Q44 — AWS SAA-C03 第3章

第 44/65 問 | ← 第3章

Q174. ある企業が、AWS上に3層構成のWebアプリケーションを展開しています。WebサーバーはVPC内のパブリックサブネットにデプロイされています。アプリケーションサーバーおよびデータベースサーバーは、同じVPC内のプライベートサブネットにデプロイされています。また、この企業はAWS Marketplaceからサードパーティ製の仮想ファイアウォールアプライアンスを検査専用のVPC(inspection VPC)に展開しています。このアプライアンスはIPインターフェイスを備えており、IPパケットを受信できます。ソリューションアーキテクトは、すべてのトラフィックがWebサーバーに到達する前に、そのトラフィックをアプライアンスで検査できるよう、Webアプリケーションとアプライアンスを統合する必要があります。これらの要件を満たすうち、運用オーバーヘッドが最も少ないソリューションはどれですか?

正解: D. 検査専用VPCにGateway Load Balancerを展開し、着信パケットを受信してアプライアンスへ転送するためのGateway Load Balancerエンドポイントを作成する。

解説

AWS Marketplaceから提供されるサードパーティ製仮想ファイアウォールアプライアンスを、3層構成のWebアプリケーションへの全トラフィックをWebサーバー到達前に検査するために統合するには、検査専用VPCにGateway Load Balancerを展開し、着信トラフィックを受信してファイアウォールアプライアンスのIPインターフェイスへ転送するGateway Load Balancerエンドポイントを作成します。したがって、正解は選択肢Dです。選択肢Aは、アプリケーションのVPCのパブリックサブネットにNetwork Load Balancerを作成し、トラフィックをアプライアンスへルーティングするというものです。しかし、Network Load BalancerはTCP/UDPトラフィックを複数のターゲットへ分散する目的で設計されており、本シナリオで求められるディープパケットインスペクションをサポートしません。選択肢Bは、Application Load Balancerを同様にパブリックサブネットに配置し、アプライアンスへトラフィックをルーティングするというものです。これは技術的には可能ですが、Gateway Load Balancerを利用する場合と比較して、設定や運用のオーバーヘッドが大きくなります。選択肢Cは、検査専用VPCにTransit Gatewayを展開し、ルートテーブルでパケットを経路制御するというものです。これは不必要な複雑さを追加し、Gateway Load Balancerと同等のパフォーマンスを保証できません。Gateway Load Balancerは、サードパーティ製仮想ファイアウォールアプライアンスを統合して全トラフィックを検査するための、スケーラブルかつコスト効率の高いソリューションを提供します。Gateway Load Balancerは、着信トラフィックを受信し、ファイアウォールアプライアンスのIPインターフェイスへ転送するエンドポイントを設定できます。検査後、トラフィックはプライベートネットワーク経由でプライベートサブネット内のWebサーバーへ転送されます。このアプローチは、要件を満たしつつ、運用オーバーヘッドを最小限に抑えます。