Q31 — AWS SAA-C03 第1章

第 31/65 問 | ← 第1章

Q31. ソリューションアーキテクトが、パブリックサブネットとプライベートサブネットを含むVPCを設計しています。このVPCおよび各サブネットにはIPv4 CIDRブロックが使用されています。高可用性を確保するため、3つのAvailability Zone(AZ)それぞれに1つのパブリックサブネットと1つのプライベートサブネットが配置されています。インターネットアクセスを提供するために、インターネットゲートウェイがパブリックサブネットに接続されています。一方、プライベートサブネット内のAmazon EC2インスタンスがソフトウェアの更新をダウンロードできるよう、プライベートサブネットにもインターネットアクセスが必要です。ソリューションアーキテクトは、プライベートサブネットへのインターネットアクセスを有効化するために何を行うべきでしょうか?

正解: A. 3つのNATゲートウェイを作成します。各AZのパブリックサブネットに1つずつ配置します。さらに、各AZごとにプライベートルートテーブルを作成し、VPC外のトラフィックをそのAZ内のNATゲートウェイへ転送するように設定します。

解説

プライベートサブネット内のインスタンスにインターネットアクセスを提供する一般的な設計パターンは、パブリックサブネット内にNetwork Address Translation(NAT)ゲートウェイを配置することです。NATゲートウェイを使用すると、プライベートIPアドレスを外部に公開することなく、プライベートサブネット内のインスタンスがインターネットへ接続できます。 本シナリオでは、各AZのパブリックサブネットに1つずつ、合計3つのNATゲートウェイを作成し、各AZごとにプライベートルートテーブルを作成して、VPC外のトラフィックをそのAZ内のNATゲートウェイへ転送するように設定することが正しい方法です。また、NATゲートウェイにはElastic IPアドレスを関連付ける必要があります(これにより、静的なパブリックIPアドレスが保証されます)。 選択肢Bは誤りです。NATゲートウェイをプライベートサブネット内に作成しても、プライベートインスタンスへのインターネットアクセスは実現できません。NATゲートウェイは必ずパブリックサブネット内に配置する必要があります。 選択肢Cは誤りです。プライベートサブネットに追加のインターネットゲートウェイを作成するのは、セキュリティおよびスケーラビリティの観点から推奨されません。 選択肢Dは誤りです。egress-only internet gatewayは、プライベートサブネット内のインスタンスからインターネットへのアウトバウンド通信のみを許可しますが、インターネットからのインバウンド通信は許可しません。したがって、本問のようにプライベートサブネット内のインスタンスがインターネットからソフトウェア更新をダウンロードする必要がある場合には、この機能は適用できません。