Q85 — AWS ANS-C01 第1章
第 85/100 問 | ← 第1章
ある企業は、ビジネスユニット(BU)のためにus-east-1リージョンおよびap-south-1リージョンを使用しています。BUはBU-1およびBU-Zと名付けられています。各BUについて、us-east-1リージョンに2つのVPCがあり、ap-south-1リージョンに1つのVPCがあります。ワークロードの分離要件により、同一BU内のリソース間でのみ通信が可能であり、他のBUのリソースとは通信できません。企業は今後さらにBUを追加し、さらに多くのリージョンへ拡張する予定です。これらの要件を最も運用効率よく満たすソリューションはどれですか?
- A. 必要なリージョンで動作するAWS Cloud WANネットワークを構成します。すべてのBU VPCをAWS Cloud WANコアネットワークにアタッチします。AWS Cloud WANセグメントアクションを更新し、異なるBUセグメント間のトラフィックを拒否する新しいルートを設定します。
- B. 各リージョンにトランジットゲートウェイを構成します。トランジットゲートウェイ間のピアリングを構成します。各BUのVPCを対応するリージョンのトランジットゲートウェイにアタッチします。トランジットゲートウェイおよびVPCのルートテーブルを構成し、BU VPC間のトラフィックを分離します。
- C. 必要なリージョンで動作するAWS Cloud WANネットワークを構成します。すべてのBU VPCをAWS Cloud WANコアネットワークにアタッチします。コアネットワークポリシーを更新し、各セグメントに対してisolate-attachmentsパラメータを設定します。
- D. 必要なリージョンで動作するAWS Cloud WANネットワークを構成します。各BUごとにAWS Cloud WANセグメントを作成します。各BUのVPCのVPCアタッチメントを対応するBUセグメントに構成します。 ✓
正解: D. 必要なリージョンで動作するAWS Cloud WANネットワークを構成します。各BUごとにAWS Cloud WANセグメントを作成します。各BUのVPCのVPCアタッチメントを対応するBUセグメントに構成します。
解説
本問は、AWSにおけるマルチリージョンネットワーク分離ソリューションの選定が核心です。AWS Cloud WANはセグメント(Segments)を用いて論理的な分離を実現し、各ビジネスユニットに対応する独立したセグメントを設定することで、VPCを該当セグメントにアタッチすれば、跨リージョンでの通信が可能となり、他のセグメントとのトラフィックは自動的に分離されます。選択肢Dは、Cloud WANのネイティブなセグメント機構を直接活用し、新規BUの追加時に該当セグメントを作成してVPCをアタッチするだけで済むため、「最も運用効率が高い」という要件を満たします。一方、他の選択肢は手動によるルートポリシー管理(A/C)や跨リージョンのゲートウェイピアリング(B)を必要とし、運用負荷が増大します。