Um mapa de estudos desenhado para profissionais sobrecarregados. Esqueça as montanhas de PDFs confusos. Acesse resumos texturizados, mapas de arquitetura e simulados direto ao ponto.
🎯Foco ProdutivoExercícios práticos de 15 minutos
⚡Ancoragem VisualResumos limpos e direto ao ponto
🛡️Zero DecorebaFocado nos pilares oficiais do exame
👇 Escolha uma unidade abaixo e execute sua primeira descarga cognitiva de hoje!
Conteúdo detalhado do Capítulo 1 — Section 1 completa
Esta seção cobre todos os itens exigidos em Section 1: Setting up a cloud solution environment.
🏢 Hierarquia de Recursos
Conceito objetivo: Organização > Pastas > Projetos > Recursos. A Organização é o nó raiz; Pastas agrupam áreas e ambientes; Projetos contêm os recursos finais.
Função: Organizar recursos, aplicar herança de IAM e Organization Policies, separar ambientes e controlar ownership.
Como usar:
Crie a Organization via Cloud Identity/Workspace, use Folders por departamento/ambiente e Projects por aplicação/time.
Palavra-chave: Árvore
🧱 Organization Policies
Conceito objetivo: Constraints aplicadas na hierarquia para permitir ou restringir configurações de recursos.
Função: Impor governança preventiva acima do IAM, como limitar regiões ou bloquear IP externo em VMs.
Como usar:
Aplique constraints na Organization ou Folder; teste em dev; documente exceções.
Palavra-chave: Guardrail
🔐 IAM roles within projects
Conceito objetivo: IAM controla autorização usando Principal + Role + Resource.
Função: Conceder acesso correto aos recursos e aplicar menor privilégio.
Como usar:
Conceda roles a grupos do Cloud Identity; evite usuários individuais e Owner desnecessário.
Palavra-chave: Quem-Faz-O-Quê
👥 Cloud Identity users/groups
Conceito objetivo: Diretório corporativo para usuários, grupos e domínio.
Função: Gerenciar usuários e grupos manualmente ou por sincronização automatizada.
Como usar:
Verifique domínio, crie grupos e sincronize diretórios quando necessário.
Palavra-chave: Diretório
🔌 Enable APIs in projects
Conceito objetivo: Cada serviço depende de APIs habilitadas no projeto.
Função: Permitir que serviços sejam usados e evitar falhas ao criar recursos.
Como usar:
Habilite APIs necessárias com gcloud, Terraform ou pipeline.
Palavra-chave: Interruptor
📈 Google Cloud Observability
Conceito objetivo: Monitoring, Logging, dashboards, alertas, uptime checks e sinks.
Função: Monitorar saúde, métricas, logs, disponibilidade e incidentes.
Como usar:
Configure dashboards, alerting policies, canais, uptime checks e sinks.
Palavra-chave: Radar
📊 Quotas + request increases
Conceito objetivo: Limites de consumo por projeto, região, serviço ou recurso.
Função: Evitar consumo acidental e planejar capacidade antes de escala.
Como usar:
Avalie quotas e solicite aumento antes de grandes deploys.
Palavra-chave: Teto
🏝️ Standalone organizations
Conceito objetivo: Organizações separadas por domínio/Cloud Identity distinto.
Função: Isolar entidades com governança, IAM e billing próprios.
Como usar:
Use quando há separação administrativa/legal real.
Comandos que aparecem em cenários de acesso e governança.
gcloud auth loginAutorizar acesso com credenciais de usuário.
gcloud auth listListar contas credenciadas.
gcloud auth revoke ACCOUNTRemover credenciais de uma conta.
gcloud projects describe PROJECT_IDExibir metadados do projeto.
gcloud projects add-iam-policy-binding PROJECT_ID --member=MEMBER --role=ROLEAdicionar binding IAM ao projeto.
🧹 Flags globais e limpeza de saída
Obrigatório saber ler, filtrar e formatar resultados.
--helpAjuda do comando.
--project=PROJECT_IDExecutar em projeto diferente do atual.
--quietDesabilitar prompts interativos.
--verbosity=debug|info|warning|error|critical|noneControlar nível de log.
--format=json|yaml|table|value|textControlar formato de saída.
gcloud compute instances list --filter='labels.my-label:*' --limit=10Filtrar e limitar resultados.
gcloud projects list --format='table(projectNumber,projectId,createTime)' --sort-by=createTimeFormatar e ordenar listagens.
Como estudar para a prova:
Não decore apenas o comando. Saiba identificar o verbo operacional — list, describe, create, deploy, add-iam-policy-binding, get-credentials, snapshot, export — e associe cada comando ao cenário cobrado.
Labs práticos
Exercícios práticos de Lab — Capítulo 1
Section 1 — Setting Up a Cloud Solution Environment. Labs focados na fundação do ambiente: hierarquia, Organization Policies, APIs, Cloud Identity, quotas, observabilidade inicial e billing.
⚡ 3 labs🧪 Prática de Console/CLI🎯 Foco ACE
Lab 1.1
Lab 1.1 — Hierarquia, Org Policy e Cloud Asset Inventory
Liste sua organização: gcloud organizations list. Se não tiver org, explore a hierarquia via Console → Resource Manager.
Crie um projeto: gcloud projects create ace-lab-[SEUID] --name='ACE Lab'. Descreva-o: gcloud projects describe ace-lab-[SEUID]. Anote o projectNumber.
No Console, acesse IAM & Admin → Organization Policies. Explore os constraints disponíveis. Leia a descrição de compute.vmExternalIpAccess.
Verifique zonas disponíveis: gcloud compute zones list --filter='region:us-central1'. Liste regiões com GPUs disponíveis: gcloud compute accelerator-types list.
💡 Cloud Asset Inventory requer a API habilitada. O exame testa que você sabe que existe e para que serve — inventário centralizado de todos os resources e IAM policies da organização.
Lab 1.2
Lab 1.2 — Cloud Identity, APIs e Workforce Identity Federation
Verifique APIs habilitadas no projeto: gcloud services list --enabled. Habilite as principais: gcloud services enable compute.googleapis.com container.googleapis.com run.googleapis.com sqladmin.googleapis.com cloudasset.googleapis.com
Explore Cloud Identity: acesse admin.google.com (se tiver acesso organizacional). Veja a lista de usuários e grupos. Identifique como adicionar um usuário manualmente.
Quotas: Console → IAM & Admin → Quotas. Filtre por 'CPUs' e região 'us-central1'. Veja o valor atual e o link 'Request increase'.
Explore Workforce Identity Federation: Console → IAM & Admin → Workforce Identity Federation → Create Pool. Explore as opções de Provider (OIDC e SAML). Não precisa completar — apenas observe a estrutura.
Cloud Observability: Console → Monitoring. Veja as métricas automáticas de um projeto com recursos. Anote quais métricas aparecem sem Ops Agent vs. quais requerem o agent.
💡 O exame frequentemente pergunta: 'Como autenticar funcionários que usam Azure AD no GCP sem criar contas Cloud Identity?' → Workforce Identity Federation com provider OIDC/SAML.
Lab 1.3
Lab 1.3 — Billing Account, Budget Alert e Export
Liste billing accounts: gcloud billing accounts list. Vincule seu projeto: gcloud billing projects link ace-lab-[SEUID] --billing-account=[BILLING_ID]
Console → Billing → Budgets & Alerts → Create Budget. Configure: scope = projeto de lab, amount = $5. Adicione thresholds: 50%, 90%, 100%. Adicione notificação via email.
Explore Billing Export: Console → Billing → Billing Export. Veja as opções BigQuery e Cloud Storage. Leia os campos necessários (projeto, dataset). Não precisa completar se não tiver dataset pronto.
Crie um dataset BigQuery para o export: bq mk --dataset billing_export. Volte ao Console e habilite o BigQuery export para esse dataset.
Explore roles de billing: Console → Billing → Manage Billing Accounts → selecione a conta → Account Management. Veja os roles disponíveis (billing.admin, billing.viewer, etc).
💡 Memorize: Budget = notificação. Jamais = bloqueio automático. Esta distinção aparece em pelo menos 2-3 questões do exame ACE.
Um novo departamento foi criado. Você precisa garantir que todos os projetos desse departamento herdem políticas específicas. Onde aplicar? (Variação de cenário 1)
Gabarito: B. Folders (Pastas) são usadas para isolar departamentos e aplicar políticas organizacionais (IAM) herdadas para os projetos dentro dela.
Questão 2 — Configuração do gcloud - Q2
Qual comando você deve usar para inicializar o SDK e autenticar seu usuário no Google Cloud CLI? (Variação de cenário 2)
Gabarito: B. 'gcloud init' autentica, configura o projeto padrão e a região/zona inicial, sendo o passo inicial ideal.
Questão 3 — Alertas de Orçamento - Q3
Sua startup quer ser alertada no Slack quando a fatura passar de R$ 1.000. O que usar? (Variação de cenário 3)
Gabarito: B. Budgets no Billing podem publicar mensagens no Pub/Sub, que por sua vez pode acionar uma Cloud Function para enviar ao Slack.
Questão 4 — Cloud Identity - Q4
Como você sincroniza os usuários do Microsoft Active Directory local para o Google Cloud sem sincronizar senhas? (Variação de cenário 4)
Gabarito: A. GCDS sincroniza usuários e grupos do AD (LDAP) para o Cloud Identity sem a necessidade de sincronizar senhas ou migrar e-mails.
Questão 5 — Papéis do IAM - Q5
Qual é o papel (role) primitivo que permite ler todos os recursos de um projeto, mas não permite modificá-los? (Variação de cenário 5)
Gabarito: A. O Primitive Role 'roles/viewer' (Visualizador) concede acesso de leitura geral a quase todos os recursos de um projeto.
Questão 6 — Contas de Serviço - Q6
O que você deve usar para autenticar uma aplicação rodando em uma VM do Compute Engine que acessa o Storage? (Variação de cenário 6)
Gabarito: B. Service Accounts são projetadas para aplicações e são a forma recomendada de dar acesso a recursos GCP a partir do Compute Engine.
Questão 7 — Aumentos de Cota - Q7
Seu projeto atingiu o limite de CPUs na região us-central1. O que você deve fazer no console? (Variação de cenário 7)
Gabarito: C. A página de Quotas permite monitorar os limites atuais e editar a cota solicitando um aumento direto ao suporte do GCP.
Questão 8 — Organization Policy — restrição de IP público
A equipe de segurança quer impedir a criação de VMs com IP externo em todos os projetos de produção, mesmo que alguém tenha permissões amplas no projeto. Qual recurso atende melhor esse requisito?
Gabarito: B. Organization Policy é o guardrail correto para restringir configuração de recursos de forma preventiva e herdável. Firewall controla tráfego, não impede a criação da VM com IP externo.
Questão 9 — Enable APIs — serviço indisponível
Um projeto novo foi criado e o usuário tem permissão para criar VMs, mas a criação falha informando que o serviço Compute Engine não está habilitado. O que deve ser feito primeiro?
Gabarito: B. Serviços do Google Cloud dependem de APIs habilitadas no projeto. Sem a API do Compute Engine, a criação de VMs falha mesmo com IAM adequado.
Questão 10 — Cloud Identity — uso de grupos
Uma empresa quer conceder acesso de leitura a vários analistas em diferentes projetos e facilitar a administração quando pessoas entram ou saem do time. Qual prática é mais adequada?
Gabarito: B. A prática recomendada é conceder IAM a grupos, não a usuários individuais. Isso simplifica governança e reduz erro operacional.
Questão 11 — Billing — projeto sem faturamento
Um projeto foi criado corretamente, mas a equipe não consegue criar recursos pagos. A API está habilitada e o IAM está correto. Qual configuração deve ser verificada?
Gabarito: A. Recursos pagos exigem vínculo do projeto com uma conta de faturamento ativa.
Questão 12 — Budgets — controle financeiro
A diretoria quer receber avisos quando os gastos atingirem 50%, 90% e 100% do orçamento mensal. Qual recurso deve ser configurado?
Gabarito: A. Budgets and alerts são usados para alertas financeiros. Por padrão, eles notificam; não bloqueiam automaticamente o consumo.
Questão 13 — Billing Export — análise histórica
A área financeira quer criar dashboards no BigQuery com custos por projeto, serviço e labels ao longo do tempo. Qual configuração atende melhor?
Gabarito: A. Billing export para BigQuery permite análise histórica e detalhada de custos, showback e chargeback.
Questão 14 — Quotas — planejamento de capacidade
Antes de uma campanha, uma equipe percebe que precisará de mais CPUs em uma região específica. Qual ação é mais adequada?
Gabarito: A. Quotas devem ser verificadas e aumentos devem ser solicitados antes de grandes implantações ou picos previstos.
Questão 15 — Hierarquia — separação de ambientes
Uma empresa quer aplicar políticas diferentes para produção e desenvolvimento, mantendo herança e organização. Qual desenho é mais adequado?
Gabarito: B. Pastas permitem agrupar projetos e aplicar IAM/Organization Policies por ambiente ou área.
Questão 16 — Standalone organization
Uma empresa precisa isolar totalmente uma unidade de negócio com domínio, IAM, políticas e faturamento próprios. Qual abordagem representa melhor esse isolamento administrativo?
Gabarito: A. Standalone organizations fazem sentido quando existe separação administrativa ou legal real, com governança própria.
Questão 17 — Disponibilidade por localização
Uma solução precisa usar um produto específico em uma região por requisito de residência de dados. O que deve ser validado antes do desenho final?
Gabarito: A. Nem todos os produtos estão disponíveis em todas as regiões. A disponibilidade por localização deve ser verificada antes da arquitetura final.
Questão 18 — Cloud Asset Inventory — auditoria
Um auditor quer localizar recursos e políticas IAM em vários projetos para identificar exposição pública. Qual serviço é mais adequado?
Gabarito: A. Cloud Asset Inventory permite pesquisar recursos e políticas IAM, ajudando auditoria e inventário.
Questão 19 — Workforce Identity Federation
Consultores externos precisam acessar recursos do Google Cloud usando o provedor de identidade corporativo da empresa, sem criar contas Google individuais para cada consultor. Qual recurso usar?
Gabarito: A. Workforce Identity Federation é voltado para usuários humanos externos federados por IdP SAML/OIDC.
Questão 20 — Labels — organização de custos
A equipe de FinOps quer separar custos por aplicação e ambiente nos relatórios. Qual prática ajuda nessa análise?
Gabarito: A. Labels padronizadas ajudam a organizar custos, relatórios e análises no billing export.
Questão 21 — IAM — permissões aditivas
Um usuário recebe Viewer na organização e Compute Admin em um projeto específico. Qual é o efeito no projeto?
Gabarito: A. IAM allow policies são aditivas; o acesso efetivo é a união das permissões concedidas no escopo aplicável.
Questão 22 — IAM — menor privilégio
Um operador precisa apenas iniciar e parar VMs em um projeto, sem administrar IAM nem billing. Qual abordagem é mais adequada?
Gabarito: B. O princípio de menor privilégio recomenda roles predefinidas específicas, evitando Owner/Editor quando não são necessários.
A empresa só pode criar recursos em regiões aprovadas por compliance. Qual recurso ajuda a impor essa regra preventivamente?
Gabarito: A. Organization Policies podem impor restrições como localidades permitidas para criação de recursos.
Questão 24 — Billing IAM — vínculo de projeto
Um time financeiro deve conseguir vincular projetos a uma Billing Account, mas não administrar todos os recursos técnicos do projeto. Qual conceito é importante?
Gabarito: A. Permissões de faturamento e permissões técnicas devem ser separadas para aplicar menor privilégio.
Questão 25 — Observability — configuração inicial
Uma equipe quer acompanhar disponibilidade e receber alertas quando um serviço ficar indisponível. Qual conjunto de recursos é mais adequado na configuração inicial?
Gabarito: A. Cloud Monitoring fornece uptime checks, políticas de alerta e canais de notificação para observabilidade inicial.
Questão 26 — APIs — automação de foundation
Uma organização cria projetos por pipeline e quer evitar falhas por APIs esquecidas. Qual prática é mais adequada?
Gabarito: A. Automatizar APIs necessárias reduz falhas repetitivas e padroniza a foundation.
Questão 27 — Cloud Asset Inventory — investigação IAM
Você precisa encontrar quais políticas IAM concedem acesso a um domínio externo em projetos da organização. Qual capacidade usar?
Gabarito: A. Cloud Asset Inventory permite pesquisar políticas IAM e apoiar auditorias de acesso.
Questão 28 — Cloud Identity — grupos automatizados
Uma empresa quer sincronizar grupos de um diretório corporativo para usar esses grupos no IAM do Google Cloud. Qual serviço/abordagem é adequada?
Gabarito: A. Cloud Identity pode integrar usuários e grupos corporativos, inclusive por sincronização automatizada.
Questão 29 — Projeto — unidade de isolamento
Por que projetos são normalmente usados para separar aplicações, ambientes ou times no Google Cloud?
Gabarito: A. Projetos são a principal unidade operacional para recursos, APIs, quotas, IAM e vínculo de billing.
Questão 30 — gcloud config — projeto errado
Um administrador executou comandos no projeto errado. Qual comando ajuda a definir explicitamente o projeto padrão da configuração atual?
Gabarito: A. gcloud config set project define o projeto padrão usado pela CLI na configuração ativa.
Questão 31 — Filtros e formatos — auditoria rápida
Você precisa listar recursos ou projetos em formato de tabela e filtrar resultados para auditoria. Qual recurso da CLI é mais útil?
Gabarito: A. Flags de saída e filtragem são essenciais para extrair resultados úteis da CLI.
Questão 32 — Budgets — comportamento padrão
Um budget atingiu 100% do valor configurado. O que acontece por padrão?
Gabarito: A. Budgets alertam por padrão; bloqueios automáticos exigem automação adicional.
Questão 33 — Organization Policy vs IAM
Qual afirmação diferencia corretamente IAM e Organization Policy?
Gabarito: A. IAM responde quem pode fazer o quê; Organization Policy define guardrails de configuração.
Questão 34 — Rede inicial — saída privada
Uma equipe quer que VMs privadas acessem a internet para atualizações sem receber IP público. Qual componente de rede é adequado?
Gabarito: A. Cloud NAT permite egress para recursos privados sem IP externo individual.
Uma política deve valer para todos os projetos da empresa, exceto uma área experimental. Qual desenho reduz exceções e melhora governança?
Gabarito: A. Aplicar políticas no nível correto da hierarquia reduz repetição e facilita exceções controladas.
Questão Extra 1 — Organização do Faturamento - Extra 1
Sua empresa tem 3 filiais independentes que pagam suas contas separadamente. Quais DUAS práticas o GCP recomenda? (Escolha 2) [Teste prático 1]
Gabarito: B, C. Com centros de custo independentes pagando faturas separadas, você deve criar Múltiplas Billing Accounts (uma por filial) e associar os projetos de cada filial à respectiva conta.
Questão Extra 2 — Service Account Keys - Extra 2
Ao lidar com chaves JSON de contas de serviço, quais DUAS atitudes devem ser evitadas? (Escolha 2) [Teste prático 2]
Gabarito: B, C. Chaves nunca devem ser publicadas ou hardcoded. Sempre use ferramentas como Secret Manager ou Workload Identity.
Questão Extra 3 — IAM Básico vs Predefinido - Extra 3
Por que o Google recomenda papéis predefinidos (Predefined roles) em vez de básicos (Primitive)? (Escolha 2) [Teste prático 3]
Gabarito: A, B. Papéis primitivos dão acesso irrestrito a dezenas de APIs. Predefined roles focam na tarefa específica (ex: Compute Network Admin).
Questão Extra 4 — Organização do Faturamento - Extra 4
Sua empresa tem 3 filiais independentes que pagam suas contas separadamente. Quais DUAS práticas o GCP recomenda? (Escolha 2) [Teste prático 4]
Gabarito: B, C. Com centros de custo independentes pagando faturas separadas, você deve criar Múltiplas Billing Accounts (uma por filial) e associar os projetos de cada filial à respectiva conta.
Questão Extra 5 — Service Account Keys - Extra 5
Ao lidar com chaves JSON de contas de serviço, quais DUAS atitudes devem ser evitadas? (Escolha 2) [Teste prático 5]
Gabarito: B, C. Chaves nunca devem ser publicadas ou hardcoded. Sempre use ferramentas como Secret Manager ou Workload Identity.
Questão Extra 6 — IAM Básico vs Predefinido - Extra 6
Por que o Google recomenda papéis predefinidos (Predefined roles) em vez de básicos (Primitive)? (Escolha 2) [Teste prático 6]
Gabarito: A, B. Papéis primitivos dão acesso irrestrito a dezenas de APIs. Predefined roles focam na tarefa específica (ex: Compute Network Admin).
Questão Extra 7 — Organização do Faturamento - Extra 7
Sua empresa tem 3 filiais independentes que pagam suas contas separadamente. Quais DUAS práticas o GCP recomenda? (Escolha 2) [Teste prático 7]
Gabarito: B, C. Com centros de custo independentes pagando faturas separadas, você deve criar Múltiplas Billing Accounts (uma por filial) e associar os projetos de cada filial à respectiva conta.
Questão Extra 8 — Service Account Keys - Extra 8
Ao lidar com chaves JSON de contas de serviço, quais DUAS atitudes devem ser evitadas? (Escolha 2) [Teste prático 8]
Gabarito: B, C. Chaves nunca devem ser publicadas ou hardcoded. Sempre use ferramentas como Secret Manager ou Workload Identity.
Questão Extra 9 — IAM Básico vs Predefinido - Extra 9
Por que o Google recomenda papéis predefinidos (Predefined roles) em vez de básicos (Primitive)? (Escolha 2) [Teste prático 9]
Gabarito: A, B. Papéis primitivos dão acesso irrestrito a dezenas de APIs. Predefined roles focam na tarefa específica (ex: Compute Network Admin).
Questão Extra 10 — Organização do Faturamento - Extra 10
Sua empresa tem 3 filiais independentes que pagam suas contas separadamente. Quais DUAS práticas o GCP recomenda? (Escolha 2) [Teste prático 10]
Gabarito: B, C. Com centros de custo independentes pagando faturas separadas, você deve criar Múltiplas Billing Accounts (uma por filial) e associar os projetos de cada filial à respectiva conta.
Questão Extra 11 — Service Account Keys - Extra 11
Ao lidar com chaves JSON de contas de serviço, quais DUAS atitudes devem ser evitadas? (Escolha 2) [Teste prático 11]
Gabarito: B, C. Chaves nunca devem ser publicadas ou hardcoded. Sempre use ferramentas como Secret Manager ou Workload Identity.
Questão Extra 12 — IAM Básico vs Predefinido - Extra 12
Por que o Google recomenda papéis predefinidos (Predefined roles) em vez de básicos (Primitive)? (Escolha 2) [Teste prático 12]
Gabarito: A, B. Papéis primitivos dão acesso irrestrito a dezenas de APIs. Predefined roles focam na tarefa específica (ex: Compute Network Admin).
Questão Extra 13 — Organização do Faturamento - Extra 13
Sua empresa tem 3 filiais independentes que pagam suas contas separadamente. Quais DUAS práticas o GCP recomenda? (Escolha 2) [Teste prático 13]
Gabarito: B, C. Com centros de custo independentes pagando faturas separadas, você deve criar Múltiplas Billing Accounts (uma por filial) e associar os projetos de cada filial à respectiva conta.
Questão Extra 14 — Service Account Keys - Extra 14
Ao lidar com chaves JSON de contas de serviço, quais DUAS atitudes devem ser evitadas? (Escolha 2) [Teste prático 14]
Gabarito: B, C. Chaves nunca devem ser publicadas ou hardcoded. Sempre use ferramentas como Secret Manager ou Workload Identity.
Questão Extra 15 — IAM Básico vs Predefinido - Extra 15
Por que o Google recomenda papéis predefinidos (Predefined roles) em vez de básicos (Primitive)? (Escolha 2) [Teste prático 15]
Gabarito: A, B. Papéis primitivos dão acesso irrestrito a dezenas de APIs. Predefined roles focam na tarefa específica (ex: Compute Network Admin).
Conteúdo
Conteúdo detalhado do Capítulo 2 — Section 2 completa
Esta seção cobre compute, storage/data, networking e tooling para planejar e implementar soluções em Google Cloud.
🧮 2.1 Escolha de compute
Conceito objetivo: Escolha entre Compute Engine, GKE, Cloud Run, Cloud Run functions e Agent Runtime on Gemini Enterprise Agent Platform conforme workload.
Função: Selecionar o serviço de execução mais adequado para VM, contêiner, serverless, eventos ou agentes de IA.
Como usar:
Use Compute Engine para controle de VM, Google Kubernetes Engine (GKE) para orquestração Kubernetes, Cloud Run para contêiner serverless, Cloud Run functions para funções orientadas a eventos e Agent Runtime para agentes.
Palavra-chave: Decisão
Exemplo: API stateless em container usa Cloud Run; plataforma com Kubernetes usa GKE; agente corporativo usa Agent Runtime.
🖥️ 2.1 Launching compute instance
Conceito objetivo: Criação de instância Compute Engine com zona, imagem, tipo de máquina, disco, política de disponibilidade e SSH keys.
Função: Executar workloads em VM com controle de SO, rede, disco e disponibilidade.
Como usar:
Defina machine type, boot disk, zona/região, availability policy, metadata/SSH keys ou OS Login.
Palavra-chave: VM
Exemplo: Criar VM e2-medium para aplicação legada que exige acesso SSH e customização de SO.
💽 2.1 Storage para Compute Engine
Conceito objetivo: Escolha entre zonal Persistent Disk, regional Persistent Disk e Google Cloud Hyperdisk.
Função: Atender requisitos de performance, resiliência e disponibilidade para VMs.
Como usar:
Use zonal PD para custo simples, regional PD para replicação entre zonas e Hyperdisk para performance configurável.
Palavra-chave: Disco
Exemplo: Banco em VM com alta IOPS usa Hyperdisk; app crítico usa regional PD.
📈 2.1 Managed instance group autoscaled
Conceito objetivo: MIG usa instance template para criar VMs gerenciadas e escalar automaticamente.
Função: Garantir alta disponibilidade, autoscaling e recriação automática de instâncias.
Como usar:
Crie instance template, managed instance group, health check e autoscaling policy.
Palavra-chave: Escala
Exemplo: Frontend Compute Engine escala de 2 para 10 VMs quando CPU aumenta.
🔑 2.1 OS Login
Conceito objetivo: OS Login centraliza acesso SSH usando IAM e identidades Google.
Função: Substituir chaves SSH manuais por controle baseado em IAM e auditoria.
Como usar:
Habilite OS Login no projeto ou VM e conceda roles apropriados de OS Login.
Palavra-chave: Login
Exemplo: Equipe de operações acessa VMs por IAM sem gerenciar chaves SSH locais.
🛠️ 2.1 VM Manager
Conceito objetivo: VM Manager ajuda a gerenciar inventário, patches, configuração e conformidade de VMs.
Função: Manter VMs atualizadas e visíveis em escala.
Como usar:
Habilite VM Manager, configure patch jobs e acompanhe inventário do SO.
Palavra-chave: Gestão
Exemplo: Aplicar patches mensais em VMs Linux e Windows de produção.
💸 2.1 Spot VMs e custom machine types
Conceito objetivo: Spot VMs têm custo menor e podem ser preemptadas; custom machine types ajustam vCPU/memória.
Função: Otimizar custo e dimensionamento para workloads tolerantes a interrupção ou requisitos específicos.
Como usar:
Use Spot para jobs batch e custom machine types quando tamanhos padrão não encaixam.
Palavra-chave: Economia
Exemplo: Processamento noturno tolerante a falha usa Spot VMs.
⌨️ 2.1 kubectl CLI
Conceito objetivo: kubectl é a CLI para interagir com clusters Kubernetes/GKE.
Função: Gerenciar clusters, deployments, services, pods e configurações do Kubernetes.
Como usar:
Instale kubectl, obtenha credenciais do cluster e use comandos apply/get/logs.
Palavra-chave: Kubectl
Exemplo: Deploy de manifesto YAML no GKE usando kubectl apply.
☸️ 2.1 GKE cluster configurations
Conceito objetivo: Google Kubernetes Engine (GKE) pode ser Autopilot, Standard, regional ou private cluster.
Função: Executar aplicações containerizadas com orquestração Kubernetes gerenciada.
Como usar:
Escolha Autopilot para operação simplificada, regional para HA e private para isolamento.
Palavra-chave: Cluster
Exemplo: Aplicação crítica usa cluster regional privado com nodes sem IP público.
📦 2.1 Deploy containerized app to GKE
Conceito objetivo: Implantação de aplicação containerizada em Google Kubernetes Engine (GKE) via imagens, deployments, services e ingress/load balancer.
Função: Executar e expor containers em Kubernetes com escala e resiliência.
Como usar:
Publique imagem, crie Deployment, Service e configure autoscaling/ingress.
Palavra-chave: Deploy
Exemplo: Aplicação web em container exposta por LoadBalancer no GKE.
⚡ 2.1 Serverless e eventos
Conceito objetivo: Cloud Run e Cloud Run functions podem processar eventos Pub/Sub, Cloud Storage e Eventarc.
Função: Executar código sem gerenciar servidores e responder a eventos.
Como usar:
Use Eventarc ou triggers para conectar eventos a serviços serverless.
Palavra-chave: Evento
Exemplo: Upload em Cloud Storage dispara função para processar imagem.
🧠 2.1 GPUs ou TPUs
Conceito objetivo: GPUs e TPUs aceleram workloads de IA/ML, renderização, inferência e treinamento.
Função: Escolher acelerador conforme framework, custo, disponibilidade e perfil de processamento.
Como usar:
Use GPUs para workloads flexíveis CUDA/inferência; TPUs para workloads TensorFlow/JAX otimizados.
Palavra-chave: Acelerador
Exemplo: Treinamento de modelo usa TPU; inferência de modelo customizado usa GPU.
🗄️ 2.2 Data products
Conceito objetivo: Escolha entre Cloud SQL, BigQuery, Firestore, Spanner, Bigtable, AlloyDB, Dataflow, Pub/Sub, Managed Service for Apache Kafka e Memorystore.
Função: Selecionar produto de dados conforme modelo, escala, latência, transação e análise.
Como usar:
Use Cloud SQL/AlloyDB para relacional, BigQuery para analytics, Firestore para documentos, Spanner para relacional global, Bigtable para wide-column, Pub/Sub/Kafka para streaming, Memorystore para cache.
Palavra-chave: Dados
Exemplo: Analytics em grande escala usa BigQuery; cache de sessão usa Memorystore.
🪣 2.2 Storage products
Conceito objetivo: Escolha entre Cloud Storage, Filestore, Google Cloud NetApp Volumes, Managed Lustre e classes Standard, Nearline, Coldline, Archive.
Função: Armazenar objetos, arquivos e dados de alta performance conforme acesso, custo e protocolo.
Como usar:
Use Cloud Storage para objetos, Filestore/NetApp para NFS, Managed Lustre para HPC; escolha classe por frequência de acesso.
Palavra-chave: Storage
Exemplo: Backup mensal vai para Archive; dados ativos ficam em Standard.
⬆️ 2.2 Loading data
Conceito objetivo: Carregamento por CLI, Cloud Storage, Storage Transfer Service e imports em produtos de dados.
Função: Ingerir dados para storage, banco ou analytics.
Como usar:
Use gsutil/gcloud storage para upload, load jobs a partir de Cloud Storage e Storage Transfer Service para migração.
Palavra-chave: Carga
Exemplo: CSV enviado para Cloud Storage é carregado no BigQuery.
🌎 2.2 Multi-region redundancy
Conceito objetivo: Redundância multi-região distribui dados entre regiões para resiliência e continuidade.
Função: Aumentar disponibilidade e proteção contra falhas regionais.
Como usar:
Escolha recursos multi-regionais, replicação, backups e designs compatíveis com RPO/RTO.
Palavra-chave: Redundância
Exemplo: Bucket multi-region e banco com replicação para continuidade de negócio.
🌐 2.3 VPC with subnets
Conceito objetivo: Criação de VPC com subnets, incluindo custom mode VPC, Shared VPC e VPC Network Peering.
Função: Organizar conectividade entre workloads e projetos com isolamento e compartilhamento controlado.
Como usar:
Use custom mode para controle de ranges, Shared VPC para rede centralizada e Peering para conectar VPCs.
Palavra-chave: VPC
Exemplo: Projeto service usa Shared VPC hospedada por projeto host de rede.
🔥 2.3 Firewall e Cloud NGFW
Conceito objetivo: Regras de firewall VPC e políticas Cloud NGFW com ingress/egress, ação, origem, destino, targets, protocolos e portas.
Função: Controlar tráfego permitido ou negado na rede.
Como usar:
Defina regras explícitas, minimize abertura, use egress/ingress e atributos corretos.
Palavra-chave: Firewall
Exemplo: Permitir TCP 443 de load balancer para backends e negar SSH público.
🏷️ 2.3 Tags e service accounts no NGFW
Conceito objetivo: Tags, secure Tags e service accounts podem ser usados como atributos em políticas NGFW.
Função: Aplicar regras de rede por identidade lógica do workload, não apenas IP.
Como usar:
Use secure Tags para classificação e service accounts para segmentação por aplicação.
Palavra-chave: Tag
Exemplo: Somente VMs com service account app-backend recebem tráfego do frontend.
🔗 2.3 Network connectivity
Conceito objetivo: Cloud VPN, VPC Network Peering e Cloud Interconnect conectam redes Google Cloud e externas.
Função: Estabelecer conectividade privada, híbrida ou entre VPCs.
Como usar:
Use VPN para conexão criptografada, Interconnect para alta capacidade, Peering para VPC-VPC.
Palavra-chave: Conexão
Exemplo: Datacenter local conecta ao Google Cloud via Cloud Interconnect.
⚖️ 2.3 Load balancers
Conceito objetivo: Google Cloud Load Balancing distribui tráfego entre backends globais ou regionais.
Função: Aumentar disponibilidade, escala e roteamento de aplicações.
gcloud container clusters get-credentials CLUSTER_NAME --zone=ZONEAtualizar kubeconfig para usar kubectl com o cluster.
gcloud container images list-tags IMAGEListar tags e digests de imagem de contêiner.
🌐 App Engine e deploy
Comandos de criação, deploy e versões de aplicações App Engine.
gcloud app createCriar aplicação App Engine no projeto atual.
gcloud app deployImplantar código e configuração no App Engine.
gcloud app versions listListar versões dos serviços implantados.
gcloud app browseAbrir aplicação atual no navegador.
🧭 Estrutura mental do comando
Entender a árvore do gcloud ajuda a eliminar alternativas erradas no exame.
gcloud [release-level] COMPONENT ENTITY OPERATION POSITIONAL_ARGS FLAGSFormato geral dos comandos.
gcloud compute instances create VM_NAME --machine-type=MACHINE_TYPE --preemptibleExemplo com argumento posicional e flags opcionais.
Como estudar para a prova:
Não decore apenas o comando. Saiba identificar o verbo operacional — list, describe, create, deploy, add-iam-policy-binding, get-credentials, snapshot, export — e associe cada comando ao cenário cobrado.
Labs práticos
Exercícios práticos de Lab — Capítulo 2
Section 2 — Planning and Implementing a Cloud Solution. Labs focados em planejamento e implementação: Compute Engine, GKE, Storage, BigQuery, Cloud SQL, VPC, firewall, Load Balancer, Terraform e Gemini Cloud Assist.
⚡ 4 labs🧪 Prática de Console/CLI🎯 Foco ACE
Lab 2.1
Lab 2.1 — VM com OS Login, MIG Autoscaled e GKE Autopilot
Crie VM com OS Login: gcloud compute instances create ace-vm --machine-type=e2-micro --zone=us-central1-a --image-family=debian-12 --image-project=debian-cloud --metadata=enable-oslogin=TRUE
Conceda acesso SSH via OS Login: gcloud projects add-iam-policy-binding [PROJECT] --member='user:[EMAIL]' --role='roles/compute.osLogin'. Conecte: gcloud compute ssh ace-vm --zone=us-central1-a
Deploy com resource requests (obrigatório no Autopilot): crie deployment.yaml com requests.cpu e requests.memory definidos. kubectl apply -f deployment.yaml. Observe: kubectl get pods -w
💡 No GKE Autopilot, Pods sem resource requests ficam em estado Pending indefinidamente. Esta é a questão de diagnóstico mais frequente sobre Autopilot no exame.
Lab 2.2
Lab 2.2 — Cloud Storage com Classes, BigQuery Load e Cloud SQL
Crie 3 buckets com classes diferentes: Standard (us-central1), Nearline (us-central1), Archive (us). gcloud storage buckets create gs://ace-std-[ID] --location=us-central1 --storage-class=STANDARD
Upload e load no BigQuery: echo 'Alice,30\nBob,25' > dados.csv && gcloud storage cp dados.csv gs://ace-std-[ID]/. No BigQuery: bq mk --dataset ace_dataset && bq load --source_format=CSV ace_dataset.pessoas gs://ace-std-[ID]/dados.csv nome:STRING,idade:INTEGER
Consulte: bq query 'SELECT * FROM ace_dataset.pessoas'. Observe o custo estimado antes de executar.
Crie instância Cloud SQL: gcloud sql instances create ace-sql --database-version=POSTGRES_15 --tier=db-f1-micro --region=us-central1. Configure HA: veja o flag --availability-type=REGIONAL
Explore Storage Transfer Service: Console → Storage Transfer → Create Transfer Job. Observe as fontes disponíveis (Amazon S3, Azure Blob, URL list). Não precisa completar — apenas explore a interface.
💡 Storage Transfer Service é a resposta para migração de grandes volumes de outras nuvens. Para uploads simples de arquivos locais, use gcloud storage cp ou gsutil.
Lab 2.3
Lab 2.3 — VPC Custom, Firewall com Tags e Load Balancer
Crie regra de firewall com network tag: gcloud compute firewall-rules create ace-allow-http --network=ace-vpc --direction=INGRESS --action=ALLOW --rules=tcp:80 --target-tags=web --source-ranges=0.0.0.0/0
Crie regra de firewall com IAP (para SSH sem IP externo): gcloud compute firewall-rules create ace-allow-iap --network=ace-vpc --direction=INGRESS --action=ALLOW --rules=tcp:22 --source-ranges=35.235.240.0/20
Explore Cloud NGFW: Console → VPC Network → Firewall Policies → Create. Veja os tipos de targets disponíveis (incluindo Secure Tags) e as opções de FQDN.
No Console, explore Load Balancers: Network Services → Load Balancing → Create Load Balancer. Veja as opções disponíveis (HTTP(S), SSL Proxy, TCP Proxy, Network, Internal). Anote quais são Global vs Regional.
💡 Para o exame: memorize que Cloud NGFW policies são hierárquicas (propagam de Org para projetos) enquanto VPC Firewall Rules são por VPC. Isso é análogo à diferença entre Org Policies e IAM.
Lab 2.4
Lab 2.4 — Terraform no Cloud Shell e Gemini Cloud Assist
Abra o Cloud Shell. Verifique Terraform: terraform version. Crie um diretório: mkdir tf-ace && cd tf-ace
Crie main.tf com um google_storage_bucket. Execute: terraform init (veja o provider google sendo baixado). Execute: terraform plan (veja o que seria criado).
Execute: terraform apply -auto-approve. Verifique que o bucket foi criado: gcloud storage buckets list. Execute: terraform destroy -auto-approve.
Experimente o Gemini Cloud Assist: no Console, clique no ícone ✨ (Gemini) no canto superior direito. Pergunte: 'Como criar uma VM com OS Login habilitado?' Observe a resposta e o comando sugerido.
Explore Config Connector: acesse cloud.google.com/config-connector. Leia um exemplo de YAML de recurso GCP (ex: CloudSQLInstance). Entenda como é diferente de um manifest Kubernetes padrão.
💡 O Terraform backend remoto no Cloud Storage é uma best practice obrigatória em times — o tfstate local não é compartilhável e cria conflitos. O exame pode testar essa distinção.
Mapa rápido dos Labs do Capítulo 2
2.1 — Lab 2.1 — VM com OS Login, MIG Autoscaled e GKE Autopilot
2.2 — Lab 2.2 — Cloud Storage com Classes, BigQuery Load e Cloud SQL
2.3 — Lab 2.3 — VPC Custom, Firewall com Tags e Load Balancer
2.4 — Lab 2.4 — Terraform no Cloud Shell e Gemini Cloud Assist
50 Questões Estilo ACE - Capítulo 2
Questão 1 — Calculadora de Preços - Q1
Você precisa estimar o custo de rodar 10 VMs por 3 anos com desconto. O que usar? (Variação 1)
Gabarito: B. A Pricing Calculator é a ferramenta oficial do GCP para estimativas de custos de novas arquiteturas antes de implantá-las.
Questão 2 — Tipos de Armazenamento - Q2
Sua empresa guarda backups de banco de dados que só serão acessados 1 vez por ano, ou nunca. Qual classe do Cloud Storage é a mais barata? (Variação 2)
Gabarito: D. Archive Storage oferece o menor custo de armazenamento para dados retidos a longo prazo e quase nunca acessados (retenção mínima 365 dias).
Questão 3 — Estratégia de Compute - Q3
Sua aplicação tem tráfego imprevisível e você deseja que o GCP escale os contêineres até zero quando não houver requisições. O que usar? (Variação 3)
Gabarito: C. O Cloud Run é totalmente serverless, suporta scale-to-zero e você só paga durante o processamento da requisição.
Questão 4 — Banco de Dados - Q4
Você precisa de um banco NoSQL para uma tabela de séries temporais (IoT) super massiva que escreve milhares de dados por segundo em baixa latência. Qual escolher? (Variação 4)
Gabarito: C. Cloud Bigtable é o banco de dados NoSQL wide-column do GCP focado em baixa latência e alta taxa de gravação, perfeito para IoT e Time-Series.
Questão 5 — Subnets VPC - Q5
Você quer expandir o intervalo IP de uma subnet (VPC) em produção. O que é necessário? (Variação 5)
Gabarito: B. O GCP permite expandir o range primário de IPs de uma subnet sem interromper o tráfego e sem reconstruí-la.
Questão 6 — Calculadora de Preços - Q6
Você precisa estimar o custo de rodar 10 VMs por 3 anos com desconto. O que usar? (Variação 6)
Gabarito: B. A Pricing Calculator é a ferramenta oficial do GCP para estimativas de custos de novas arquiteturas antes de implantá-las.
Questão 7 — Tipos de Armazenamento - Q7
Sua empresa guarda backups de banco de dados que só serão acessados 1 vez por ano, ou nunca. Qual classe do Cloud Storage é a mais barata? (Variação 7)
Gabarito: D. Archive Storage oferece o menor custo de armazenamento para dados retidos a longo prazo e quase nunca acessados (retenção mínima 365 dias).
Questão 8 — Estratégia de Compute - Q8
Sua aplicação tem tráfego imprevisível e você deseja que o GCP escale os contêineres até zero quando não houver requisições. O que usar? (Variação 8)
Gabarito: C. O Cloud Run é totalmente serverless, suporta scale-to-zero e você só paga durante o processamento da requisição.
Questão 9 — Banco de Dados - Q9
Você precisa de um banco NoSQL para uma tabela de séries temporais (IoT) super massiva que escreve milhares de dados por segundo em baixa latência. Qual escolher? (Variação 9)
Gabarito: C. Cloud Bigtable é o banco de dados NoSQL wide-column do GCP focado em baixa latência e alta taxa de gravação, perfeito para IoT e Time-Series.
Questão 10 — Subnets VPC - Q10
Você quer expandir o intervalo IP de uma subnet (VPC) em produção. O que é necessário? (Variação 10)
Gabarito: B. O GCP permite expandir o range primário de IPs de uma subnet sem interromper o tráfego e sem reconstruí-la.
Questão 11 — Calculadora de Preços - Q11
Você precisa estimar o custo de rodar 10 VMs por 3 anos com desconto. O que usar? (Variação 11)
Gabarito: B. A Pricing Calculator é a ferramenta oficial do GCP para estimativas de custos de novas arquiteturas antes de implantá-las.
Questão 12 — Tipos de Armazenamento - Q12
Sua empresa guarda backups de banco de dados que só serão acessados 1 vez por ano, ou nunca. Qual classe do Cloud Storage é a mais barata? (Variação 12)
Gabarito: D. Archive Storage oferece o menor custo de armazenamento para dados retidos a longo prazo e quase nunca acessados (retenção mínima 365 dias).
Questão 13 — Estratégia de Compute - Q13
Sua aplicação tem tráfego imprevisível e você deseja que o GCP escale os contêineres até zero quando não houver requisições. O que usar? (Variação 13)
Gabarito: C. O Cloud Run é totalmente serverless, suporta scale-to-zero e você só paga durante o processamento da requisição.
Questão 14 — Banco de Dados - Q14
Você precisa de um banco NoSQL para uma tabela de séries temporais (IoT) super massiva que escreve milhares de dados por segundo em baixa latência. Qual escolher? (Variação 14)
Gabarito: C. Cloud Bigtable é o banco de dados NoSQL wide-column do GCP focado em baixa latência e alta taxa de gravação, perfeito para IoT e Time-Series.
Questão 15 — Subnets VPC - Q15
Você quer expandir o intervalo IP de uma subnet (VPC) em produção. O que é necessário? (Variação 15)
Gabarito: B. O GCP permite expandir o range primário de IPs de uma subnet sem interromper o tráfego e sem reconstruí-la.
Questão 16 — Calculadora de Preços - Q16
Você precisa estimar o custo de rodar 10 VMs por 3 anos com desconto. O que usar? (Variação 16)
Gabarito: B. A Pricing Calculator é a ferramenta oficial do GCP para estimativas de custos de novas arquiteturas antes de implantá-las.
Questão 17 — Tipos de Armazenamento - Q17
Sua empresa guarda backups de banco de dados que só serão acessados 1 vez por ano, ou nunca. Qual classe do Cloud Storage é a mais barata? (Variação 17)
Gabarito: D. Archive Storage oferece o menor custo de armazenamento para dados retidos a longo prazo e quase nunca acessados (retenção mínima 365 dias).
Questão 18 — Estratégia de Compute - Q18
Sua aplicação tem tráfego imprevisível e você deseja que o GCP escale os contêineres até zero quando não houver requisições. O que usar? (Variação 18)
Gabarito: C. O Cloud Run é totalmente serverless, suporta scale-to-zero e você só paga durante o processamento da requisição.
Questão 19 — Banco de Dados - Q19
Você precisa de um banco NoSQL para uma tabela de séries temporais (IoT) super massiva que escreve milhares de dados por segundo em baixa latência. Qual escolher? (Variação 19)
Gabarito: C. Cloud Bigtable é o banco de dados NoSQL wide-column do GCP focado em baixa latência e alta taxa de gravação, perfeito para IoT e Time-Series.
Questão 20 — Subnets VPC - Q20
Você quer expandir o intervalo IP de uma subnet (VPC) em produção. O que é necessário? (Variação 20)
Gabarito: B. O GCP permite expandir o range primário de IPs de uma subnet sem interromper o tráfego e sem reconstruí-la.
Questão 21 — Calculadora de Preços - Q21
Você precisa estimar o custo de rodar 10 VMs por 3 anos com desconto. O que usar? (Variação 21)
Gabarito: B. A Pricing Calculator é a ferramenta oficial do GCP para estimativas de custos de novas arquiteturas antes de implantá-las.
Questão 22 — Tipos de Armazenamento - Q22
Sua empresa guarda backups de banco de dados que só serão acessados 1 vez por ano, ou nunca. Qual classe do Cloud Storage é a mais barata? (Variação 22)
Gabarito: D. Archive Storage oferece o menor custo de armazenamento para dados retidos a longo prazo e quase nunca acessados (retenção mínima 365 dias).
Questão 23 — Estratégia de Compute - Q23
Sua aplicação tem tráfego imprevisível e você deseja que o GCP escale os contêineres até zero quando não houver requisições. O que usar? (Variação 23)
Gabarito: C. O Cloud Run é totalmente serverless, suporta scale-to-zero e você só paga durante o processamento da requisição.
Questão 24 — Banco de Dados - Q24
Você precisa de um banco NoSQL para uma tabela de séries temporais (IoT) super massiva que escreve milhares de dados por segundo em baixa latência. Qual escolher? (Variação 24)
Gabarito: C. Cloud Bigtable é o banco de dados NoSQL wide-column do GCP focado em baixa latência e alta taxa de gravação, perfeito para IoT e Time-Series.
Questão 25 — Subnets VPC - Q25
Você quer expandir o intervalo IP de uma subnet (VPC) em produção. O que é necessário? (Variação 25)
Gabarito: B. O GCP permite expandir o range primário de IPs de uma subnet sem interromper o tráfego e sem reconstruí-la.
Questão 26 — Calculadora de Preços - Q26
Você precisa estimar o custo de rodar 10 VMs por 3 anos com desconto. O que usar? (Variação 26)
Gabarito: B. A Pricing Calculator é a ferramenta oficial do GCP para estimativas de custos de novas arquiteturas antes de implantá-las.
Questão 27 — Tipos de Armazenamento - Q27
Sua empresa guarda backups de banco de dados que só serão acessados 1 vez por ano, ou nunca. Qual classe do Cloud Storage é a mais barata? (Variação 27)
Gabarito: D. Archive Storage oferece o menor custo de armazenamento para dados retidos a longo prazo e quase nunca acessados (retenção mínima 365 dias).
Questão 28 — Estratégia de Compute - Q28
Sua aplicação tem tráfego imprevisível e você deseja que o GCP escale os contêineres até zero quando não houver requisições. O que usar? (Variação 28)
Gabarito: C. O Cloud Run é totalmente serverless, suporta scale-to-zero e você só paga durante o processamento da requisição.
Questão 29 — Banco de Dados - Q29
Você precisa de um banco NoSQL para uma tabela de séries temporais (IoT) super massiva que escreve milhares de dados por segundo em baixa latência. Qual escolher? (Variação 29)
Gabarito: C. Cloud Bigtable é o banco de dados NoSQL wide-column do GCP focado em baixa latência e alta taxa de gravação, perfeito para IoT e Time-Series.
Questão 30 — Subnets VPC - Q30
Você quer expandir o intervalo IP de uma subnet (VPC) em produção. O que é necessário? (Variação 30)
Gabarito: B. O GCP permite expandir o range primário de IPs de uma subnet sem interromper o tráfego e sem reconstruí-la.
Questão 31 — Calculadora de Preços - Q31
Você precisa estimar o custo de rodar 10 VMs por 3 anos com desconto. O que usar? (Variação 31)
Gabarito: B. A Pricing Calculator é a ferramenta oficial do GCP para estimativas de custos de novas arquiteturas antes de implantá-las.
Questão 32 — Tipos de Armazenamento - Q32
Sua empresa guarda backups de banco de dados que só serão acessados 1 vez por ano, ou nunca. Qual classe do Cloud Storage é a mais barata? (Variação 32)
Gabarito: D. Archive Storage oferece o menor custo de armazenamento para dados retidos a longo prazo e quase nunca acessados (retenção mínima 365 dias).
Questão 33 — Estratégia de Compute - Q33
Sua aplicação tem tráfego imprevisível e você deseja que o GCP escale os contêineres até zero quando não houver requisições. O que usar? (Variação 33)
Gabarito: C. O Cloud Run é totalmente serverless, suporta scale-to-zero e você só paga durante o processamento da requisição.
Questão 34 — Banco de Dados - Q34
Você precisa de um banco NoSQL para uma tabela de séries temporais (IoT) super massiva que escreve milhares de dados por segundo em baixa latência. Qual escolher? (Variação 34)
Gabarito: C. Cloud Bigtable é o banco de dados NoSQL wide-column do GCP focado em baixa latência e alta taxa de gravação, perfeito para IoT e Time-Series.
Questão 35 — Subnets VPC - Q35
Você quer expandir o intervalo IP de uma subnet (VPC) em produção. O que é necessário? (Variação 35)
Gabarito: B. O GCP permite expandir o range primário de IPs de uma subnet sem interromper o tráfego e sem reconstruí-la.
Questão Extra 1 — Descontos do Compute Engine - Extra 1
Quais as DUAS maneiras nativas de obter redução no custo de instâncias no Compute Engine? (Escolha 2) [Prática 1]
Gabarito: A, C. Spot VMs oferecem grandes descontos. SUDs são aplicados automaticamente quanto mais a VM fica ligada.
Questão Extra 2 — Cloud Spanner vs Cloud SQL - Extra 2
O Cloud Spanner é a escolha certa em vez do Cloud SQL em quais DOIS cenários? (Escolha 2) [Prática 2]
Gabarito: A, C. Spanner é um banco de dados relacional desenhado para escalar horizontalmente em múltiplas regiões mantendo a consistência forte.
Questão Extra 3 — Descontos do Compute Engine - Extra 3
Quais as DUAS maneiras nativas de obter redução no custo de instâncias no Compute Engine? (Escolha 2) [Prática 3]
Gabarito: A, C. Spot VMs oferecem grandes descontos. SUDs são aplicados automaticamente quanto mais a VM fica ligada.
Questão Extra 4 — Cloud Spanner vs Cloud SQL - Extra 4
O Cloud Spanner é a escolha certa em vez do Cloud SQL em quais DOIS cenários? (Escolha 2) [Prática 4]
Gabarito: A, C. Spanner é um banco de dados relacional desenhado para escalar horizontalmente em múltiplas regiões mantendo a consistência forte.
Questão Extra 5 — Descontos do Compute Engine - Extra 5
Quais as DUAS maneiras nativas de obter redução no custo de instâncias no Compute Engine? (Escolha 2) [Prática 5]
Gabarito: A, C. Spot VMs oferecem grandes descontos. SUDs são aplicados automaticamente quanto mais a VM fica ligada.
Questão Extra 6 — Cloud Spanner vs Cloud SQL - Extra 6
O Cloud Spanner é a escolha certa em vez do Cloud SQL em quais DOIS cenários? (Escolha 2) [Prática 6]
Gabarito: A, C. Spanner é um banco de dados relacional desenhado para escalar horizontalmente em múltiplas regiões mantendo a consistência forte.
Questão Extra 7 — Descontos do Compute Engine - Extra 7
Quais as DUAS maneiras nativas de obter redução no custo de instâncias no Compute Engine? (Escolha 2) [Prática 7]
Gabarito: A, C. Spot VMs oferecem grandes descontos. SUDs são aplicados automaticamente quanto mais a VM fica ligada.
Questão Extra 8 — Cloud Spanner vs Cloud SQL - Extra 8
O Cloud Spanner é a escolha certa em vez do Cloud SQL em quais DOIS cenários? (Escolha 2) [Prática 8]
Gabarito: A, C. Spanner é um banco de dados relacional desenhado para escalar horizontalmente em múltiplas regiões mantendo a consistência forte.
Questão Extra 9 — Descontos do Compute Engine - Extra 9
Quais as DUAS maneiras nativas de obter redução no custo de instâncias no Compute Engine? (Escolha 2) [Prática 9]
Gabarito: A, C. Spot VMs oferecem grandes descontos. SUDs são aplicados automaticamente quanto mais a VM fica ligada.
Questão Extra 10 — Cloud Spanner vs Cloud SQL - Extra 10
O Cloud Spanner é a escolha certa em vez do Cloud SQL em quais DOIS cenários? (Escolha 2) [Prática 10]
Gabarito: A, C. Spanner é um banco de dados relacional desenhado para escalar horizontalmente em múltiplas regiões mantendo a consistência forte.
Questão Extra 11 — Descontos do Compute Engine - Extra 11
Quais as DUAS maneiras nativas de obter redução no custo de instâncias no Compute Engine? (Escolha 2) [Prática 11]
Gabarito: A, C. Spot VMs oferecem grandes descontos. SUDs são aplicados automaticamente quanto mais a VM fica ligada.
Questão Extra 12 — Cloud Spanner vs Cloud SQL - Extra 12
O Cloud Spanner é a escolha certa em vez do Cloud SQL em quais DOIS cenários? (Escolha 2) [Prática 12]
Gabarito: A, C. Spanner é um banco de dados relacional desenhado para escalar horizontalmente em múltiplas regiões mantendo a consistência forte.
Questão Extra 13 — Descontos do Compute Engine - Extra 13
Quais as DUAS maneiras nativas de obter redução no custo de instâncias no Compute Engine? (Escolha 2) [Prática 13]
Gabarito: A, C. Spot VMs oferecem grandes descontos. SUDs são aplicados automaticamente quanto mais a VM fica ligada.
Questão Extra 14 — Cloud Spanner vs Cloud SQL - Extra 14
O Cloud Spanner é a escolha certa em vez do Cloud SQL em quais DOIS cenários? (Escolha 2) [Prática 14]
Gabarito: A, C. Spanner é um banco de dados relacional desenhado para escalar horizontalmente em múltiplas regiões mantendo a consistência forte.
Questão Extra 15 — Descontos do Compute Engine - Extra 15
Quais as DUAS maneiras nativas de obter redução no custo de instâncias no Compute Engine? (Escolha 2) [Prática 15]
Gabarito: A, C. Spot VMs oferecem grandes descontos. SUDs são aplicados automaticamente quanto mais a VM fica ligada.
Conteúdo
Conteúdo detalhado do Capítulo 3 — Section 3 completa
Esta seção cobre operação bem-sucedida de soluções em nuvem: compute, storage/data, networking, monitoring e logging.
🖥️ 3.1 Remotely connecting to a Compute Engine instance
Conceito objetivo: Conectar remotamente a uma instância Compute Engine por SSH, gcloud, Console, OS Login ou IAP.
Função: Permitir administração, manutenção e troubleshooting de VMs.
Como usar:
Use SSH no Console, gcloud compute ssh, OS Login e IAP conforme política de segurança.
Palavra-chave: SSH
Exemplo: Acessar uma VM privada via IAP para investigar falha de aplicação.
📋 3.1 Viewing current running Compute Engine instances
Conceito objetivo: Visualizar instâncias Compute Engine em execução, zonas, status, labels e tipos de máquina.
Função: Entender o estado atual da frota de VMs.
Como usar:
Use Console ou gcloud compute instances list com filtros por status, zona ou label.
Palavra-chave: Inventário
Exemplo: Listar VMs RUNNING antes de manutenção.
🖼️ 3.1 Working with snapshots and images
Conceito objetivo: Criar, visualizar e excluir imagens ou snapshots, além de agendar snapshots / schedule a snapshot.
Função: Proteger dados, criar cópias de recuperação e padronizar imagens.
Como usar:
Crie snapshots sob demanda, políticas de snapshot e imagens customizadas.
Palavra-chave: Imagem
Exemplo: Agendar snapshot diário de disco antes de atualização crítica.
☸️ 3.1 Viewing current running GKE cluster inventory
Conceito objetivo: Ver nodes, Pods, Services e objetos em execução no GKE.
Função: Acompanhar composição e saúde operacional do cluster.
Como usar:
Use kubectl get nodes, kubectl get pods, kubectl get services e Console GKE.
Palavra-chave: Inventário GKE
Exemplo: Identificar Pod em CrashLoopBackOff.
📦 3.1 Configuring GKE to access Artifact Registry
Conceito objetivo: Configurar permissões para GKE acessar imagens no Artifact Registry.
Função: Permitir pull seguro de imagens privadas pelos workloads.
Como usar:
Conceda permissões à service account do node pool ou use Workload Identity.
Palavra-chave: Registry
Exemplo: Cluster puxa imagem privada de Artifact Registry.
🧩 3.1 Working with GKE node pools
Conceito objetivo: Adicionar, editar, remover e aplicar autoscaling em node pools.
Função: Gerenciar capacidade, tipos de máquina, zonas e custos do cluster.
Como usar:
Crie pools por perfil de workload e configure autoscaling de node pool.
Palavra-chave: Node pool
Exemplo: Node pool GPU separado para workloads de IA.
📦 3.1 Working with Kubernetes resources
Conceito objetivo: Gerenciar Pods, Services, StatefulSets e outros objetos Kubernetes.
Função: Operar aplicações em Kubernetes.
Como usar:
Use kubectl apply/get/describe/logs/delete para administrar recursos.
Palavra-chave: Kubernetes
Exemplo: StatefulSet mantém identidade estável para banco distribuído.
📊 3.1 Managing horizontal and vertical Pod autoscaling
Conceito objetivo: HPA escala réplicas; VPA ajusta requests/limits de CPU e memória.
Função: Ajustar capacidade conforme demanda e uso real.
Como usar:
Configure HPA por métricas e VPA para recomendações ou ajustes verticais.
Palavra-chave: Autoscaling
Exemplo: HPA aumenta réplicas quando CPU passa de 70%.
⚙️ 3.1 Managing GKE Autopilot Pod resource requests
Conceito objetivo: Gerenciar requests de recursos de Pods no GKE Autopilot.
Função: Controlar custo, agendamento e capacidade solicitada.
Como usar:
Defina requests adequados nos manifests e revise recomendações.
Palavra-chave: Requests
Exemplo: Request excessivo aumenta custo no Autopilot.
🚀 3.1 Deploying new versions of a Cloud Run application
Conceito objetivo: Deploy de nova versão do Cloud Run criando novas revisões.
Função: Permitir rollout, rollback e validação progressiva.
Como usar:
Publique nova imagem e ajuste tráfego entre revisões.
Conceito objetivo: Exportar logs para sistemas externos, on-premises ou BigQuery.
Função: Centralizar auditoria, SIEM e análise.
Como usar:
Configure log sinks no Log Router.
Palavra-chave: Export
Exemplo: Logs de auditoria exportados para BigQuery.
🪣 3.4 Configuring log buckets, log analytics and log routers
Conceito objetivo: Configurar log buckets, Log Analytics e Log Router.
Função: Controlar retenção, roteamento e análise de logs.
Como usar:
Crie buckets, sinks, filtros e analytics.
Palavra-chave: Roteador
Exemplo: Bucket de segurança retém logs por 1 ano.
🔍 3.4 Viewing and filtering logs in Cloud Logging
Conceito objetivo: Visualizar e filtrar logs no Cloud Logging.
Função: Encontrar eventos relevantes.
Como usar:
Use Logs Explorer com filtros por resource, severity e labels.
Palavra-chave: Filtro
Exemplo: Filtrar erros 500 do Cloud Run.
📄 3.4 Viewing specific log message details
Conceito objetivo: Abrir detalhes de mensagem específica no Cloud Logging.
Função: Analisar payload, trace, labels e contexto.
Como usar:
Expanda entrada individual no Logs Explorer.
Palavra-chave: Detalhe
Exemplo: Ver stack trace e request ID.
🩺 3.4 Cloud diagnostic tools
Conceito objetivo: Cloud Trace, Cloud Profiler, Query Insights e index advisor.
Função: Investigar latência, CPU, queries lentas e índices.
Como usar:
Use traces, profiles e insights para otimizar.
Palavra-chave: Diagnóstico
Exemplo: Query Insights mostra consulta lenta.
❤️ 3.4 Personalized Service Health dashboard
Conceito objetivo: Dashboard de saúde personalizada de serviços.
Função: Acompanhar incidentes relevantes aos recursos.
Como usar:
Consulte impacto, status e atualizações.
Palavra-chave: Saúde
Exemplo: Incidente regional aparece para serviço usado.
🤖 3.4 Configuring and deploying Ops Agent
Conceito objetivo: Ops Agent coleta métricas e logs de VMs.
Função: Aumentar observabilidade de Compute Engine.
Como usar:
Instale e configure em VMs Linux/Windows.
Palavra-chave: Agente Ops
Exemplo: VM envia métricas de memória e logs.
📊 3.4 Google Cloud Managed Service for Prometheus
Conceito objetivo: Serviço gerenciado para métricas Prometheus.
Função: Monitorar workloads Kubernetes e aplicações Prometheus.
Como usar:
Implante collectors e consulte no Cloud Monitoring.
Palavra-chave: Prometheus
Exemplo: GKE exporta métricas Prometheus.
✨ 3.4 Gemini Cloud Assist for Cloud Monitoring
Conceito objetivo: Gemini Cloud Assist apoia análise de Cloud Monitoring.
Função: Acelerar entendimento de alertas e métricas.
Como usar:
Use Gemini para explicar incidentes e sugerir consultas.
Palavra-chave: Gemini
Exemplo: Gemini resume causa provável de alerta.
💡 3.4 Active Assist
Conceito objetivo: Active Assist gera recomendações de otimização.
Função: Melhorar uso, custo, segurança e eficiência.
Como usar:
Revise e aplique recomendações validadas.
Palavra-chave: Otimização
Exemplo: Reduzir VM superdimensionada.
🛰️ 3.4 Cloud Hub
Conceito objetivo: Cloud Hub monitora eventos ativos e saúde de aplicações.
Função: Fornecer visão centralizada de eventos e health data.
Como usar:
Use Cloud Hub para acompanhar eventos e status.
Palavra-chave: Hub
Exemplo: Evento ativo afetando aplicação crítica.
Resumo mental do Capítulo 3
SECTION 3 — ENSURING THE SUCCESSFUL OPERATION OF A CLOUD SOLUTION
├── 3.1 Remotely connecting to a Compute Engine instance
├── 3.1 Viewing current running Compute Engine instances
├── 3.1 Working with snapshots and images
├── 3.1 Viewing current running GKE cluster inventory
├── 3.1 Configuring GKE to access Artifact Registry
├── 3.1 Working with GKE node pools
├── 3.1 Working with Kubernetes resources
├── 3.1 Managing horizontal and vertical Pod autoscaling
├── 3.1 Managing GKE Autopilot Pod resource requests
├── 3.1 Deploying new versions of a Cloud Run application
├── 3.1 Adjusting application traffic splitting parameters
├── 3.1 Configuring autoscaling for Cloud Run
├── 3.1 Attaching GPUs and TPUs
├── 3.1 Deploying an agent to Agent Runtime
├── 3.1 Managing notebooks in Workbench and BigQuery
├── 3.1 Managing developer environments
├── 3.2 Managing and securing objects in Cloud Storage buckets
├── 3.2 Object lifecycle management policies
├── 3.2 Executing queries to retrieve data
├── 3.2 Estimating costs of data storage resources
├── 3.2 Backing up and restoring database instances
├── 3.2 Reviewing job status
├── 3.2 Using Database Center
├── 3.2 Configuring CMEK
├── 3.3 Resizing subnet IPv4 address range
├── 3.3 Reserving static external or internal IP addresses
├── 3.3 Adding custom static routes in a VPC
├── 3.3 Using Cloud DNS and Cloud NAT
├── 3.3 Managing VPC firewall rules and Cloud NGFW policies
├── 3.4 Creating Cloud Monitoring alerts
├── 3.4 Creating and ingesting custom metrics
├── 3.4 Configuring audit logs
├── 3.4 Exporting logs to external systems
├── 3.4 Configuring log buckets, log analytics and log routers
├── 3.4 Viewing and filtering logs in Cloud Logging
├── 3.4 Viewing specific log message details
├── 3.4 Cloud diagnostic tools
├── 3.4 Personalized Service Health dashboard
├── 3.4 Configuring and deploying Ops Agent
├── 3.4 Google Cloud Managed Service for Prometheus
├── 3.4 Gemini Cloud Assist for Cloud Monitoring
├── 3.4 Active Assist
├── 3.4 Cloud Hub
Comandos gcloud
Comandos obrigatórios do exame — Capítulo 3 / Section 3
Comandos de operação: inventário, SSH, snapshots, GKE, logs, backups, exportações e diagnóstico.
🖥️ Operação de VMs
Visualizar, detalhar, acessar e proteger instâncias.
gcloud compute instances listListar todas as VMs do projeto.
gcloud compute instances describe INSTANCE_NAME --zone=ZONEExibir detalhes de uma VM.
gcloud compute ssh INSTANCE_NAME --zone=ZONEConectar a uma VM usando SSH.
gcloud compute disks snapshot DISK_NAME --zone=ZONECriar snapshot de Persistent Disk.
gcloud compute snapshots describe SNAPSHOT_NAMEExibir detalhes de snapshot.
gcloud compute instances list --filter='zone~^us AND -machineType:f1-micro'Exemplo de filtro avançado para inventário de VMs.
Como estudar para a prova:
Não decore apenas o comando. Saiba identificar o verbo operacional — list, describe, create, deploy, add-iam-policy-binding, get-credentials, snapshot, export — e associe cada comando ao cenário cobrado.
Labs práticos
Exercícios práticos de Lab — Capítulo 3
Section 3 — Ensuring the Successful Operation of a Cloud Solution. Labs focados em operação: snapshots, IAP SSH, HPA, Cloud Run traffic split, Cloud SQL backup, Cloud NAT, Ops Agent, alertas, Prometheus, log sinks e audit logs.
⚡ 4 labs🧪 Prática de Console/CLI🎯 Foco ACE
Lab 3.1
Lab 3.1 — Snapshot Agendado, IAP SSH e HPA no GKE
Crie snapshot policy: gcloud compute resource-policies create snapshot-schedule daily-bkp --region=us-central1 --daily-schedule --start-time=02:00 --max-retention-days=7. Vincule ao disco de ace-vm: gcloud compute disks add-resource-policies ace-vm --zone=us-central1-a --resource-policies=daily-bkp
Teste IAP SSH: certifique-se que há regra de firewall para 35.235.240.0/20:tcp:22 no ace-vpc. Conecte: gcloud compute ssh ace-vm --zone=us-central1-a --tunnel-through-iap
No cluster ace-cluster: configure kubectl: gcloud container clusters get-credentials ace-cluster --region=us-central1. Liste nodes: kubectl get nodes -o wide
Configure HPA no deployment existente: kubectl autoscale deployment hello --cpu-percent=70 --min=2 --max=10. Verifique: kubectl get hpa
Inspecione um Pod: kubectl describe pod [NOME_DO_POD]. Veja Events, Conditions, resource requests. Execute shell: kubectl exec -it [NOME_DO_POD] -- /bin/sh
💡 kubectl describe é o comando de diagnóstico mais importante no GKE. O exame vai descrever um pod em estado CrashLoopBackOff ou Pending e pedir o que verificar — sempre: describe + logs.
Lab 3.2
Lab 3.2 — Cloud Run Traffic Split, Cloud SQL Backup e Cloud NAT
Deploy v1 do Cloud Run: gcloud run deploy ace-run --image=us-docker.pkg.dev/google-samples/containers/gke/hello-app:1.0 --region=us-central1 --allow-unauthenticated. Acesse a URL.
Deploy v2 sem tráfego: gcloud run deploy ace-run --image=us-docker.pkg.dev/google-samples/containers/gke/hello-app:2.0 --region=us-central1 --no-traffic. Liste revisões: gcloud run revisions list --service=ace-run --region=us-central1
Configure 50/50: gcloud run services update-traffic ace-run --to-revisions=[REV1]=50,[REV2]=50 --region=us-central1. Acesse a URL várias vezes e observe as duas versões.
Cloud SQL backup: gcloud sql backups create --instance=ace-sql (se a instância existir). Liste backups: gcloud sql backups list --instance=ace-sql
Configure Cloud NAT: crie Cloud Router e NAT para ace-vpc. Crie VM sem IP externo na subnet. Verifique acesso externo via IAP: gcloud compute ssh vm-no-ip --tunnel-through-iap --zone=us-central1-a -- curl -s ifconfig.me
💡 O exame frequentemente testa traffic splitting no Cloud Run para canary deploys. Memorize o fluxo: deploy com --no-traffic → verificar → update-traffic gradual → 100% para nova versão.
Lab 3.3
Lab 3.3 — Ops Agent, Alerting Policy e Managed Prometheus
Instale o Ops Agent em ace-vm: SSH na VM e execute o script de instalação. Aguarde 3 minutos. Volte ao Cloud Monitoring e procure por métricas agent.googleapis.com/memory/percent_used.
Crie uma Alerting Policy: Monitoring → Alerting → Create Policy. Condição: agent.googleapis.com/memory/percent_used > 0.85 por 5 min. Notification channel: email.
Crie segunda policy com Metric Absence: mesma métrica de memória, mas selecione 'Absence condition'. Período: 15 minutos. Isso alerta se o Ops Agent parar.
Para o GKE (se o cluster estiver rodando): Monitoring → Settings → Enable Managed Collection (ativa o Managed Prometheus). Depois: kubectl get pods -n gmp-system para ver os coletores.
Crie um Dashboard customizado: Monitoring → Dashboards → Create. Adicione widgets: CPU utilization (hypervisor), Memory (Ops Agent), Active connections. Salve como 'ACE Operations Dashboard'.
💡 Ops Agent é um tema recorrente. Sempre que o exame perguntar 'por que não vejo métrica X de uma VM no Monitoring?' e X for memória, disco ou processo → resposta: Ops Agent não instalado.
Obtenha SA do sink: gcloud logging sinks describe ace-admin-sink --format='value(writerIdentity)'. Conceda permissão: bq add-iam-policy-binding --member=[SA] --role=roles/bigquery.dataEditor audit_export
Habilite VPC Flow Logs: gcloud compute networks subnets update ace-sub --region=us-central1 --enable-flow-logs. Gere tráfego (ping entre VMs). Aguarde 5 min e consulte em Logging → Log Explorer: resource.type='gce_subnetwork'
Explore Audit Logs: Log Explorer → selecione Log name = Cloud Audit → Admin Activity. Veja as operações realizadas hoje no projeto.
Active Assist: Console → Recommendations. Veja recomendações de custo (idle VMs, rightsizing) e segurança (IAM Recommender). Anote os tipos de recomendações disponíveis.
💡 O passo de conceder permissão ao SA do sink é onde 80% dos candidatos falham ao testar Log Sinks na prática — e é o que o exame pergunta quando os logs 'não aparecem no destino'.
Mapa rápido dos Labs do Capítulo 3
3.1 — Lab 3.1 — Snapshot Agendado, IAP SSH e HPA no GKE
3.2 — Lab 3.2 — Cloud Run Traffic Split, Cloud SQL Backup e Cloud NAT
3.3 — Lab 3.3 — Ops Agent, Alerting Policy e Managed Prometheus
3.4 — Lab 3.4 — Log Sink, Audit Logs, VPC Flow Logs e Error Reporting
50 Questões Estilo ACE - Capítulo 3
Questão 1 — MIGs (Managed Instance Groups) - Q1
Você ativou o Autoscaling em um MIG baseado em CPU. O que o MIG faz se a CPU média passar de 80%? (Cenário 1)
Gabarito: B. MIGs escalam horizontalmente (adicionando novas instâncias de VM) quando o limite configurado da métrica (ex: CPU) é excedido.
Questão 2 — GKE Deployments - Q2
Você quer garantir que sua aplicação Node.js rode 3 réplicas constantes no seu cluster GKE. Qual objeto Kubernetes você cria? (Cenário 2)
Gabarito: C. Um Deployment gerencia o ReplicaSet, garantindo que o número desejado de réplicas de Pods esteja sempre rodando.
Questão 3 — Buckets Regionais vs Multi - Q3
Sua aplicação está hospedada inteiramente na região us-east1 e precisa ler imagens no Cloud Storage rapidamente. Que tipo de bucket criar? (Cenário 3)
Gabarito: A. Colocar o bucket Regional na mesma região do Compute minimiza a latência e anula os custos de egress de rede.
Questão 4 — Cloud SQL Import - Q4
Você tem um arquivo de dump (.sql) no seu laptop e quer importá-lo para o Cloud SQL. Qual a melhor prática? (Cenário 4)
Gabarito: B. A documentação recomenda armazenar o arquivo no Cloud Storage (GCS) e importar no Cloud SQL a partir de lá para confiabilidade e performance.
Questão 5 — Load Balancer Externo - Q5
Qual balanceador de carga Layer 7 (HTTP) expõe sua aplicação mundialmente com um único IP Anycast? (Cenário 5)
Gabarito: B. O Application Load Balancer global externo gerencia tráfego HTTP/HTTPS distribuindo-o de forma inteligente entre regiões a partir de um IP único.
Questão 6 — MIGs (Managed Instance Groups) - Q6
Você ativou o Autoscaling em um MIG baseado em CPU. O que o MIG faz se a CPU média passar de 80%? (Cenário 6)
Gabarito: B. MIGs escalam horizontalmente (adicionando novas instâncias de VM) quando o limite configurado da métrica (ex: CPU) é excedido.
Questão 7 — GKE Deployments - Q7
Você quer garantir que sua aplicação Node.js rode 3 réplicas constantes no seu cluster GKE. Qual objeto Kubernetes você cria? (Cenário 7)
Gabarito: C. Um Deployment gerencia o ReplicaSet, garantindo que o número desejado de réplicas de Pods esteja sempre rodando.
Questão 8 — Buckets Regionais vs Multi - Q8
Sua aplicação está hospedada inteiramente na região us-east1 e precisa ler imagens no Cloud Storage rapidamente. Que tipo de bucket criar? (Cenário 8)
Gabarito: A. Colocar o bucket Regional na mesma região do Compute minimiza a latência e anula os custos de egress de rede.
Questão 9 — Cloud SQL Import - Q9
Você tem um arquivo de dump (.sql) no seu laptop e quer importá-lo para o Cloud SQL. Qual a melhor prática? (Cenário 9)
Gabarito: B. A documentação recomenda armazenar o arquivo no Cloud Storage (GCS) e importar no Cloud SQL a partir de lá para confiabilidade e performance.
Questão 10 — Load Balancer Externo - Q10
Qual balanceador de carga Layer 7 (HTTP) expõe sua aplicação mundialmente com um único IP Anycast? (Cenário 10)
Gabarito: B. O Application Load Balancer global externo gerencia tráfego HTTP/HTTPS distribuindo-o de forma inteligente entre regiões a partir de um IP único.
Questão 11 — MIGs (Managed Instance Groups) - Q11
Você ativou o Autoscaling em um MIG baseado em CPU. O que o MIG faz se a CPU média passar de 80%? (Cenário 11)
Gabarito: B. MIGs escalam horizontalmente (adicionando novas instâncias de VM) quando o limite configurado da métrica (ex: CPU) é excedido.
Questão 12 — GKE Deployments - Q12
Você quer garantir que sua aplicação Node.js rode 3 réplicas constantes no seu cluster GKE. Qual objeto Kubernetes você cria? (Cenário 12)
Gabarito: C. Um Deployment gerencia o ReplicaSet, garantindo que o número desejado de réplicas de Pods esteja sempre rodando.
Questão 13 — Buckets Regionais vs Multi - Q13
Sua aplicação está hospedada inteiramente na região us-east1 e precisa ler imagens no Cloud Storage rapidamente. Que tipo de bucket criar? (Cenário 13)
Gabarito: A. Colocar o bucket Regional na mesma região do Compute minimiza a latência e anula os custos de egress de rede.
Questão 14 — Cloud SQL Import - Q14
Você tem um arquivo de dump (.sql) no seu laptop e quer importá-lo para o Cloud SQL. Qual a melhor prática? (Cenário 14)
Gabarito: B. A documentação recomenda armazenar o arquivo no Cloud Storage (GCS) e importar no Cloud SQL a partir de lá para confiabilidade e performance.
Questão 15 — Load Balancer Externo - Q15
Qual balanceador de carga Layer 7 (HTTP) expõe sua aplicação mundialmente com um único IP Anycast? (Cenário 15)
Gabarito: B. O Application Load Balancer global externo gerencia tráfego HTTP/HTTPS distribuindo-o de forma inteligente entre regiões a partir de um IP único.
Questão 16 — MIGs (Managed Instance Groups) - Q16
Você ativou o Autoscaling em um MIG baseado em CPU. O que o MIG faz se a CPU média passar de 80%? (Cenário 16)
Gabarito: B. MIGs escalam horizontalmente (adicionando novas instâncias de VM) quando o limite configurado da métrica (ex: CPU) é excedido.
Questão 17 — GKE Deployments - Q17
Você quer garantir que sua aplicação Node.js rode 3 réplicas constantes no seu cluster GKE. Qual objeto Kubernetes você cria? (Cenário 17)
Gabarito: C. Um Deployment gerencia o ReplicaSet, garantindo que o número desejado de réplicas de Pods esteja sempre rodando.
Questão 18 — Buckets Regionais vs Multi - Q18
Sua aplicação está hospedada inteiramente na região us-east1 e precisa ler imagens no Cloud Storage rapidamente. Que tipo de bucket criar? (Cenário 18)
Gabarito: A. Colocar o bucket Regional na mesma região do Compute minimiza a latência e anula os custos de egress de rede.
Questão 19 — Cloud SQL Import - Q19
Você tem um arquivo de dump (.sql) no seu laptop e quer importá-lo para o Cloud SQL. Qual a melhor prática? (Cenário 19)
Gabarito: B. A documentação recomenda armazenar o arquivo no Cloud Storage (GCS) e importar no Cloud SQL a partir de lá para confiabilidade e performance.
Questão 20 — Load Balancer Externo - Q20
Qual balanceador de carga Layer 7 (HTTP) expõe sua aplicação mundialmente com um único IP Anycast? (Cenário 20)
Gabarito: B. O Application Load Balancer global externo gerencia tráfego HTTP/HTTPS distribuindo-o de forma inteligente entre regiões a partir de um IP único.
Questão 21 — MIGs (Managed Instance Groups) - Q21
Você ativou o Autoscaling em um MIG baseado em CPU. O que o MIG faz se a CPU média passar de 80%? (Cenário 21)
Gabarito: B. MIGs escalam horizontalmente (adicionando novas instâncias de VM) quando o limite configurado da métrica (ex: CPU) é excedido.
Questão 22 — GKE Deployments - Q22
Você quer garantir que sua aplicação Node.js rode 3 réplicas constantes no seu cluster GKE. Qual objeto Kubernetes você cria? (Cenário 22)
Gabarito: C. Um Deployment gerencia o ReplicaSet, garantindo que o número desejado de réplicas de Pods esteja sempre rodando.
Questão 23 — Buckets Regionais vs Multi - Q23
Sua aplicação está hospedada inteiramente na região us-east1 e precisa ler imagens no Cloud Storage rapidamente. Que tipo de bucket criar? (Cenário 23)
Gabarito: A. Colocar o bucket Regional na mesma região do Compute minimiza a latência e anula os custos de egress de rede.
Questão 24 — Cloud SQL Import - Q24
Você tem um arquivo de dump (.sql) no seu laptop e quer importá-lo para o Cloud SQL. Qual a melhor prática? (Cenário 24)
Gabarito: B. A documentação recomenda armazenar o arquivo no Cloud Storage (GCS) e importar no Cloud SQL a partir de lá para confiabilidade e performance.
Questão 25 — Load Balancer Externo - Q25
Qual balanceador de carga Layer 7 (HTTP) expõe sua aplicação mundialmente com um único IP Anycast? (Cenário 25)
Gabarito: B. O Application Load Balancer global externo gerencia tráfego HTTP/HTTPS distribuindo-o de forma inteligente entre regiões a partir de um IP único.
Questão 26 — MIGs (Managed Instance Groups) - Q26
Você ativou o Autoscaling em um MIG baseado em CPU. O que o MIG faz se a CPU média passar de 80%? (Cenário 26)
Gabarito: B. MIGs escalam horizontalmente (adicionando novas instâncias de VM) quando o limite configurado da métrica (ex: CPU) é excedido.
Questão 27 — GKE Deployments - Q27
Você quer garantir que sua aplicação Node.js rode 3 réplicas constantes no seu cluster GKE. Qual objeto Kubernetes você cria? (Cenário 27)
Gabarito: C. Um Deployment gerencia o ReplicaSet, garantindo que o número desejado de réplicas de Pods esteja sempre rodando.
Questão 28 — Buckets Regionais vs Multi - Q28
Sua aplicação está hospedada inteiramente na região us-east1 e precisa ler imagens no Cloud Storage rapidamente. Que tipo de bucket criar? (Cenário 28)
Gabarito: A. Colocar o bucket Regional na mesma região do Compute minimiza a latência e anula os custos de egress de rede.
Questão 29 — Cloud SQL Import - Q29
Você tem um arquivo de dump (.sql) no seu laptop e quer importá-lo para o Cloud SQL. Qual a melhor prática? (Cenário 29)
Gabarito: B. A documentação recomenda armazenar o arquivo no Cloud Storage (GCS) e importar no Cloud SQL a partir de lá para confiabilidade e performance.
Questão 30 — Load Balancer Externo - Q30
Qual balanceador de carga Layer 7 (HTTP) expõe sua aplicação mundialmente com um único IP Anycast? (Cenário 30)
Gabarito: B. O Application Load Balancer global externo gerencia tráfego HTTP/HTTPS distribuindo-o de forma inteligente entre regiões a partir de um IP único.
Questão 31 — MIGs (Managed Instance Groups) - Q31
Você ativou o Autoscaling em um MIG baseado em CPU. O que o MIG faz se a CPU média passar de 80%? (Cenário 31)
Gabarito: B. MIGs escalam horizontalmente (adicionando novas instâncias de VM) quando o limite configurado da métrica (ex: CPU) é excedido.
Questão 32 — GKE Deployments - Q32
Você quer garantir que sua aplicação Node.js rode 3 réplicas constantes no seu cluster GKE. Qual objeto Kubernetes você cria? (Cenário 32)
Gabarito: C. Um Deployment gerencia o ReplicaSet, garantindo que o número desejado de réplicas de Pods esteja sempre rodando.
Questão 33 — Buckets Regionais vs Multi - Q33
Sua aplicação está hospedada inteiramente na região us-east1 e precisa ler imagens no Cloud Storage rapidamente. Que tipo de bucket criar? (Cenário 33)
Gabarito: A. Colocar o bucket Regional na mesma região do Compute minimiza a latência e anula os custos de egress de rede.
Questão 34 — Cloud SQL Import - Q34
Você tem um arquivo de dump (.sql) no seu laptop e quer importá-lo para o Cloud SQL. Qual a melhor prática? (Cenário 34)
Gabarito: B. A documentação recomenda armazenar o arquivo no Cloud Storage (GCS) e importar no Cloud SQL a partir de lá para confiabilidade e performance.
Questão 35 — Load Balancer Externo - Q35
Qual balanceador de carga Layer 7 (HTTP) expõe sua aplicação mundialmente com um único IP Anycast? (Cenário 35)
Gabarito: B. O Application Load Balancer global externo gerencia tráfego HTTP/HTTPS distribuindo-o de forma inteligente entre regiões a partir de um IP único.
Questão Extra 1 — App Engine Environments - Extra 1
Quais as DUAS principais diferenças entre o App Engine Standard e o Flexible? (Escolha 2) [Teste 1]
Gabarito: A, B. App Engine Standard tem inicialização quase instantânea e scale-to-zero. O Flexible suporta imagens customizadas (Docker) rodando em VMs duradouras.
Questão Extra 2 — GKE Networking - Extra 2
Ao criar um Serviço (Service) no GKE, quais DOIS tipos podem expor a aplicação externamente para a internet? (Escolha 2) [Teste 2]
Gabarito: B, C. NodePort expõe na porta do nó da VM externamente, e LoadBalancer aloca um Cloud Load Balancer com um IP externo público real.
Questão Extra 3 — App Engine Environments - Extra 3
Quais as DUAS principais diferenças entre o App Engine Standard e o Flexible? (Escolha 2) [Teste 3]
Gabarito: A, B. App Engine Standard tem inicialização quase instantânea e scale-to-zero. O Flexible suporta imagens customizadas (Docker) rodando em VMs duradouras.
Questão Extra 4 — GKE Networking - Extra 4
Ao criar um Serviço (Service) no GKE, quais DOIS tipos podem expor a aplicação externamente para a internet? (Escolha 2) [Teste 4]
Gabarito: B, C. NodePort expõe na porta do nó da VM externamente, e LoadBalancer aloca um Cloud Load Balancer com um IP externo público real.
Questão Extra 5 — App Engine Environments - Extra 5
Quais as DUAS principais diferenças entre o App Engine Standard e o Flexible? (Escolha 2) [Teste 5]
Gabarito: A, B. App Engine Standard tem inicialização quase instantânea e scale-to-zero. O Flexible suporta imagens customizadas (Docker) rodando em VMs duradouras.
Questão Extra 6 — GKE Networking - Extra 6
Ao criar um Serviço (Service) no GKE, quais DOIS tipos podem expor a aplicação externamente para a internet? (Escolha 2) [Teste 6]
Gabarito: B, C. NodePort expõe na porta do nó da VM externamente, e LoadBalancer aloca um Cloud Load Balancer com um IP externo público real.
Questão Extra 7 — App Engine Environments - Extra 7
Quais as DUAS principais diferenças entre o App Engine Standard e o Flexible? (Escolha 2) [Teste 7]
Gabarito: A, B. App Engine Standard tem inicialização quase instantânea e scale-to-zero. O Flexible suporta imagens customizadas (Docker) rodando em VMs duradouras.
Questão Extra 8 — GKE Networking - Extra 8
Ao criar um Serviço (Service) no GKE, quais DOIS tipos podem expor a aplicação externamente para a internet? (Escolha 2) [Teste 8]
Gabarito: B, C. NodePort expõe na porta do nó da VM externamente, e LoadBalancer aloca um Cloud Load Balancer com um IP externo público real.
Questão Extra 9 — App Engine Environments - Extra 9
Quais as DUAS principais diferenças entre o App Engine Standard e o Flexible? (Escolha 2) [Teste 9]
Gabarito: A, B. App Engine Standard tem inicialização quase instantânea e scale-to-zero. O Flexible suporta imagens customizadas (Docker) rodando em VMs duradouras.
Questão Extra 10 — GKE Networking - Extra 10
Ao criar um Serviço (Service) no GKE, quais DOIS tipos podem expor a aplicação externamente para a internet? (Escolha 2) [Teste 10]
Gabarito: B, C. NodePort expõe na porta do nó da VM externamente, e LoadBalancer aloca um Cloud Load Balancer com um IP externo público real.
Questão Extra 11 — App Engine Environments - Extra 11
Quais as DUAS principais diferenças entre o App Engine Standard e o Flexible? (Escolha 2) [Teste 11]
Gabarito: A, B. App Engine Standard tem inicialização quase instantânea e scale-to-zero. O Flexible suporta imagens customizadas (Docker) rodando em VMs duradouras.
Questão Extra 12 — GKE Networking - Extra 12
Ao criar um Serviço (Service) no GKE, quais DOIS tipos podem expor a aplicação externamente para a internet? (Escolha 2) [Teste 12]
Gabarito: B, C. NodePort expõe na porta do nó da VM externamente, e LoadBalancer aloca um Cloud Load Balancer com um IP externo público real.
Questão Extra 13 — App Engine Environments - Extra 13
Quais as DUAS principais diferenças entre o App Engine Standard e o Flexible? (Escolha 2) [Teste 13]
Gabarito: A, B. App Engine Standard tem inicialização quase instantânea e scale-to-zero. O Flexible suporta imagens customizadas (Docker) rodando em VMs duradouras.
Questão Extra 14 — GKE Networking - Extra 14
Ao criar um Serviço (Service) no GKE, quais DOIS tipos podem expor a aplicação externamente para a internet? (Escolha 2) [Teste 14]
Gabarito: B, C. NodePort expõe na porta do nó da VM externamente, e LoadBalancer aloca um Cloud Load Balancer com um IP externo público real.
Questão Extra 15 — App Engine Environments - Extra 15
Quais as DUAS principais diferenças entre o App Engine Standard e o Flexible? (Escolha 2) [Teste 15]
Gabarito: A, B. App Engine Standard tem inicialização quase instantânea e scale-to-zero. O Flexible suporta imagens customizadas (Docker) rodando em VMs duradouras.
Conteúdo
Conteúdo detalhado do Capítulo 4 — Section 4 completa
Esta seção cobre configuração de acesso e segurança, com foco em IAM, hierarquia de políticas, tipos de roles, roles customizadas, service accounts, impersonation, credenciais temporárias e federação de identidade para workloads.
📜 4.1 Viewing and creating IAM policies
Conceito objetivo: Políticas IAM definem quais principals recebem quais roles em quais recursos.
Função: Visualizar, entender e criar vínculos de acesso para controlar autorização no Google Cloud.
Como usar:
Use Console, gcloud get-iam-policy/set-iam-policy ou add-iam-policy-binding; prefira grupos e menor privilégio.
Palavra-chave: Policy
Exemplo: Adicionar roles/viewer a um grupo no projeto e revisar a policy resultante antes de aplicar mudanças.
🏛️ 4.1 Roles and policy inheritance in the Organization hierarchy
Conceito objetivo: Roles podem ser concedidas em Organization, Folder, Project ou Resource e são herdadas pelos níveis inferiores.
Função: Aplicar acesso de forma escalável e previsível, respeitando a hierarquia de recursos.
Como usar:
Conceda permissões amplas em níveis superiores apenas quando necessário; use projetos/pastas para escopo menor.
Palavra-chave: Herança
Exemplo: Um grupo recebe Viewer em uma pasta e herda visualização nos projetos dentro dessa pasta.
🧩 4.1 Role types and custom IAM roles
Conceito objetivo: Tipos de role incluem basic roles, predefined roles e custom roles.
Função: Escolher o nível correto de permissão e criar roles customizadas quando roles predefinidas forem amplas demais.
Como usar:
Evite Owner/Editor/Viewer quando possível; prefira predefined roles e crie custom roles com permissões mínimas.
Palavra-chave: Role
Exemplo: Criar uma custom role com permissões específicas de leitura de logs sem conceder acesso administrativo.
🤖 4.2 Creating service accounts, including Google-managed service accounts
Conceito objetivo: Service accounts são identidades para workloads e serviços; algumas são criadas/gerenciadas pelo Google.
Função: Permitir que aplicações, VMs, GKE, Cloud Run e serviços automatizados acessem APIs com identidade própria.
Como usar:
Crie service accounts por aplicação ou componente; reconheça Google-managed service accounts usadas por serviços gerenciados.
Palavra-chave: Service Account
Exemplo: Criar uma service account app-backend para uma aplicação Cloud Run acessar Pub/Sub.
🔐 4.2 Using service accounts in IAM policies with minimum permissions
Conceito objetivo: Service accounts devem receber apenas as permissões necessárias para executar uma função.
Função: Reduzir risco de abuso, movimentação lateral e impacto de credenciais comprometidas.
Como usar:
Conceda roles específicas à service account no recurso necessário; evite Project Editor e permissões amplas.
Palavra-chave: Menor privilégio
Exemplo: Service account de backup recebe apenas permissão para gravar em um bucket específico.
📌 4.2 Assigning service accounts to resources
Conceito objetivo: Recursos como VMs, Cloud Run, GKE e jobs podem executar usando uma service account atribuída.
Função: Fazer o workload assumir a identidade correta durante chamadas a APIs do Google Cloud.
Como usar:
Atribua a service account no momento de criação ou configuração do recurso; separe identidades por aplicação.
Palavra-chave: Anexar
Exemplo: Uma VM executa com service account vm-importer para ler dados do Cloud Storage.
🛡️ 4.2 Managing IAM permissions of a service account
Conceito objetivo: É possível controlar quem pode usar, administrar ou conceder acesso a uma service account.
Função: Separar permissões de uso da identidade das permissões que a identidade possui nos recursos.
Como usar:
Use roles como Service Account User, Service Account Token Creator e Service Account Admin com cuidado.
Palavra-chave: Permissões SA
Exemplo: Um operador pode anexar uma service account a uma VM, mas não pode criar chaves nem alterar suas permissões.
🎭 4.2 Managing service account impersonation
Conceito objetivo: Impersonation permite que um principal atue temporariamente como uma service account autorizada.
Função: Executar tarefas com identidade controlada sem distribuir chaves permanentes.
Como usar:
Conceda Service Account Token Creator apenas a usuários, grupos ou workloads autorizados; audite o uso.
Palavra-chave: Impersonation
Exemplo: Pipeline CI/CD impersona deployer-sa para publicar uma nova versão de Cloud Run.
⏳ 4.2 Creating and managing short-lived service account credentials
Conceito objetivo: Credenciais de curta duração substituem chaves long-lived para reduzir risco de exposição.
Função: Gerar tokens temporários para autenticação e autorização com validade limitada.
Como usar:
Use impersonation, STS, OAuth access tokens e evite criar/download de chaves JSON persistentes.
Palavra-chave: Curta duração
Exemplo: Script administrativo gera access token temporário para executar uma operação e expira em seguida.
☸️ 4.2 Using a Google Cloud service account with a GKE application
Conceito objetivo: Aplicações em GKE podem acessar recursos Google Cloud usando service accounts com integração de identidade.
Função: Permitir que Pods acessem APIs sem armazenar chaves estáticas em Secrets.
Como usar:
Use Workload Identity Federation for GKE para mapear Kubernetes Service Account para Google Cloud service account.
Palavra-chave: GKE SA
Exemplo: Pod em GKE usa uma Kubernetes Service Account mapeada para acessar Pub/Sub com permissões mínimas.
🪪 4.2 Provisioning Workload Identity Federation
Conceito objetivo: Workload Identity Federation permite que workloads externos ou do GKE acessem Google Cloud sem chaves de service account.
Função: Federar identidades de provedores externos ou Kubernetes para obter credenciais temporárias.
Como usar:
Configure pool/provider, mapeamento de atributos e IAM bindings para o principal federado.
Palavra-chave: Federação
Exemplo: Workload em ambiente externo usa OIDC para acessar Google Cloud sem armazenar chave JSON.
Resumo mental do Capítulo 4
SECTION 4 — CONFIGURING ACCESS AND SECURITY
├── 4.1 Managing IAM
│ ├── Viewing and creating IAM policies
│ ├── Attaching roles and policy inheritance in the Organization hierarchy
│ └── Managing role types and defining custom IAM roles
└── 4.2 Managing service accounts
├── Creating service accounts, including Google-managed service accounts
├── Using service accounts in IAM policies with minimum permissions
├── Assigning service accounts to resources
├── Managing IAM permissions of a service account
├── Managing service account impersonation
├── Creating and managing short-lived service account credentials
├── Using a Google Cloud service account with a GKE application
└── Provisioning Workload Identity Federation
Comandos gcloud
Comandos obrigatórios do exame — Capítulo 4 / Section 4
Comandos de IAM, service accounts, impersonation, chaves e políticas de acesso.
🔐 Identidade e credenciais
Autenticação de usuário, service account e tokens temporários.
gcloud auth loginAutorizar acesso com credenciais de usuário.
gcloud auth activate-service-account --key-file=KEY.jsonAutenticar usando credenciais de service account.
gcloud auth listListar contas credenciadas.
gcloud auth print-access-tokenExibir access token da conta atual.
gcloud auth revoke ACCOUNTRemover credenciais de acesso.
🧩 IAM policies e roles
Gerenciar permissões e custom roles com menor privilégio.
gcloud projects add-iam-policy-binding PROJECT_ID --member=MEMBER --role=ROLEAdicionar binding IAM ao projeto.
gcloud iam list-grantable-roles RESOURCEListar roles concedíveis para um recurso.
gcloud iam roles create ROLE_ID --project=PROJECT_IDCriar custom role no projeto.
🤖 Service accounts
Criar contas, gerenciar chaves e políticas da identidade.
gcloud iam service-accounts create SA_NAMECriar service account no projeto.
gcloud iam service-accounts keys list --iam-account=SA_EMAILListar chaves de uma service account.
gcloud iam service-accounts add-iam-policy-binding SA_EMAIL --member=MEMBER --role=ROLEAdicionar IAM policy a uma service account.
gcloud iam service-accounts set-iam-policy SA_EMAIL POLICY_FILESubstituir policy IAM existente da service account.
🛡️ Boas práticas cobradas
Pontos que aparecem como pegadinha de segurança no exame.
Use --project e --format em comandos IAMEvita aplicar acesso no projeto errado e facilita auditoria.
Como estudar para a prova:
Não decore apenas o comando. Saiba identificar o verbo operacional — list, describe, create, deploy, add-iam-policy-binding, get-credentials, snapshot, export — e associe cada comando ao cenário cobrado.
Labs práticos
Exercícios práticos de Lab — Capítulo 4
Section 4 — Configuring Access and Security. Labs focados em acesso e segurança: custom roles, IAM Conditions, Policy Troubleshooter, service accounts, impersonation, tokens temporários e Workload Identity Federation.
⚡ 2 labs🧪 Prática de Console/CLI🎯 Foco ACE
Lab 4.1
Lab 4.1 — Custom Role, IAM Condition e Policy Troubleshooter
Crie um Custom Role: Console → IAM & Admin → Roles → Create Role. Adicione permissões: compute.instances.list, compute.instances.get. Stage: GA. Salve como 'Compute Inspector'.
Adicione binding com condição de expiração: IAM → Add Principal → selecione o Custom Role → Add Condition. Condition type: 'Expiry date'. Configure para 7 dias no futuro.
Use o Policy Troubleshooter: IAM & Admin → Policy Troubleshooter. Insira seu email e a permissão 'compute.instances.create'. Analise de qual binding vem essa permissão.
Explore Deny Policies: IAM & Admin → Deny Policies → Create Deny Policy. Veja as opções de permissions para deny e os campos de exception principals.
Acesse IAM Recommender: IAM & Admin → Recommendations. Veja as sugestões de redução de permissões. Observe o botão 'Apply' para cada recomendação.
💡 Memorize: Deny Policies têm precedência absoluta. No exame, se uma questão diz 'mesmo Admins não podem deletar X', a resposta é Deny Policy, não uma regra de firewall ou Org Policy.
Lab 4.2
Lab 4.2 — SA com Mínimo Privilégio, Impersonation e Workload Identity Federation
Crie SA dedicada: gcloud iam service-accounts create ace-app-sa --display-name='ACE App SA'. Atribua apenas roles/storage.objectViewer: gcloud projects add-iam-policy-binding [PROJ] --member='serviceAccount:ace-app-sa@[PROJ].iam.gserviceaccount.com' --role='roles/storage.objectViewer'
Conceda impersonation a você mesmo: gcloud iam service-accounts add-iam-policy-binding ace-app-sa@[PROJ].iam.gserviceaccount.com --member='user:[SEU_EMAIL]' --role='roles/iam.serviceAccountTokenCreator'
Teste impersonation: gcloud storage ls gs://ace-std-[ID] --impersonate-service-account=ace-app-sa@[PROJ].iam.gserviceaccount.com (deve funcionar). Tente criar um bucket (deve falhar — SA não tem permissão).
Gere short-lived token: gcloud iam service-accounts generate-access-token ace-app-sa@[PROJ].iam.gserviceaccount.com --lifetime=3600s. Observe o token gerado e sua expiração.
Explore Workload Identity Federation: IAM & Admin → Workload Identity Federation → Create Pool. Escolha provider 'GitHub'. Veja os campos necessários (repository, audience). Explore o mapeamento de atributos.
💡 Para o dia da prova: lembre que 'como autenticar GitHub Actions no GCP de forma segura' = Workload Identity Federation (não SA key). E 'como um Pod GKE acessa GCS de forma segura' = GKE Workload Identity (não SA key no Secret).
Mapa rápido dos Labs do Capítulo 4
4.1 — Lab 4.1 — Custom Role, IAM Condition e Policy Troubleshooter
4.2 — Lab 4.2 — SA com Mínimo Privilégio, Impersonation e Workload Identity Federation
50 Questões Estilo ACE - Capítulo 4
Questão 1 — Cloud Monitoring Alerts - Q1
Como você notifica sua equipe via Slack quando os pods do GKE falham continuamente? (Série de Monitoramento 1)
Gabarito: C. Alerting Policies usam Notification Channels para disparar mensagens (Slack, Email, SMS) baseadas na violação de métricas.
Questão 2 — Cloud Logging Sinks - Q2
Por padrão, o Cloud Logging retém a maioria dos logs por 30 dias. Sua empresa precisa retê-los por 5 anos para auditoria. O que fazer? (Série de Monitoramento 2)
Gabarito: B. Sinks do Log Router enviam cópias de logs para o Cloud Storage, BigQuery ou Pub/Sub. O Cloud Storage é ideal para retenção a longo prazo por 5 anos a baixo custo.
Questão 3 — Cloud Armor e WAF - Q3
Como proteger sua aplicação contra ataques de Cross-Site Scripting (XSS) e SQL Injection de forma nativa e gerenciada? (Série de Monitoramento 3)
Gabarito: C. Cloud Armor é o serviço de WAF e anti-DDoS do Google, configurado como política atrelada a balanceadores de carga HTTP(S).
Questão 4 — Identity-Aware Proxy (IAP) - Q4
Você quer permitir que funcionários acessem uma intranet privada do GCP de casa, sem precisar instalar um cliente VPN. O que usar? (Série de Monitoramento 4)
Gabarito: B. IAP verifica a identidade do usuário através das contas do Google antes de permitir acesso ao recurso protegido na web ou via SSH sem precisar de VPN.
Questão 5 — Audit Logs (Logs de Auditoria) - Q5
Onde você pode ver de forma unificada 'QUEM fez O QUE, ONDE e QUANDO' na sua infraestrutura do GCP? (Série de Monitoramento 5)
Gabarito: B. Os Audit Logs no Cloud Logging (Admin Activity, Data Access) capturam detalhadamente as chamadas de API, documentando quem fez a ação, o recurso e o timestamp.
Questão 6 — Cloud Monitoring Alerts - Q6
Como você notifica sua equipe via Slack quando os pods do GKE falham continuamente? (Série de Monitoramento 6)
Gabarito: C. Alerting Policies usam Notification Channels para disparar mensagens (Slack, Email, SMS) baseadas na violação de métricas.
Questão 7 — Cloud Logging Sinks - Q7
Por padrão, o Cloud Logging retém a maioria dos logs por 30 dias. Sua empresa precisa retê-los por 5 anos para auditoria. O que fazer? (Série de Monitoramento 7)
Gabarito: B. Sinks do Log Router enviam cópias de logs para o Cloud Storage, BigQuery ou Pub/Sub. O Cloud Storage é ideal para retenção a longo prazo por 5 anos a baixo custo.
Questão 8 — Cloud Armor e WAF - Q8
Como proteger sua aplicação contra ataques de Cross-Site Scripting (XSS) e SQL Injection de forma nativa e gerenciada? (Série de Monitoramento 8)
Gabarito: C. Cloud Armor é o serviço de WAF e anti-DDoS do Google, configurado como política atrelada a balanceadores de carga HTTP(S).
Questão 9 — Identity-Aware Proxy (IAP) - Q9
Você quer permitir que funcionários acessem uma intranet privada do GCP de casa, sem precisar instalar um cliente VPN. O que usar? (Série de Monitoramento 9)
Gabarito: B. IAP verifica a identidade do usuário através das contas do Google antes de permitir acesso ao recurso protegido na web ou via SSH sem precisar de VPN.
Questão 10 — Audit Logs (Logs de Auditoria) - Q10
Onde você pode ver de forma unificada 'QUEM fez O QUE, ONDE e QUANDO' na sua infraestrutura do GCP? (Série de Monitoramento 10)
Gabarito: B. Os Audit Logs no Cloud Logging (Admin Activity, Data Access) capturam detalhadamente as chamadas de API, documentando quem fez a ação, o recurso e o timestamp.
Questão 11 — Cloud Monitoring Alerts - Q11
Como você notifica sua equipe via Slack quando os pods do GKE falham continuamente? (Série de Monitoramento 11)
Gabarito: C. Alerting Policies usam Notification Channels para disparar mensagens (Slack, Email, SMS) baseadas na violação de métricas.
Questão 12 — Cloud Logging Sinks - Q12
Por padrão, o Cloud Logging retém a maioria dos logs por 30 dias. Sua empresa precisa retê-los por 5 anos para auditoria. O que fazer? (Série de Monitoramento 12)
Gabarito: B. Sinks do Log Router enviam cópias de logs para o Cloud Storage, BigQuery ou Pub/Sub. O Cloud Storage é ideal para retenção a longo prazo por 5 anos a baixo custo.
Questão 13 — Cloud Armor e WAF - Q13
Como proteger sua aplicação contra ataques de Cross-Site Scripting (XSS) e SQL Injection de forma nativa e gerenciada? (Série de Monitoramento 13)
Gabarito: C. Cloud Armor é o serviço de WAF e anti-DDoS do Google, configurado como política atrelada a balanceadores de carga HTTP(S).
Questão 14 — Identity-Aware Proxy (IAP) - Q14
Você quer permitir que funcionários acessem uma intranet privada do GCP de casa, sem precisar instalar um cliente VPN. O que usar? (Série de Monitoramento 14)
Gabarito: B. IAP verifica a identidade do usuário através das contas do Google antes de permitir acesso ao recurso protegido na web ou via SSH sem precisar de VPN.
Questão 15 — Audit Logs (Logs de Auditoria) - Q15
Onde você pode ver de forma unificada 'QUEM fez O QUE, ONDE e QUANDO' na sua infraestrutura do GCP? (Série de Monitoramento 15)
Gabarito: B. Os Audit Logs no Cloud Logging (Admin Activity, Data Access) capturam detalhadamente as chamadas de API, documentando quem fez a ação, o recurso e o timestamp.
Questão 16 — Cloud Monitoring Alerts - Q16
Como você notifica sua equipe via Slack quando os pods do GKE falham continuamente? (Série de Monitoramento 16)
Gabarito: C. Alerting Policies usam Notification Channels para disparar mensagens (Slack, Email, SMS) baseadas na violação de métricas.
Questão 17 — Cloud Logging Sinks - Q17
Por padrão, o Cloud Logging retém a maioria dos logs por 30 dias. Sua empresa precisa retê-los por 5 anos para auditoria. O que fazer? (Série de Monitoramento 17)
Gabarito: B. Sinks do Log Router enviam cópias de logs para o Cloud Storage, BigQuery ou Pub/Sub. O Cloud Storage é ideal para retenção a longo prazo por 5 anos a baixo custo.
Questão 18 — Cloud Armor e WAF - Q18
Como proteger sua aplicação contra ataques de Cross-Site Scripting (XSS) e SQL Injection de forma nativa e gerenciada? (Série de Monitoramento 18)
Gabarito: C. Cloud Armor é o serviço de WAF e anti-DDoS do Google, configurado como política atrelada a balanceadores de carga HTTP(S).
Questão 19 — Identity-Aware Proxy (IAP) - Q19
Você quer permitir que funcionários acessem uma intranet privada do GCP de casa, sem precisar instalar um cliente VPN. O que usar? (Série de Monitoramento 19)
Gabarito: B. IAP verifica a identidade do usuário através das contas do Google antes de permitir acesso ao recurso protegido na web ou via SSH sem precisar de VPN.
Questão 20 — Audit Logs (Logs de Auditoria) - Q20
Onde você pode ver de forma unificada 'QUEM fez O QUE, ONDE e QUANDO' na sua infraestrutura do GCP? (Série de Monitoramento 20)
Gabarito: B. Os Audit Logs no Cloud Logging (Admin Activity, Data Access) capturam detalhadamente as chamadas de API, documentando quem fez a ação, o recurso e o timestamp.
Questão 21 — Cloud Monitoring Alerts - Q21
Como você notifica sua equipe via Slack quando os pods do GKE falham continuamente? (Série de Monitoramento 21)
Gabarito: C. Alerting Policies usam Notification Channels para disparar mensagens (Slack, Email, SMS) baseadas na violação de métricas.
Questão 22 — Cloud Logging Sinks - Q22
Por padrão, o Cloud Logging retém a maioria dos logs por 30 dias. Sua empresa precisa retê-los por 5 anos para auditoria. O que fazer? (Série de Monitoramento 22)
Gabarito: B. Sinks do Log Router enviam cópias de logs para o Cloud Storage, BigQuery ou Pub/Sub. O Cloud Storage é ideal para retenção a longo prazo por 5 anos a baixo custo.
Questão 23 — Cloud Armor e WAF - Q23
Como proteger sua aplicação contra ataques de Cross-Site Scripting (XSS) e SQL Injection de forma nativa e gerenciada? (Série de Monitoramento 23)
Gabarito: C. Cloud Armor é o serviço de WAF e anti-DDoS do Google, configurado como política atrelada a balanceadores de carga HTTP(S).
Questão 24 — Identity-Aware Proxy (IAP) - Q24
Você quer permitir que funcionários acessem uma intranet privada do GCP de casa, sem precisar instalar um cliente VPN. O que usar? (Série de Monitoramento 24)
Gabarito: B. IAP verifica a identidade do usuário através das contas do Google antes de permitir acesso ao recurso protegido na web ou via SSH sem precisar de VPN.
Questão 25 — Audit Logs (Logs de Auditoria) - Q25
Onde você pode ver de forma unificada 'QUEM fez O QUE, ONDE e QUANDO' na sua infraestrutura do GCP? (Série de Monitoramento 25)
Gabarito: B. Os Audit Logs no Cloud Logging (Admin Activity, Data Access) capturam detalhadamente as chamadas de API, documentando quem fez a ação, o recurso e o timestamp.
Questão 26 — Cloud Monitoring Alerts - Q26
Como você notifica sua equipe via Slack quando os pods do GKE falham continuamente? (Série de Monitoramento 26)
Gabarito: C. Alerting Policies usam Notification Channels para disparar mensagens (Slack, Email, SMS) baseadas na violação de métricas.
Questão 27 — Cloud Logging Sinks - Q27
Por padrão, o Cloud Logging retém a maioria dos logs por 30 dias. Sua empresa precisa retê-los por 5 anos para auditoria. O que fazer? (Série de Monitoramento 27)
Gabarito: B. Sinks do Log Router enviam cópias de logs para o Cloud Storage, BigQuery ou Pub/Sub. O Cloud Storage é ideal para retenção a longo prazo por 5 anos a baixo custo.
Questão 28 — Cloud Armor e WAF - Q28
Como proteger sua aplicação contra ataques de Cross-Site Scripting (XSS) e SQL Injection de forma nativa e gerenciada? (Série de Monitoramento 28)
Gabarito: C. Cloud Armor é o serviço de WAF e anti-DDoS do Google, configurado como política atrelada a balanceadores de carga HTTP(S).
Questão 29 — Identity-Aware Proxy (IAP) - Q29
Você quer permitir que funcionários acessem uma intranet privada do GCP de casa, sem precisar instalar um cliente VPN. O que usar? (Série de Monitoramento 29)
Gabarito: B. IAP verifica a identidade do usuário através das contas do Google antes de permitir acesso ao recurso protegido na web ou via SSH sem precisar de VPN.
Questão 30 — Audit Logs (Logs de Auditoria) - Q30
Onde você pode ver de forma unificada 'QUEM fez O QUE, ONDE e QUANDO' na sua infraestrutura do GCP? (Série de Monitoramento 30)
Gabarito: B. Os Audit Logs no Cloud Logging (Admin Activity, Data Access) capturam detalhadamente as chamadas de API, documentando quem fez a ação, o recurso e o timestamp.
Questão 31 — Cloud Monitoring Alerts - Q31
Como você notifica sua equipe via Slack quando os pods do GKE falham continuamente? (Série de Monitoramento 31)
Gabarito: C. Alerting Policies usam Notification Channels para disparar mensagens (Slack, Email, SMS) baseadas na violação de métricas.
Questão 32 — Cloud Logging Sinks - Q32
Por padrão, o Cloud Logging retém a maioria dos logs por 30 dias. Sua empresa precisa retê-los por 5 anos para auditoria. O que fazer? (Série de Monitoramento 32)
Gabarito: B. Sinks do Log Router enviam cópias de logs para o Cloud Storage, BigQuery ou Pub/Sub. O Cloud Storage é ideal para retenção a longo prazo por 5 anos a baixo custo.
Questão 33 — Cloud Armor e WAF - Q33
Como proteger sua aplicação contra ataques de Cross-Site Scripting (XSS) e SQL Injection de forma nativa e gerenciada? (Série de Monitoramento 33)
Gabarito: C. Cloud Armor é o serviço de WAF e anti-DDoS do Google, configurado como política atrelada a balanceadores de carga HTTP(S).
Questão 34 — Identity-Aware Proxy (IAP) - Q34
Você quer permitir que funcionários acessem uma intranet privada do GCP de casa, sem precisar instalar um cliente VPN. O que usar? (Série de Monitoramento 34)
Gabarito: B. IAP verifica a identidade do usuário através das contas do Google antes de permitir acesso ao recurso protegido na web ou via SSH sem precisar de VPN.
Questão 35 — Audit Logs (Logs de Auditoria) - Q35
Onde você pode ver de forma unificada 'QUEM fez O QUE, ONDE e QUANDO' na sua infraestrutura do GCP? (Série de Monitoramento 35)
Gabarito: B. Os Audit Logs no Cloud Logging (Admin Activity, Data Access) capturam detalhadamente as chamadas de API, documentando quem fez a ação, o recurso e o timestamp.
Questão Extra 1 — Permissões de Contas de Serviço (Service Accounts) - Extra 1
O que você NÃO deve fazer com Service Accounts (Contas de Serviço) em relação à segurança? (Escolha 2) [Avaliação 1]
Gabarito: B, C. As chaves JSON (baixadas) são o maior risco de vazamento do GCP. Dar Owner para a Default Account quebra o princípio do Menor Privilégio, afetando o projeto inteiro se a VM for invadida.
Questão Extra 2 — Logging vs Monitoring - Extra 2
Qual a função fundamental de cada ferramenta? (Escolha 2) [Avaliação 2]
Gabarito: A, C. A diferença central: Logging trata os eventos/logs (textos estruturados de acontecimentos), enquanto Monitoring lida com métricas numéricas, agregação e alertas.
Questão Extra 3 — Permissões de Contas de Serviço (Service Accounts) - Extra 3
O que você NÃO deve fazer com Service Accounts (Contas de Serviço) em relação à segurança? (Escolha 2) [Avaliação 3]
Gabarito: B, C. As chaves JSON (baixadas) são o maior risco de vazamento do GCP. Dar Owner para a Default Account quebra o princípio do Menor Privilégio, afetando o projeto inteiro se a VM for invadida.
Questão Extra 4 — Logging vs Monitoring - Extra 4
Qual a função fundamental de cada ferramenta? (Escolha 2) [Avaliação 4]
Gabarito: A, C. A diferença central: Logging trata os eventos/logs (textos estruturados de acontecimentos), enquanto Monitoring lida com métricas numéricas, agregação e alertas.
Questão Extra 5 — Permissões de Contas de Serviço (Service Accounts) - Extra 5
O que você NÃO deve fazer com Service Accounts (Contas de Serviço) em relação à segurança? (Escolha 2) [Avaliação 5]
Gabarito: B, C. As chaves JSON (baixadas) são o maior risco de vazamento do GCP. Dar Owner para a Default Account quebra o princípio do Menor Privilégio, afetando o projeto inteiro se a VM for invadida.
Questão Extra 6 — Logging vs Monitoring - Extra 6
Qual a função fundamental de cada ferramenta? (Escolha 2) [Avaliação 6]
Gabarito: A, C. A diferença central: Logging trata os eventos/logs (textos estruturados de acontecimentos), enquanto Monitoring lida com métricas numéricas, agregação e alertas.
Questão Extra 7 — Permissões de Contas de Serviço (Service Accounts) - Extra 7
O que você NÃO deve fazer com Service Accounts (Contas de Serviço) em relação à segurança? (Escolha 2) [Avaliação 7]
Gabarito: B, C. As chaves JSON (baixadas) são o maior risco de vazamento do GCP. Dar Owner para a Default Account quebra o princípio do Menor Privilégio, afetando o projeto inteiro se a VM for invadida.
Questão Extra 8 — Logging vs Monitoring - Extra 8
Qual a função fundamental de cada ferramenta? (Escolha 2) [Avaliação 8]
Gabarito: A, C. A diferença central: Logging trata os eventos/logs (textos estruturados de acontecimentos), enquanto Monitoring lida com métricas numéricas, agregação e alertas.
Questão Extra 9 — Permissões de Contas de Serviço (Service Accounts) - Extra 9
O que você NÃO deve fazer com Service Accounts (Contas de Serviço) em relação à segurança? (Escolha 2) [Avaliação 9]
Gabarito: B, C. As chaves JSON (baixadas) são o maior risco de vazamento do GCP. Dar Owner para a Default Account quebra o princípio do Menor Privilégio, afetando o projeto inteiro se a VM for invadida.
Questão Extra 10 — Logging vs Monitoring - Extra 10
Qual a função fundamental de cada ferramenta? (Escolha 2) [Avaliação 10]
Gabarito: A, C. A diferença central: Logging trata os eventos/logs (textos estruturados de acontecimentos), enquanto Monitoring lida com métricas numéricas, agregação e alertas.
Questão Extra 11 — Permissões de Contas de Serviço (Service Accounts) - Extra 11
O que você NÃO deve fazer com Service Accounts (Contas de Serviço) em relação à segurança? (Escolha 2) [Avaliação 11]
Gabarito: B, C. As chaves JSON (baixadas) são o maior risco de vazamento do GCP. Dar Owner para a Default Account quebra o princípio do Menor Privilégio, afetando o projeto inteiro se a VM for invadida.
Questão Extra 12 — Logging vs Monitoring - Extra 12
Qual a função fundamental de cada ferramenta? (Escolha 2) [Avaliação 12]
Gabarito: A, C. A diferença central: Logging trata os eventos/logs (textos estruturados de acontecimentos), enquanto Monitoring lida com métricas numéricas, agregação e alertas.
Questão Extra 13 — Permissões de Contas de Serviço (Service Accounts) - Extra 13
O que você NÃO deve fazer com Service Accounts (Contas de Serviço) em relação à segurança? (Escolha 2) [Avaliação 13]
Gabarito: B, C. As chaves JSON (baixadas) são o maior risco de vazamento do GCP. Dar Owner para a Default Account quebra o princípio do Menor Privilégio, afetando o projeto inteiro se a VM for invadida.
Questão Extra 14 — Logging vs Monitoring - Extra 14
Qual a função fundamental de cada ferramenta? (Escolha 2) [Avaliação 14]
Gabarito: A, C. A diferença central: Logging trata os eventos/logs (textos estruturados de acontecimentos), enquanto Monitoring lida com métricas numéricas, agregação e alertas.
Questão Extra 15 — Permissões de Contas de Serviço (Service Accounts) - Extra 15
O que você NÃO deve fazer com Service Accounts (Contas de Serviço) em relação à segurança? (Escolha 2) [Avaliação 15]
Gabarito: B, C. As chaves JSON (baixadas) são o maior risco de vazamento do GCP. Dar Owner para a Default Account quebra o princípio do Menor Privilégio, afetando o projeto inteiro se a VM for invadida.
Infográfico de alta densidade
Unidade 1 — Configuração de um ambiente de solução em nuvem
Cada cartão abaixo segue o padrão solicitado: Conceito, Função, Como usar, Palavra-chave e Exemplo.
🏢
Hierarquia de Recursos
Palavra-chave: Árvore
Conceito
Organização > Pastas > Projetos > Recursos. A Organização é o nó raiz; Pastas agrupam áreas e ambientes; Projetos contêm os recursos finais.
Função
Organizar recursos, aplicar herança de IAM e Organization Policies, separar ambientes e controlar ownership.
Como usar
Crie a Organization via Cloud Identity/Workspace, use Folders por departamento/ambiente e Projects por aplicação/time.
Exemplo
Projeto ecommerce-prod fica na pasta Produção; logs centralizados ficam em Shared.
🧱
Organization Policies
Palavra-chave: Guardrail
Conceito
Constraints aplicadas na hierarquia para permitir ou restringir configurações de recursos.
Função
Impor governança preventiva acima do IAM, como limitar regiões ou bloquear IP externo em VMs.
Como usar
Aplique constraints na Organization ou Folder; teste em dev; documente exceções.
Exemplo
Bloquear VMs com IP público usando compute.vmExternalIpAccess.
🔐
IAM roles within projects
Palavra-chave: Quem-Faz-O-Quê
Conceito
IAM controla autorização usando Principal + Role + Resource.
Função
Conceder acesso correto aos recursos e aplicar menor privilégio.
Como usar
Conceda roles a grupos do Cloud Identity; evite usuários individuais e Owner desnecessário.
Exemplo
Grupo gcp-devops recebe Compute Instance Admin no projeto app-dev.
👥
Cloud Identity users/groups
Palavra-chave: Diretório
Conceito
Diretório corporativo para usuários, grupos e domínio.
Função
Gerenciar usuários e grupos manualmente ou por sincronização automatizada.
Como usar
Verifique domínio, crie grupos e sincronize diretórios quando necessário.
Exemplo
Usuário entra no grupo gcp-netops e recebe acesso de rede.
🔌
Enable APIs in projects
Palavra-chave: Interruptor
Conceito
Cada serviço depende de APIs habilitadas no projeto.
Função
Permitir que serviços sejam usados e evitar falhas ao criar recursos.
Como usar
Habilite APIs necessárias com gcloud, Terraform ou pipeline.
Exemplo
Habilitar compute.googleapis.com antes de criar VMs.
📈
Google Cloud Observability
Palavra-chave: Radar
Conceito
Monitoring, Logging, dashboards, alertas, uptime checks e sinks.
Função
Monitorar saúde, métricas, logs, disponibilidade e incidentes.
Como usar
Configure dashboards, alerting policies, canais, uptime checks e sinks.
Exemplo
Alerta quando CPU passa de 80% por 5 minutos.
📊
Quotas + request increases
Palavra-chave: Teto
Conceito
Limites de consumo por projeto, região, serviço ou recurso.
Função
Evitar consumo acidental e planejar capacidade antes de escala.
Como usar
Avalie quotas e solicite aumento antes de grandes deploys.
Exemplo
Solicitar aumento de CPUs antes de pico sazonal.
🏝️
Standalone organizations
Palavra-chave: Ilha
Conceito
Organizações separadas por domínio/Cloud Identity distinto.
Função
Isolar entidades com governança, IAM e billing próprios.
Como usar
Use quando há separação administrativa/legal real.
Exemplo
PoC de cliente em organização separada.
🌐
Cloud networking
Palavra-chave: Estradas
Conceito
VPC, subnets, firewall, routes, Cloud NAT, DNS, VPN e Interconnect.
Função
Permitir comunicação segura entre workloads, internet e redes híbridas.
Como usar
Crie VPC custom, subnets regionais, firewall mínimo e Cloud NAT.
Exemplo
VMs privadas saem via Cloud NAT sem IP público.
🗺️
Product availability by location
Palavra-chave: Mapa
Conceito
Produtos podem ser globais, regionais ou zonais.
Função
Garantir latência, compliance, resiliência e disponibilidade local.
Como usar
Verifique disponibilidade antes do design.
Exemplo
Cloud SQL regional em southamerica-east1.
🧾
Cloud Asset Inventory + Gemini Cloud Assist
Palavra-chave: Raio-X
Conceito
Inventário pesquisável de recursos, políticas IAM e metadados; Gemini ajuda na análise.
Função
Auditar recursos, permissões, exposição pública e riscos.
Como usar
Use search-all-resources, search-all-iam-policies, export e Gemini.
Exemplo
Encontrar buckets públicos e permissões excessivas.
🪪
Workforce Identity Federation
Palavra-chave: Passaporte
Conceito
Federação para usuários externos via IdP SAML/OIDC.
Função
Permitir acesso sem criar contas Google individuais.
Como usar
Crie workforce pool/provider, mapeie atributos e conceda IAM.
Exemplo
Consultores acessam com Okta/Azure AD.
💳
Billing accounts
Palavra-chave: Conta-Cofre
Conceito
Conta de faturamento representa a entidade pagadora.
Função
Centralizar cobrança e separar custos por contrato, unidade ou centro financeiro.
Como usar
Crie uma ou mais billing accounts conforme estrutura financeira.
Exemplo
Billing separada para produção e treinamento.
🔗
Project billing links
Palavra-chave: Vínculo
Conceito
Associação entre projeto e billing account ativa.
Função
Permitir uso de recursos pagos e registrar custos na conta correta.
Como usar
Vincule cada projeto à billing account correta.
Exemplo
app-dev vinculado à billing de desenvolvimento.
🚨
Budgets + alerts
Palavra-chave: Alarme
Conceito
Orçamentos e alertas financeiros.
Função
Avisar quando gastos atingem percentuais definidos; não bloqueia por padrão.
Como usar
Configure alertas em 50%, 90% e 100%.
Exemplo
Projeto dev alerta ao atingir R$ 500.
📤
Billing exports
Palavra-chave: Extrato
Conceito
Exportação de dados de custo para BigQuery.
Função
Permitir análise histórica, dashboards, chargeback/showback e labels.
Como usar
Configure export para BigQuery e padronize labels.
Capítulo 2 — Planning and implementing a cloud solution
Cada cartão abaixo segue o padrão solicitado: Conceito, Função, Como usar, Palavra-chave e Exemplo.
🧮
2.1 Escolha de compute
Palavra-chave: Decisão
Conceito
Escolha entre Compute Engine, GKE, Cloud Run, Cloud Run functions e Agent Runtime on Gemini Enterprise Agent Platform conforme workload.
Função
Selecionar o serviço de execução mais adequado para VM, contêiner, serverless, eventos ou agentes de IA.
Como usar
Use Compute Engine para controle de VM, Google Kubernetes Engine (GKE) para orquestração Kubernetes, Cloud Run para contêiner serverless, Cloud Run functions para funções orientadas a eventos e Agent Runtime para agentes.
Exemplo
API stateless em container usa Cloud Run; plataforma com Kubernetes usa GKE; agente corporativo usa Agent Runtime.
🖥️
2.1 Launching compute instance
Palavra-chave: VM
Conceito
Criação de instância Compute Engine com zona, imagem, tipo de máquina, disco, política de disponibilidade e SSH keys.
Função
Executar workloads em VM com controle de SO, rede, disco e disponibilidade.
Como usar
Defina machine type, boot disk, zona/região, availability policy, metadata/SSH keys ou OS Login.
Exemplo
Criar VM e2-medium para aplicação legada que exige acesso SSH e customização de SO.
💽
2.1 Storage para Compute Engine
Palavra-chave: Disco
Conceito
Escolha entre zonal Persistent Disk, regional Persistent Disk e Google Cloud Hyperdisk.
Função
Atender requisitos de performance, resiliência e disponibilidade para VMs.
Como usar
Use zonal PD para custo simples, regional PD para replicação entre zonas e Hyperdisk para performance configurável.
Exemplo
Banco em VM com alta IOPS usa Hyperdisk; app crítico usa regional PD.
📈
2.1 Managed instance group autoscaled
Palavra-chave: Escala
Conceito
MIG usa instance template para criar VMs gerenciadas e escalar automaticamente.
Função
Garantir alta disponibilidade, autoscaling e recriação automática de instâncias.
Como usar
Crie instance template, managed instance group, health check e autoscaling policy.
Exemplo
Frontend Compute Engine escala de 2 para 10 VMs quando CPU aumenta.
🔑
2.1 OS Login
Palavra-chave: Login
Conceito
OS Login centraliza acesso SSH usando IAM e identidades Google.
Função
Substituir chaves SSH manuais por controle baseado em IAM e auditoria.
Como usar
Habilite OS Login no projeto ou VM e conceda roles apropriados de OS Login.
Exemplo
Equipe de operações acessa VMs por IAM sem gerenciar chaves SSH locais.
🛠️
2.1 VM Manager
Palavra-chave: Gestão
Conceito
VM Manager ajuda a gerenciar inventário, patches, configuração e conformidade de VMs.
Função
Manter VMs atualizadas e visíveis em escala.
Como usar
Habilite VM Manager, configure patch jobs e acompanhe inventário do SO.
Exemplo
Aplicar patches mensais em VMs Linux e Windows de produção.
💸
2.1 Spot VMs e custom machine types
Palavra-chave: Economia
Conceito
Spot VMs têm custo menor e podem ser preemptadas; custom machine types ajustam vCPU/memória.
Função
Otimizar custo e dimensionamento para workloads tolerantes a interrupção ou requisitos específicos.
Como usar
Use Spot para jobs batch e custom machine types quando tamanhos padrão não encaixam.
Exemplo
Processamento noturno tolerante a falha usa Spot VMs.
⌨️
2.1 kubectl CLI
Palavra-chave: Kubectl
Conceito
kubectl é a CLI para interagir com clusters Kubernetes/GKE.
Função
Gerenciar clusters, deployments, services, pods e configurações do Kubernetes.
Como usar
Instale kubectl, obtenha credenciais do cluster e use comandos apply/get/logs.
Exemplo
Deploy de manifesto YAML no GKE usando kubectl apply.
☸️
2.1 GKE cluster configurations
Palavra-chave: Cluster
Conceito
Google Kubernetes Engine (GKE) pode ser Autopilot, Standard, regional ou private cluster.
Função
Executar aplicações containerizadas com orquestração Kubernetes gerenciada.
Como usar
Escolha Autopilot para operação simplificada, regional para HA e private para isolamento.
Exemplo
Aplicação crítica usa cluster regional privado com nodes sem IP público.
📦
2.1 Deploy containerized app to GKE
Palavra-chave: Deploy
Conceito
Implantação de aplicação containerizada em Google Kubernetes Engine (GKE) via imagens, deployments, services e ingress/load balancer.
Função
Executar e expor containers em Kubernetes com escala e resiliência.
Como usar
Publique imagem, crie Deployment, Service e configure autoscaling/ingress.
Exemplo
Aplicação web em container exposta por LoadBalancer no GKE.
⚡
2.1 Serverless e eventos
Palavra-chave: Evento
Conceito
Cloud Run e Cloud Run functions podem processar eventos Pub/Sub, Cloud Storage e Eventarc.
Função
Executar código sem gerenciar servidores e responder a eventos.
Como usar
Use Eventarc ou triggers para conectar eventos a serviços serverless.
Exemplo
Upload em Cloud Storage dispara função para processar imagem.
🧠
2.1 GPUs ou TPUs
Palavra-chave: Acelerador
Conceito
GPUs e TPUs aceleram workloads de IA/ML, renderização, inferência e treinamento.
Função
Escolher acelerador conforme framework, custo, disponibilidade e perfil de processamento.
Como usar
Use GPUs para workloads flexíveis CUDA/inferência; TPUs para workloads TensorFlow/JAX otimizados.
Exemplo
Treinamento de modelo usa TPU; inferência de modelo customizado usa GPU.
🗄️
2.2 Data products
Palavra-chave: Dados
Conceito
Escolha entre Cloud SQL, BigQuery, Firestore, Spanner, Bigtable, AlloyDB, Dataflow, Pub/Sub, Managed Service for Apache Kafka e Memorystore.
Função
Selecionar produto de dados conforme modelo, escala, latência, transação e análise.
Como usar
Use Cloud SQL/AlloyDB para relacional, BigQuery para analytics, Firestore para documentos, Spanner para relacional global, Bigtable para wide-column, Pub/Sub/Kafka para streaming, Memorystore para cache.
Exemplo
Analytics em grande escala usa BigQuery; cache de sessão usa Memorystore.
🪣
2.2 Storage products
Palavra-chave: Storage
Conceito
Escolha entre Cloud Storage, Filestore, Google Cloud NetApp Volumes, Managed Lustre e classes Standard, Nearline, Coldline, Archive.
Função
Armazenar objetos, arquivos e dados de alta performance conforme acesso, custo e protocolo.
Como usar
Use Cloud Storage para objetos, Filestore/NetApp para NFS, Managed Lustre para HPC; escolha classe por frequência de acesso.
Exemplo
Backup mensal vai para Archive; dados ativos ficam em Standard.
⬆️
2.2 Loading data
Palavra-chave: Carga
Conceito
Carregamento por CLI, Cloud Storage, Storage Transfer Service e imports em produtos de dados.
Função
Ingerir dados para storage, banco ou analytics.
Como usar
Use gsutil/gcloud storage para upload, load jobs a partir de Cloud Storage e Storage Transfer Service para migração.
Exemplo
CSV enviado para Cloud Storage é carregado no BigQuery.
🌎
2.2 Multi-region redundancy
Palavra-chave: Redundância
Conceito
Redundância multi-região distribui dados entre regiões para resiliência e continuidade.
Função
Aumentar disponibilidade e proteção contra falhas regionais.
Como usar
Escolha recursos multi-regionais, replicação, backups e designs compatíveis com RPO/RTO.
Exemplo
Bucket multi-region e banco com replicação para continuidade de negócio.
🌐
2.3 VPC with subnets
Palavra-chave: VPC
Conceito
Criação de VPC com subnets, incluindo custom mode VPC, Shared VPC e VPC Network Peering.
Função
Organizar conectividade entre workloads e projetos com isolamento e compartilhamento controlado.
Como usar
Use custom mode para controle de ranges, Shared VPC para rede centralizada e Peering para conectar VPCs.
Exemplo
Projeto service usa Shared VPC hospedada por projeto host de rede.
🔥
2.3 Firewall e Cloud NGFW
Palavra-chave: Firewall
Conceito
Regras de firewall VPC e políticas Cloud NGFW com ingress/egress, ação, origem, destino, targets, protocolos e portas.
Função
Controlar tráfego permitido ou negado na rede.
Como usar
Defina regras explícitas, minimize abertura, use egress/ingress e atributos corretos.
Exemplo
Permitir TCP 443 de load balancer para backends e negar SSH público.
🏷️
2.3 Tags e service accounts no NGFW
Palavra-chave: Tag
Conceito
Tags, secure Tags e service accounts podem ser usados como atributos em políticas NGFW.
Função
Aplicar regras de rede por identidade lógica do workload, não apenas IP.
Como usar
Use secure Tags para classificação e service accounts para segmentação por aplicação.
Exemplo
Somente VMs com service account app-backend recebem tráfego do frontend.
🔗
2.3 Network connectivity
Palavra-chave: Conexão
Conceito
Cloud VPN, VPC Network Peering e Cloud Interconnect conectam redes Google Cloud e externas.
Função
Estabelecer conectividade privada, híbrida ou entre VPCs.
Como usar
Use VPN para conexão criptografada, Interconnect para alta capacidade, Peering para VPC-VPC.
Exemplo
Datacenter local conecta ao Google Cloud via Cloud Interconnect.
⚖️
2.3 Load balancers
Palavra-chave: Balanceador
Conceito
Google Cloud Load Balancing distribui tráfego entre backends globais ou regionais.
Função
Aumentar disponibilidade, escala e roteamento de aplicações.
Dividir tráfego em Cloud Run, Cloud Run functions e GKE.
Função
Fazer canary, blue/green e rollout gradual.
Como usar
Ajuste percentuais entre revisões, versões ou backends.
Exemplo
90% para versão estável e 10% para nova versão.
📈
3.1 Configuring autoscaling for Cloud Run
Palavra-chave: Escala Run
Conceito
Configurar autoscaling de Cloud Run com min/max instances e concurrency.
Função
Controlar latência, cold start, custo e capacidade.
Como usar
Ajuste min instances, max instances, concurrency e CPU.
Exemplo
Serviço crítico usa min instances para reduzir cold start.
🧠
3.1 Attaching GPUs and TPUs
Palavra-chave: Acelerador
Conceito
Anexar GPUs e TPUs a workloads compatíveis.
Função
Acelerar treinamento, inferência e processamento especializado.
Como usar
Escolha acelerador, região, drivers e quota compatível.
Exemplo
Inferência usa GPU T4; treinamento usa TPU.
🤖
3.1 Deploying an agent to Agent Runtime
Palavra-chave: Agente
Conceito
Deploy de agente no Agent Runtime on Gemini Enterprise Agent Platform.
Função
Executar agentes empresariais gerenciados.
Como usar
Configure runtime, permissões, endpoints e integração do agente.
Exemplo
Agente responde perguntas internas com ferramentas corporativas.
📓
3.1 Managing notebooks in Workbench and BigQuery
Palavra-chave: Notebook
Conceito
Gerenciar notebooks em Gemini Enterprise Agent Platform Workbench e BigQuery.
Função
Analisar dados, prototipar modelos e executar experimentos.
Como usar
Crie, abra, pare, compartilhe e monitore notebooks.
Exemplo
Notebook consulta dados no BigQuery para análise.
💻
3.1 Managing developer environments
Palavra-chave: Workstation
Conceito
Gerenciar Cloud Workstations para ambientes de desenvolvimento.
Função
Padronizar ambientes e aplicar segurança centralizada.
Como usar
Crie configurações, pools e workstations para desenvolvedores.
Exemplo
IDE gerenciada acessada pelo navegador.
🪣
3.2 Managing and securing objects in Cloud Storage buckets
Palavra-chave: Objeto
Conceito
Gerenciar e proteger objetos em buckets Cloud Storage.
Função
Controlar acesso, versionamento, retenção e segurança.
Como usar
Use IAM, uniform bucket-level access, versioning e retention.
Exemplo
Bucket de documentos usa IAM por grupo.
♻️
3.2 Object lifecycle management policies
Palavra-chave: Lifecycle
Conceito
Políticas de ciclo de vida para mover, arquivar ou excluir objetos.
Função
Reduzir custos e automatizar retenção.
Como usar
Configure regras por idade, versão, prefixo ou classe.
Exemplo
Logs com mais de 90 dias vão para Coldline.
🔎
3.2 Executing queries to retrieve data
Palavra-chave: Consulta
Conceito
Executar consultas em Cloud SQL, BigQuery, Bigtable, Spanner, Firestore e AlloyDB.
Função
Recuperar dados e validar estado operacional.
Como usar
Use SQL, clientes, consoles ou APIs adequadas ao produto.
Exemplo
Consulta BigQuery verifica registros por data.
💰
3.2 Estimating costs of data storage resources
Palavra-chave: Custo
Conceito
Estimar custos de armazenamento, classes, operações e retenção.
Função
Prever impacto financeiro e escolher configuração adequada.
Como usar
Use pricing calculator, métricas, classes e lifecycle.
Exemplo
Comparar Standard e Archive para backups.
🧯
3.2 Backing up and restoring database instances
Palavra-chave: Backup
Conceito
Backup e restore de Cloud SQL, Firestore, Spanner, AlloyDB e Bigtable.
Função
Proteger dados e recuperar após falhas.
Como usar
Configure backups automáticos, PITR quando disponível e teste restore.
Exemplo
Restaurar Cloud SQL para ponto antes de erro.
📌
3.2 Reviewing job status
Palavra-chave: Status
Conceito
Revisar status de jobs Dataflow e BigQuery.
Função
Acompanhar execução, falhas e desempenho.
Como usar
Use Console, logs e detalhes do job.
Exemplo
Job Dataflow falha por permissão em bucket.
🗃️
3.2 Using Database Center
Palavra-chave: Fleet DB
Conceito
Database Center gerencia a frota de bancos no Google Cloud.
Função
Centralizar inventário, saúde, postura e recomendações.
Como usar
Use para revisar configuração e recomendações de bancos.
Exemplo
Visão consolidada de Cloud SQL e AlloyDB.
🔐
3.2 Configuring CMEK
Palavra-chave: Chave
Conceito
Customer-managed encryption keys com Cloud KMS.
Função
Aumentar controle de chaves e compliance.
Como usar
Crie key ring/key, conceda permissões e configure o recurso com CMEK.
Exemplo
Bucket regulado usa chave gerenciada pelo cliente.
📏
3.3 Resizing subnet IPv4 address range
Palavra-chave: Range
Conceito
Expandir intervalo IPv4 de uma subnet.
Função
Aumentar capacidade de endereços IP.
Como usar
Expanda CIDR sem sobreposição e planeje crescimento.
Exemplo
Subnet /24 expandida para /20.
📍
3.3 Reserving static external or internal IP addresses
Palavra-chave: IP fixo
Conceito
Reservar IP externo ou interno estático.
Função
Fornecer endereço estável para serviços.
Como usar
Reserve IP regional/global conforme recurso.
Exemplo
Load balancer usa IP público fixo.
🛣️
3.3 Adding custom static routes in a VPC
Palavra-chave: Rota
Conceito
Adicionar rotas estáticas customizadas em VPC.
Função
Controlar caminhos de tráfego.
Como usar
Defina destino, next hop e prioridade.
Exemplo
Tráfego on-prem segue next hop VPN.
🌍
3.3 Using Cloud DNS and Cloud NAT
Palavra-chave: DNS/NAT
Conceito
Cloud DNS gerencia registros; Cloud NAT fornece saída para recursos privados.
Função
Resolver nomes e permitir egress sem IP público.
Como usar
Configure zonas DNS, registros, Cloud Router e NAT gateway.
Exemplo
VM privada baixa pacotes via Cloud NAT.
🔥
3.3 Managing VPC firewall rules and Cloud NGFW policies
Palavra-chave: Firewall
Conceito
Gerenciar regras VPC firewall e políticas Cloud NGFW.
Função
Controlar tráfego ingress/egress e segmentação.
Como usar
Revise prioridades, targets, tags, service accounts e logs.
Exemplo
Remover SSH público e usar IAP.
🚨
3.4 Creating Cloud Monitoring alerts
Palavra-chave: Alerta
Conceito
Alertas baseados em métricas de recursos no Cloud Monitoring.
Função
Notificar incidentes e desvios.
Como usar
Crie alert policies com condição, janela e canal.
Exemplo
Alerta quando latência excede 500 ms.
📐
3.4 Creating and ingesting custom metrics
Palavra-chave: Métrica custom
Conceito
Criar e ingerir métricas customizadas de aplicações ou logs.
Função
Monitorar sinais específicos da aplicação ou negócio.
Como usar
Publique via API, Ops Agent ou log-based metrics.
Exemplo
Métrica pedidos_por_minuto gera alerta.
🧾
3.4 Configuring audit logs
Palavra-chave: Logs auditoria
Conceito
Configurar VPC Flow Logs, audit logs e firewall logs.
Função
Auditar atividade, tráfego e decisões de firewall.
Como usar
Habilite logs necessários e defina retenção/destino.
Exemplo
VPC Flow Logs identifica tráfego inesperado.
📤
3.4 Exporting logs to external systems
Palavra-chave: Export
Conceito
Exportar logs para sistemas externos, on-premises ou BigQuery.
Função
Centralizar auditoria, SIEM e análise.
Como usar
Configure log sinks no Log Router.
Exemplo
Logs de auditoria exportados para BigQuery.
🪣
3.4 Configuring log buckets, log analytics and log routers
Palavra-chave: Roteador
Conceito
Configurar log buckets, Log Analytics e Log Router.
Função
Controlar retenção, roteamento e análise de logs.
Como usar
Crie buckets, sinks, filtros e analytics.
Exemplo
Bucket de segurança retém logs por 1 ano.
🔍
3.4 Viewing and filtering logs in Cloud Logging
Palavra-chave: Filtro
Conceito
Visualizar e filtrar logs no Cloud Logging.
Função
Encontrar eventos relevantes.
Como usar
Use Logs Explorer com filtros por resource, severity e labels.
Exemplo
Filtrar erros 500 do Cloud Run.
📄
3.4 Viewing specific log message details
Palavra-chave: Detalhe
Conceito
Abrir detalhes de mensagem específica no Cloud Logging.
Função
Analisar payload, trace, labels e contexto.
Como usar
Expanda entrada individual no Logs Explorer.
Exemplo
Ver stack trace e request ID.
🩺
3.4 Cloud diagnostic tools
Palavra-chave: Diagnóstico
Conceito
Cloud Trace, Cloud Profiler, Query Insights e index advisor.
Função
Investigar latência, CPU, queries lentas e índices.
Como usar
Use traces, profiles e insights para otimizar.
Exemplo
Query Insights mostra consulta lenta.
❤️
3.4 Personalized Service Health dashboard
Palavra-chave: Saúde
Conceito
Dashboard de saúde personalizada de serviços.
Função
Acompanhar incidentes relevantes aos recursos.
Como usar
Consulte impacto, status e atualizações.
Exemplo
Incidente regional aparece para serviço usado.
🤖
3.4 Configuring and deploying Ops Agent
Palavra-chave: Agente Ops
Conceito
Ops Agent coleta métricas e logs de VMs.
Função
Aumentar observabilidade de Compute Engine.
Como usar
Instale e configure em VMs Linux/Windows.
Exemplo
VM envia métricas de memória e logs.
📊
3.4 Google Cloud Managed Service for Prometheus
Palavra-chave: Prometheus
Conceito
Serviço gerenciado para métricas Prometheus.
Função
Monitorar workloads Kubernetes e aplicações Prometheus.
Como usar
Implante collectors e consulte no Cloud Monitoring.
Exemplo
GKE exporta métricas Prometheus.
✨
3.4 Gemini Cloud Assist for Cloud Monitoring
Palavra-chave: Gemini
Conceito
Gemini Cloud Assist apoia análise de Cloud Monitoring.
Função
Acelerar entendimento de alertas e métricas.
Como usar
Use Gemini para explicar incidentes e sugerir consultas.
Exemplo
Gemini resume causa provável de alerta.
💡
3.4 Active Assist
Palavra-chave: Otimização
Conceito
Active Assist gera recomendações de otimização.
Função
Melhorar uso, custo, segurança e eficiência.
Como usar
Revise e aplique recomendações validadas.
Exemplo
Reduzir VM superdimensionada.
🛰️
3.4 Cloud Hub
Palavra-chave: Hub
Conceito
Cloud Hub monitora eventos ativos e saúde de aplicações.
Função
Fornecer visão centralizada de eventos e health data.
Como usar
Use Cloud Hub para acompanhar eventos e status.
Exemplo
Evento ativo afetando aplicação crítica.
Mapa mental visual — Capítulo 3
SECTION 3 — ENSURING THE SUCCESSFUL OPERATION OF A CLOUD SOLUTION
├── 3.1 Remotely connecting to a Compute Engine instance
├── 3.1 Viewing current running Compute Engine instances
├── 3.1 Working with snapshots and images
├── 3.1 Viewing current running GKE cluster inventory
├── 3.1 Configuring GKE to access Artifact Registry
├── 3.1 Working with GKE node pools
├── 3.1 Working with Kubernetes resources
├── 3.1 Managing horizontal and vertical Pod autoscaling
├── 3.1 Managing GKE Autopilot Pod resource requests
├── 3.1 Deploying new versions of a Cloud Run application
├── 3.1 Adjusting application traffic splitting parameters
├── 3.1 Configuring autoscaling for Cloud Run
├── 3.1 Attaching GPUs and TPUs
├── 3.1 Deploying an agent to Agent Runtime
├── 3.1 Managing notebooks in Workbench and BigQuery
├── 3.1 Managing developer environments
├── 3.2 Managing and securing objects in Cloud Storage buckets
├── 3.2 Object lifecycle management policies
├── 3.2 Executing queries to retrieve data
├── 3.2 Estimating costs of data storage resources
├── 3.2 Backing up and restoring database instances
├── 3.2 Reviewing job status
├── 3.2 Using Database Center
├── 3.2 Configuring CMEK
├── 3.3 Resizing subnet IPv4 address range
├── 3.3 Reserving static external or internal IP addresses
├── 3.3 Adding custom static routes in a VPC
├── 3.3 Using Cloud DNS and Cloud NAT
├── 3.3 Managing VPC firewall rules and Cloud NGFW policies
├── 3.4 Creating Cloud Monitoring alerts
├── 3.4 Creating and ingesting custom metrics
├── 3.4 Configuring audit logs
├── 3.4 Exporting logs to external systems
├── 3.4 Configuring log buckets, log analytics and log routers
├── 3.4 Viewing and filtering logs in Cloud Logging
├── 3.4 Viewing specific log message details
├── 3.4 Cloud diagnostic tools
├── 3.4 Personalized Service Health dashboard
├── 3.4 Configuring and deploying Ops Agent
├── 3.4 Google Cloud Managed Service for Prometheus
├── 3.4 Gemini Cloud Assist for Cloud Monitoring
├── 3.4 Active Assist
├── 3.4 Cloud Hub
Infográfico de alta densidade
Capítulo 4 — Configuring access and security
Cada cartão abaixo segue o padrão solicitado: Conceito, Função, Como usar, Palavra-chave e Exemplo.
📜
4.1 Viewing and creating IAM policies
Palavra-chave: Policy
Conceito
Políticas IAM definem quais principals recebem quais roles em quais recursos.
Função
Visualizar, entender e criar vínculos de acesso para controlar autorização no Google Cloud.
Como usar
Use Console, gcloud get-iam-policy/set-iam-policy ou add-iam-policy-binding; prefira grupos e menor privilégio.
Exemplo
Adicionar roles/viewer a um grupo no projeto e revisar a policy resultante antes de aplicar mudanças.
🏛️
4.1 Roles and policy inheritance in the Organization hierarchy
Palavra-chave: Herança
Conceito
Roles podem ser concedidas em Organization, Folder, Project ou Resource e são herdadas pelos níveis inferiores.
Função
Aplicar acesso de forma escalável e previsível, respeitando a hierarquia de recursos.
Como usar
Conceda permissões amplas em níveis superiores apenas quando necessário; use projetos/pastas para escopo menor.
Exemplo
Um grupo recebe Viewer em uma pasta e herda visualização nos projetos dentro dessa pasta.
🧩
4.1 Role types and custom IAM roles
Palavra-chave: Role
Conceito
Tipos de role incluem basic roles, predefined roles e custom roles.
Função
Escolher o nível correto de permissão e criar roles customizadas quando roles predefinidas forem amplas demais.
Como usar
Evite Owner/Editor/Viewer quando possível; prefira predefined roles e crie custom roles com permissões mínimas.
Exemplo
Criar uma custom role com permissões específicas de leitura de logs sem conceder acesso administrativo.
🤖
4.2 Creating service accounts, including Google-managed service accounts
Palavra-chave: Service Account
Conceito
Service accounts são identidades para workloads e serviços; algumas são criadas/gerenciadas pelo Google.
Função
Permitir que aplicações, VMs, GKE, Cloud Run e serviços automatizados acessem APIs com identidade própria.
Como usar
Crie service accounts por aplicação ou componente; reconheça Google-managed service accounts usadas por serviços gerenciados.
Exemplo
Criar uma service account app-backend para uma aplicação Cloud Run acessar Pub/Sub.
🔐
4.2 Using service accounts in IAM policies with minimum permissions
Palavra-chave: Menor privilégio
Conceito
Service accounts devem receber apenas as permissões necessárias para executar uma função.
Função
Reduzir risco de abuso, movimentação lateral e impacto de credenciais comprometidas.
Como usar
Conceda roles específicas à service account no recurso necessário; evite Project Editor e permissões amplas.
Exemplo
Service account de backup recebe apenas permissão para gravar em um bucket específico.
📌
4.2 Assigning service accounts to resources
Palavra-chave: Anexar
Conceito
Recursos como VMs, Cloud Run, GKE e jobs podem executar usando uma service account atribuída.
Função
Fazer o workload assumir a identidade correta durante chamadas a APIs do Google Cloud.
Como usar
Atribua a service account no momento de criação ou configuração do recurso; separe identidades por aplicação.
Exemplo
Uma VM executa com service account vm-importer para ler dados do Cloud Storage.
🛡️
4.2 Managing IAM permissions of a service account
Palavra-chave: Permissões SA
Conceito
É possível controlar quem pode usar, administrar ou conceder acesso a uma service account.
Função
Separar permissões de uso da identidade das permissões que a identidade possui nos recursos.
Como usar
Use roles como Service Account User, Service Account Token Creator e Service Account Admin com cuidado.
Exemplo
Um operador pode anexar uma service account a uma VM, mas não pode criar chaves nem alterar suas permissões.
🎭
4.2 Managing service account impersonation
Palavra-chave: Impersonation
Conceito
Impersonation permite que um principal atue temporariamente como uma service account autorizada.
Função
Executar tarefas com identidade controlada sem distribuir chaves permanentes.
Como usar
Conceda Service Account Token Creator apenas a usuários, grupos ou workloads autorizados; audite o uso.
Exemplo
Pipeline CI/CD impersona deployer-sa para publicar uma nova versão de Cloud Run.
⏳
4.2 Creating and managing short-lived service account credentials
Palavra-chave: Curta duração
Conceito
Credenciais de curta duração substituem chaves long-lived para reduzir risco de exposição.
Função
Gerar tokens temporários para autenticação e autorização com validade limitada.
Como usar
Use impersonation, STS, OAuth access tokens e evite criar/download de chaves JSON persistentes.
Exemplo
Script administrativo gera access token temporário para executar uma operação e expira em seguida.
☸️
4.2 Using a Google Cloud service account with a GKE application
Palavra-chave: GKE SA
Conceito
Aplicações em GKE podem acessar recursos Google Cloud usando service accounts com integração de identidade.
Função
Permitir que Pods acessem APIs sem armazenar chaves estáticas em Secrets.
Como usar
Use Workload Identity Federation for GKE para mapear Kubernetes Service Account para Google Cloud service account.
Exemplo
Pod em GKE usa uma Kubernetes Service Account mapeada para acessar Pub/Sub com permissões mínimas.
🪪
4.2 Provisioning Workload Identity Federation
Palavra-chave: Federação
Conceito
Workload Identity Federation permite que workloads externos ou do GKE acessem Google Cloud sem chaves de service account.
Função
Federar identidades de provedores externos ou Kubernetes para obter credenciais temporárias.
Como usar
Configure pool/provider, mapeamento de atributos e IAM bindings para o principal federado.
Exemplo
Workload em ambiente externo usa OIDC para acessar Google Cloud sem armazenar chave JSON.
Mapa mental visual — Capítulo 4
SECTION 4 — CONFIGURING ACCESS AND SECURITY
├── 4.1 Managing IAM
│ ├── Viewing and creating IAM policies
│ ├── Attaching roles and policy inheritance in the Organization hierarchy
│ └── Managing role types and defining custom IAM roles
└── 4.2 Managing service accounts
├── Creating service accounts, including Google-managed service accounts
├── Using service accounts in IAM policies with minimum permissions
├── Assigning service accounts to resources
├── Managing IAM permissions of a service account
├── Managing service account impersonation
├── Creating and managing short-lived service account credentials
├── Using a Google Cloud service account with a GKE application
└── Provisioning Workload Identity Federation
Revisão de 5 minutos
Palavras-chave para lembrar na hora da prova
Árvore
Hierarquia de Recursos
Guardrail
Organization Policies
Quem-Faz-O-Quê
IAM roles within projects
Diretório
Cloud Identity users/groups
Interruptor
Enable APIs in projects
Radar
Google Cloud Observability
Teto
Quotas + request increases
Ilha
Standalone organizations
Estradas
Cloud networking
Mapa
Product availability by location
Raio-X
Cloud Asset Inventory + Gemini Cloud Assist
Passaporte
Workforce Identity Federation
Conta-Cofre
Billing accounts
Vínculo
Project billing links
Alarme
Budgets + alerts
Extrato
Billing exports
Decisão
2.1 Escolha de compute
VM
2.1 Launching compute instance
Disco
2.1 Storage para Compute Engine
Escala
2.1 Managed instance group autoscaled
Login
2.1 OS Login
Gestão
2.1 VM Manager
Economia
2.1 Spot VMs e custom machine types
Kubectl
2.1 kubectl CLI
Cluster
2.1 GKE cluster configurations
Deploy
2.1 Deploy containerized app to GKE
Evento
2.1 Serverless e eventos
Acelerador
2.1 GPUs ou TPUs
Dados
2.2 Data products
Storage
2.2 Storage products
Carga
2.2 Loading data
Redundância
2.2 Multi-region redundancy
VPC
2.3 VPC with subnets
Firewall
2.3 Firewall e Cloud NGFW
Tag
2.3 Tags e service accounts no NGFW
Conexão
2.3 Network connectivity
Balanceador
2.3 Load balancers
Tier
2.3 Network Service Tiers
IaC
2.4 Infrastructure as Code tooling
Assistente
2.4 AI-assisted planning and implementation
SSH
3.1 Remotely connecting to a Compute Engine instance
Inventário
3.1 Viewing current running Compute Engine instances
Imagem
3.1 Working with snapshots and images
Inventário GKE
3.1 Viewing current running GKE cluster inventory
Registry
3.1 Configuring GKE to access Artifact Registry
Node pool
3.1 Working with GKE node pools
Kubernetes
3.1 Working with Kubernetes resources
Autoscaling
3.1 Managing horizontal and vertical Pod autoscaling
Requests
3.1 Managing GKE Autopilot Pod resource requests
Revisão
3.1 Deploying new versions of a Cloud Run application