Q72 — AWS ANS-C01 第1章
第 72/100 問 | ← 第1章
ある企業の開発チームが、新しい商品推薦Webサービスを作成しました。このWebサービスはCIDRブロック192.168.224.0/19のVPCでホストされています。企業は、Amazon EC2インスタンス上でWebサービスを展開し、Network Load Balancer(NLB)のターゲットとしてAuto Scalingグループを構成しました。企業は、商品推薦を受けたユーザーが、推薦を受けなかったユーザーと比較してより多くの金額を消費するかどうかをテストする必要があります。企業は5日後に大規模な販売イベントを控えており、既存の本番環境に推薦エンジンを統合する必要があります。既存の本番環境はCIDRブロック192.168.128.0/17のVPCでホストされています。ネットワークエンジニアは、既存の環境への干渉を最小限に抑えるソリューションを設計して、システムを統合しなければなりません。
- A. WebサービスVPCと既存の本番VPCの間にVPCピアリング接続を作成します。適切なルートテーブルにルーティングルールを追加し、既存の本番環境から192.168.224.0/19への通信およびWebサービス環境から192.168.128.0/17への通信を可能にします。関連するセキュリティグループおよびACLを構成して、システム間の通信を許可します。
- B. Webサービスの開発チームに、Webサービスを本番VPC内に再デプロイし、そこでシステムを統合するよう依頼します。
- C. VPCエンドポイントサービスを作成します。WebサービスのNLBとVPCエンドポイントサービスを関連付けます。既存の本番VPC内にWebサービス向けのインターフェース型VPCエンドポイントを作成します。 ✓
- D. 既存の本番環境にトランジットゲートウェイを作成します。本番VPCおよびWebサービスVPCへのアタッチメントを作成します。トランジットゲートウェイおよびVPCルートテーブルに192.168.224.0/19および192.168.128.0/17向けの適切なルーティングルールを設定します。関連するセキュリティグループおよびACLを構成して、システム間の通信を許可します。
正解: C. VPCエンドポイントサービスを作成します。WebサービスのNLBとVPCエンドポイントサービスを関連付けます。既存の本番VPC内にWebサービス向けのインターフェース型VPCエンドポイントを作成します。
解説
本問は、VPC間の安全な通信を実現するソリューションを問うものです。AWSドキュメントによると、VPCエンドポイントサービス(Endpoint Service)は、NLBを介して他のVPCにサービスを公開するのに適しており、パブリックインターネットやVPCピアリングを必要としません。選択肢Cは、インターフェース型VPCエンドポイントを用いてクロスVPC通信を実現し、ネットワークの分離性を維持しながら、既存のルートテーブル構造を変更せずに済みます。選択肢AはCIDR重複のリスクを含み、選択肢Bはアーキテクチャの再構築を伴い、選択肢Dはより複雑な構成を必要とします。選択肢Cはネットワークアーキテクチャの変更を最小限に抑え、「最小干渉」の要件を満たします。AWSのベストプラクティスでは、PrivateLink(VPCエンドポイント)を用いたクロスVPCサービス統合が推奨されており、トラフィックがパブリックインターネットを経由せず、ルートテーブルの肥大化も回避できます。