Q13 — AWS ANS-C01 第1章
第 13/100 問 | ← 第1章
ある企業が、単一のVPC上でAWSに自社のWebサイトを構築しています。このVPCには2つのアベイラビリティゾーンにまたがるパブリックサブネットおよびプライベートサブネットが存在します。Webサイトには画像などの静的コンテンツがあります。企業はAmazon S3でコンテンツを保存しています。また、プライベートサブネット内にAmazon EC2インスタンスのウェブサーバー群をAuto Scalingグループとしてデプロイし、Application Load Balancerの背後に配置しています。EC2インスタンスはトラフィックを処理し、WebページのレンダリングのためにS3バケットからコンテンツを取得する必要があります。企業は、オンプレミス環境とS3バケットとの接続にAWS Direct ConnectのパブリックVIFを使用しています。ネットワークエンジニアは、EC2インスタンスとAmazon S3間のトラフィックがNATゲートウェイを経由していることに気づきました。トラフィックが増加するにつれ、企業のコストも増加しています。ネットワークエンジニアは、EC2インスタンスとAmazon S3間のトラフィックによるNATゲートウェイコストを削減するために接続方法を変更する必要があります。これらの要件を満たすソリューションはどれですか?
- A. Direct ConnectのプライベートVIFを作成。パブリックVIFからのトラフィックをプライベートVIFに移行。
- B. 既存のパブリックVIF上でAWS Site-to-Site VPNトンネルを作成。
- C. Amazon S3用のインターフェイスVPCエンドポイントを実装。VPCルートテーブルを更新。
- D. Amazon S3用のゲートウェイVPCエンドポイントを実装。VPCルートテーブルを更新。 ✓
正解: D. Amazon S3用のゲートウェイVPCエンドポイントを実装。VPCルートテーブルを更新。
解説
この問題の核心は、VPCエンドポイントを活用してAWSプライベートサブネットからS3へのアクセス経路を最適化することです。AWSアーキテクチャ設計原則によると、プライベートサブネット内のEC2インスタンスがS3にアクセスする際にNATゲートウェイを経由すると追加コストが発生しますが、ゲートウェイ型VPCエンドポイントを作成することで、S3へのプライベート接続チャネルを直接確立でき、パブリックネットワークやNATデバイスを経由する必要がなくなります。ゲートウェイエンドポイントは、VPCルートテーブルにS3サービスをターゲットとしたルートエントリを追加することで、トラフィックをAWS内部ネットワークにリダイレクトし、データの安全な転送を保証するとともに、NATゲートウェイのトラフィックコストを完全に排除します。選択肢Dはこのメカニズムを正確に実装しており、他の選択肢はパブリック経路を利用する(A/B)か、コストがより高いインターフェイスエンドポイントを採用する(C)など、いずれも最適ではありません。