Q89 — AWS ANS-C01 第1章
第 89/100 問 | ← 第1章
ある企業は、AWS Transit Gatewayのハブ・アンド・スポーク構成を採用してAWSへの移行を計画しています。現在のオンプレミスのマルチプロトコルラベルスイッチング(MPLS)ネットワークには、MPLS VPNを用いたネットワークセグメンテーションを強制する厳格な制御が導入されています。企業は、AWSへの高耐障害性・高速・低遅延接続を実現するために、2本の10 Gbps AWS Direct Connect接続をプロビジョニング済みです。セキュリティエンジニアは、AWS環境にもネットワークセグメンテーションの概念を適用し、各ソフトウェア開発環境に対して仮想ルーティングおよびフォワーディング(VRF)を論理的に分離する必要があります。MPLS VPNの数は今後増加します。また、オンプレミスのMPLS VPN間ではIPアドレス空間が重複します。企業のAWSネットワーク設計は、これらのVPN間の重複アドレス空間をサポートしなければなりません。これらの要件を満たすとともに、運用オーバーヘッドが最小となるソリューションはどれですか?
- A. Transit Gateway Connect VPC内にソフトウェア定義WAN(SD-WAN)ヘッドエンド仮想アプライアンスおよびSD-WANコントローラーをデプロイします。企業のエッジルーターを新しいSD-WANコントローラーで管理し、SD-WANを用いて各開発環境向けに定義されたセグメントへトラフィックを分割します。
- B. 各MPLS VPNごとに、企業のエッジルーター上でIPsec VPNを設定します。各IPsec VPNトンネルを個別のMPLS VPNにアタッチします。各MPLS VPNごとに、Transit Gatewayで終端するAWS Site-to-Site VPN接続を設定します。各Transit Gateway VPNアタッチメントに対応するMPLS VPNをマッチさせるTransit Gatewayルートテーブルを設定します。
- C. AWS Site-to-Site VRF対応IPsec VPNで終端するTransit VPCを作成します。各開発環境のVRFごとに、各VPCへのIPsec VPN接続を設定します。
- D. 企業のエッジルーターとTransit Gatewayの間で、各MPLS VPNごとにTransit Gateway Connectアタッチメントを設定します。各開発環境のMPLS VPNに対応するTransit Gatewayルートテーブルを設定します。 ✓
正解: D. 企業のエッジルーターとTransit Gatewayの間で、各MPLS VPNごとにTransit Gateway Connectアタッチメントを設定します。各開発環境のMPLS VPNに対応するTransit Gatewayルートテーブルを設定します。
解説
AWS Transit Gateway Connectは、カスタムアタッチメントを介して顧客のエッジルーターとTransit Gatewayを接続し、各アタッチメントを独立したMPLS VPNに関連付ける機能を提供します。これに各VPNに対応するカスタムルートテーブルを組み合わせることで、異なる環境間のトラフィックを論理的に分離し、アドレス空間の重複問題を処理できます。選択肢Dは、AWSネイティブサービスを活用してアーキテクチャを簡素化し、複数のIPsec VPNやSD-WANソリューションの複雑な管理を回避します。拡張時にはアタッチメントとルートテーブルの追加のみで済み、運用オーバーヘッドが最小限になります。[AWS Transit Gateway Connectドキュメント]では、この機能がBGP動的ルーティングを用いてMPLS VPNとの統合を可能にし、複数のルートテーブルによるトラフィック分離をサポートしていると記載されており、将来のMPLS VPN数の増加にも対応可能です。他の選択肢(IPsec VPNの個別設定、サードパーティ製SD-WANの導入、非推奨となったTransit VPCアーキテクチャ)は、いずれも運用コストが高くなります。