Q67 — AWS ANS-C01 第1章
第 67/100 問 | ← 第1章
ある企業が既存のアプリケーションを新しいAWSアカウントへ移行しています。企業は、1つのAWSリージョン内で1つのVPCおよび複数の可用性ゾーンを用いてアプリケーションを展開します。アプリケーションはAmazon EC2インスタンス上で実行されます。各可用性ゾーンには複数のEC2インスタンスが配置されます。EC2インスタンスはプライベートサブネットにデプロイされます。 顧客はHTTPSプロトコルを用いたWebブラウザでアプリケーションに接続します。受信接続は可用性ゾーンおよびEC2インスタンス間で分散される必要があります。また、同一クライアントセッションからのすべての接続は、同一のEC2インスタンスに接続される必要があります。企業は、アプリケーションのSSL証明書を用いて、クライアントとアプリケーション間のすべての接続についてエンドツーエンド暗号化を提供しなければなりません。
- A. Network Load Balancerを作成します。ターゲットグループを作成し、プロトコルをTCP、ポートを443に設定します。セッションアフィニティ(ステッキーセッション)を有効化します。EC2インスタンスをターゲットとして登録します。リスナーを作成し、プロトコルをTCP、ポートを443に設定します。EC2インスタンスにSSL証明書をデプロイします。 ✓
- B. Application Load Balancerを作成します。ターゲットグループを作成し、プロトコルをHTTP、ポートを80に設定します。アプリケーションベースのCookieポリシーを用いたセッションアフィニティ(ステッキーセッション)を有効化します。EC2インスタンスをターゲットとして登録します。HTTPSリスナーを作成し、デフォルトアクションをターゲットグループへの転送に設定します。AWS Certificate Manager(ACM)を用いてリスナー向けの証明書を作成します。
- C. Network Load Balancerを作成します。ターゲットグループを作成し、プロトコルをTLS、ポートを443に設定します。セッションアフィニティ(ステッキーセッション)を有効化します。EC2インスタンスをターゲットとして登録します。リスナーを作成し、プロトコルをTLS、ポートを443に設定します。アプリケーション向けにAWS Certificate Manager(ACM)を用いて証明書を作成します。
- D. Application Load Balancerを作成します。ターゲットグループを作成し、プロトコルをHTTPS、ポートを443に設定します。アプリケーションベースのCookieポリシーを用いたセッションアフィニティ(ステッキーセッション)を有効化します。EC2インスタンスをターゲットとして登録します。HTTPリスナーを作成し、ポートを443に設定します。デフォルトアクションをターゲットグループへの転送に設定します。
正解: A. Network Load Balancerを作成します。ターゲットグループを作成し、プロトコルをTCP、ポートを443に設定します。セッションアフィニティ(ステッキーセッション)を有効化します。EC2インスタンスをターゲットとして登録します。リスナーを作成し、プロトコルをTCP、ポートを443に設定します。EC2インスタンスにSSL証明書をデプロイします。
解説
クライアントがHTTPSで接続し、可用性ゾーンおよびEC2インスタンス間でトラフィックを分散しつつ、同一セッションを同一EC2インスタンスにルーティングし、エンドツーエンド暗号化を実現するには、Network Load Balancer(NLB)が適しています。NLBはレイヤー4(TCP)で動作し、SSL終端をEC2インスタンス側で行うことでエンドツーエンド暗号化を実現できます。選択肢Aは、NLBでTCPポート443を用い、セッションアフィニティを有効化し、SSL証明書をEC2インスタンスにデプロイするという正しい構成です。選択肢BはターゲットグループのプロトコルがHTTPであるため不適切(HTTPSである必要があります)。選択肢CはNLBのターゲットグループプロトコルがTLSであることが許可されておらず、TCPである必要があります。選択肢DはHTTPリスナーを443ポートで作成しているため不適切(HTTPSリスナーである必要があります)。よって、正解はAです。