Q35 — AWS ANS-C01 第1章

第 35/100 問 | ← 第1章

ある銀行会社は、AWS上でパブリックモバイルバンキングスタックを正常に運用しています。このモバイルバンキングスタックは、プライベートサブネットおよびパブリックスサブネットを含むVPCにデプロイされています。同社はIPv4ネットワーキングを使用しており、環境においてIPv6の展開およびサポートは行っていません。同社は第三者サービスプロバイダーのAPIを採用することを決定し、既存環境との統合が必要です。当該サービスプロバイダーのAPIはIPv6の使用を要求しています。ネットワークエンジニアは、プライベートサブネットにデプロイされた既存ワークロードに対してIPv6接続を有効化する必要があります。同社はパブリックインターネットからのIPv6トラフィックを許可したくなく、自社サーバーがすべてのIPv6接続を開始することを義務付けています。ネットワークエンジニアはVPCおよびプライベートサブネットでIPv6を有効化しました。これらの要件を満たすソリューションはどれですか?

正解: C. VPC内にegress-only Internet gatewayを作成します。既存のサブネットルートテーブルにIPv6トラフィックをegress-only Internet gatewayへ向けるルートを追加します。

解説

AWSにおけるIPv6構成では、egress-only internet gatewayは、プライベートサブネット内のインスタンスがIPv6のアウトバウンドトラフィックを開始することを許可し、インターネットからのインバウンド接続を阻止するために使用されます。これはIPv4のNATゲートウェイと類似した機能ですが、IPv6専用のものです。AWSドキュメントによれば、egress-only internet gatewayはアウトバウンドトラフィックのみを処理し、インバウンドトラフィックを制限するための追加セキュリティグループルールの設定は不要です。選択肢Cは、ルートテーブルを正しく構成してIPv6トラフィックをこのゲートウェイへ向けることで、サーバーが主動的に接続を開始するという要件を満たします。他の選択肢(NATゲートウェイや誤ったセキュリティグループ構成を含むもの)は、不要なコンポーネントを導入したり、不適切な構成を行ったりするため、要件を満たしません。