Q57 — AWS ANS-C01 第1章
第 57/100 問 | ← 第1章
ソフトウェア・アズ・ア・サービス(SaaS)企業が、自社のプライベートSaaSアプリケーションをAWSへ移行しています。同社には数百の顧客がおり、VPNトンネルを介して複数のデータセンターに接続しています。顧客数の増加に伴い、複雑なNATルールによるルーティングおよび顧客セグメンテーションの管理が困難になっています。AWSへの移行完了後、同社のAWS顧客は自社VPCからSaaSアプリケーションに直接アクセスできる必要があります。一方で、オンプレミスの顧客は引き続きIPsec暗号化トンネル経由での接続を維持する必要があります。これらの要件を満たすソリューションはどれですか?
- A. AWS顧客のVPCを共有Transit Gatewayに接続します。オンプレミス顧客向けには、Transit GatewayへのAWS Site-to-Site VPN接続を使用します。
- B. AWS顧客向けにはAWS PrivateLinkを使用します。オンプレミスのSite-to-Site VPN接続をSaaSアプリケーションVPC内で終端させるために、サードパーティ製ルーティングアプライアンスを使用します。 ✓
- C. 各AWS顧客のVPCをSaaSアプリケーションをホストするVPCとピアリングします。SaaS VPCのVirtual Private Gateway上でAWS Site-to-Site VPN接続を作成します。
- D. 各AWS顧客のVPCをSaaSアプリケーションをホストするVPCにSite-to-Site VPNトンネルで接続します。オンプレミス顧客にはAWS Site-to-Site VPNを使用します。
正解: B. AWS顧客向けにはAWS PrivateLinkを使用します。オンプレミスのSite-to-Site VPN接続をSaaSアプリケーションVPC内で終端させるために、サードパーティ製ルーティングアプライアンスを使用します。
解説
AWS PrivateLinkは、顧客がVPCエンドポイント経由でサービスに直接アクセスすることを可能にし、パブリックネットワークへの露出や複雑なルーティング設定を回避できます。これは、SaaSアプリケーションにおけるプライベート接続のニーズに適しています。IPsec VPNを継続して使用する必要があるオンプレミス顧客については、サードパーティ製ルーティングアプライアンスをSaaS VPC内に配置することで、暗号化トンネルを集中管理でき、異なる顧客の接続方式を分離して複雑さを軽減できます。選択肢CおよびDはVPCピアリングまたは多数のVPN接続に依存しており、拡張性に乏しいです。選択肢AのTransit Gatewayはルーティングを集中化できますが、NATの問題は解決しません。選択肢BはPrivateLinkとサードパーティ製デバイスを組み合わせたハイブリッド構成により、両タイプの顧客を別々に処理し、拡張性と管理簡易性という要件を満たします。これはAWSアーキテクチャベストプラクティスおよびPrivateLinkに関する公式ドキュメントに基づくものです。