Q87 — AWS ANS-C01 第1章

第 87/100 問 | ← 第1章

ある企業は、オンプレミスアプリケーションの容量を一時的に拡張する必要があり、Amazon EC2インスタンス上に新しいサーバーを展開することを検討しています。ネットワークエンジニアは、AWS上の接続およびアプリケーションのためのネットワーキングソリューションを設計しなければなりません。 EC2インスタンスは、オンプレミスデータセンター内の既存のサーバーとデータを共有する必要があります。サーバーはインターネットからアクセスできないようにする必要があります。インターネットへのすべてのトラフィックは、オンプレミスデータセンター内のファイアウォールを経由してルーティングされなければなりません。サーバーは第三者のWebアプリケーションにアクセスできる必要があります。

正解: B. プライベートサブネットのみを持つVPCを作成します。カスタマーゲートウェイ、仮想プライベートゲートウェイ、およびAWS Site-to-Site VPN接続を作成します。ルートテーブルを作成し、プライベートサブネットをそのルートテーブルに関連付けます。仮想プライベートゲートウェイへのデフォルトルートを追加します。アプリケーションをプライベートサブネットにデプロイします。

解説

本問の要件を満たすには、サーバーがインターネットから直接アクセスされず、第三者のWebアプリケーションおよび内部データセンターにアクセス可能なAWS VPC(Virtual Private Cloud)環境を構築する必要があります。選択肢Bは、プライベートサブネットのみを設定し、AWS Site-to-Site VPN接続を用いて内部データセンターと通信するという正しい構成です。これにより、EC2インスタンスは内部データセンターのリソースに安全にアクセスでき、すべてのインターネットトラフィックが内部データセンターのファイアウォールを経由してルーティングされます。選択肢AおよびDはパブリックサブネットを含んでおり、「サーバーはインターネットからアクセスできない」という要件に違反します。選択肢Cはパブリックサブネットのみを使用していますが、アプリケーションをパブリックサブネットにデプロイすることもセキュリティ要件に反します。したがって、正しい答えはBです。