Q41 — AWS DOP-C02 第3章

第 41/100 問 | ← 第3章

ある企業には20のサービスチームがあります。各サービスチームは、独自のマイクロサービスを担当しています。各サービスチームは、マイクロサービスごとに個別のAWSアカウントを使用し、CIDRブロック192.168.0.0/22を持つVPCを使用しています。企業はAWS Organizationsを使用してAWSアカウントを管理しています。 各サービスチームは、Application Load Balancerの後ろにある複数のAmazon EC2インスタンスでマイクロサービスをホストしています。マイクロサービスはパブリックインターネット経由で相互に通信しています。企業のセキュリティチームは、マイクロサービス間のすべての通信が専用ネットワーク接続を介してHTTPSで行われ、パブリックインターネットを通過してはならないという新しい方針を発表しました。 DevOpsエンジニアは、これらの要件を満たすソリューションを実装し、各サービスチームの変更を最小限に抑える必要があります。 これらの要件を満たすソリューションはどれですか?

正解: B. 各マイクロサービスVPC内でネットワークロードバランサー(NLB)を作成します。各AWSアカウントでNLBのためのVPCエンドポイントをAWS PrivateLinkを使用して作成します。各他のAWSアカウントで、各VPCエンドポイントへのサブスクリプションを作成します。マイクロサービス間の通信にはVPCエンドポイントのDNS名を使用します。

解説

問題文の説明によると、企業はマイクロサービス間の通信を専用ネットワーク接続を介してHTTPSで行わせ、パブリックインターネットを通過させない必要があります。これらの要件を満たすためには、異なるAWSアカウント内のVPC間でプライベート接続を提供するソリューションが必要です。選択肢Aは新しいAWSアカウントを作成し、VPCのプライベートサブネットを共有するものですが、サービスチームが新しいNLBと共有プライベートサブネットを使用するEC2インスタンスを起動する必要があり、大きな変更を伴います。選択肢Bは、各AWSアカウントでNLBのためのVPCエンドポイントをAWS PrivateLinkで作成し、各他のAWSアカウントで各VPCエンドポイントへのサブスクリプションを作成するという提案です。これにより、マイクロサービス間の通信は専用ネットワーク接続を介して行われ、パブリックインターネットを通過せず、変更量も最小限です。選択肢CはVPCピアリング接続を提案していますが、これは各VPC間でピアリング接続をすべて作成する必要があり、管理の複雑さが高くなります。選択肢Dは新しいTransit Gatewayを作成し、それを共有するものですが、これも大きな変更を伴い、追加のTransit Gateway管理の複雑さを導入します。以上より、選択肢Bはマイクロサービス間の専用ネットワーク接続とHTTPS通信の要件を満たし、各サービスチームの変更を最小限に抑えるため、最適なソリューションです。