-context-manager perimeters update production_perimeter \
  --policy=accessPolicies/123456789 \
  --set-egress-policies=egress_rule.yaml

サポートされているサービス:

  • Cloud Storage
  • BigQuery
  • Cloud SQL
  • Compute Engine
  • GKE
  • Cloud Functions
  • その他多数

テスト:

# 境界内からのアクセスをテスト
from google.cloud import storage

def test_access():
    try:
        client = storage.Client()
        bucket = client.bucket('my-protected-bucket')
        blobs = list(bucket.list_blobs())
        print(f"Access granted: {len(blobs)} objects")
    except Exception as e:
        print(f"Access denied: {e}")

# 承認されたネットワークからは成功します
# 承認されていないネットワークからは失敗します
test_access()

モニタリング:

# VPC SCログを表示
gcloud logging read \
  'protoPayload.metadata.@type="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"' \
  --limit=50 \
  --format=json

ユースケース:

  • データ流出の防止
  • コンプライアンス要件 (HIPAA, PCI-DSS)
  • 機密データの保護
  • 本番環境の隔離
  • マルチテナントセキュリティ

ベストプラクティス:

  • ドライランモードから開始
  • 施行前に徹底的にテスト
  • きめ細かい制御のためにアクセスレベルを使用
  • VPC SCログを監視
  • 境界の境界を文書化
  • 定期的なアクセスレビュー

希少性: まれ 難易度: 難しい

結論

上級GCPクラウドエンジニアの面接には、深い技術知識と実践的な経験が必要です。以下に焦点を当ててください。

  1. アーキテクチャ: 高可用性、スケーラビリティ、ディザスタリカバリ
  2. GKE: コンテナオーケストレーション、デプロイメント戦略
  3. サーバーレス: Cloud Functions、Cloud Runのユースケース
  4. ネットワーキング: Shared VPC、ハイブリッド接続
  5. コスト最適化: 適切なサイジング、確約利用、ライフサイクルポリシー
  6. セキュリティ: IAM、暗号化、VPCコントロール

可能なら、インシデント、移行、コストレビュー、信頼性改善など自分が扱った経験に結びつけて答えましょう。サービス名の羅列より説得力があります。

Newsletter subscription

実際に機能する週次のキャリアのヒント

最新の洞察をメールボックスに直接お届けします

関連投稿

Senior AWS Cloud Engineer 面接質問と回答
12月 21, 2025
36 分で読める

Senior AWS Cloud Engineer 面接質問と回答

Senior AWS Cloud Engineer の面接対策として、アーキテクチャ、ネットワーク、Auto Scaling、Lambda、コスト最適化、IAM セキュリティ、RDS、本番トラブルシューティングを実践的に確認します。

Milad BonakdarMilad Bonakdar
シニアシステム管理者の面接質問と回答
12月 21, 2025
39 分で読める

シニアシステム管理者の面接質問と回答

Linux、Windows、Active Directory、自動化、セキュリティ強化、監視、バックアップ、障害対応を中心に、シニアSysadmin面接で問われやすい実践的な質問を確認できます。

Milad BonakdarMilad Bonakdar
シニア Azure クラウドエンジニア面接質問:実務シナリオ別ガイド
12月 21, 2025
37 分で読める

シニア Azure クラウドエンジニア面接質問:実務シナリオ別ガイド

マルチリージョン設計、ExpressRoute、AKS、Bicep、コスト最適化、クラウドセキュリティを問う実務シナリオで、シニア Azure 面接に備えます。

Milad BonakdarMilad Bonakdar

採用率を60%向上させる履歴書を作成

数分で、6倍の面接を獲得することが証明された、ATS対応のカスタマイズされた履歴書を作成します。

より良い履歴書を作成

この投稿を共有

履歴書作成時間を90%短縮

平均的な求職者は履歴書のフォーマットに3時間以上費やしています。当社のAIは15分以内で完成させ、応募段階に12倍速く到達できます。

15分で作成