Q12 — AWS SAP-C02 第1章
第 12/75 問 | ← 第1章
Q87. ある企業が、一部のアプリケーションを AWS へ移行しようとしています。企業は、ネットワーキングおよびセキュリティ戦略が確定次第、アプリケーションを迅速に移行・モダナイズしたいと考えています。企業は、中央ネットワークアカウント内に AWS Direct Connect 接続をすでに設定済みです。今後数か月で、数百の AWS アカウントおよび VPC を構築する予定です。また、社内ネットワークは AWS 上のリソースにシームレスにアクセスできなければならず、すべての VPC と通信できる必要があります。さらに、クラウド上のリソースからインターネットへのトラフィックを、オンプレミスのデータセンター経由でルーティングすることも求められています。 これらの要件を満たすための手順の組み合わせはどれですか?(3つ選択)
- A. 中央アカウントに Direct Connect ゲートウェイを作成します。各アカウントで、Direct Connect ゲートウェイと各仮想プライベートゲートウェイ(Virtual Private Gateway)のアカウント ID を使用して、関連付けプロポーザル(association proposal)を作成します。
- B. 中央ネットワークアカウントに Direct Connect ゲートウェイとトランジットゲートウェイを作成します。トランジット VIF を使用して、トランジットゲートウェイを Direct Connect ゲートウェイにアタッチします。 ✓
- C. インターネットゲートウェイをプロビジョニングし、サブネットにアタッチします。インターネットゲートウェイを経由したインターネットトラフィックを許可します。
- D. トランジットゲートウェイを他のアカウントと共有します。VPC をトランジットゲートウェイにアタッチします。 ✓
- E. 必要に応じて VPC ピアリングをプロビジョニングします。
- F. パブリックサブネットは作成せず、すべてプライベートサブネットのみをプロビジョニングします。AWS からのアウトバウンドインターネットトラフィックが、データセンター内で実行される NAT サービスを経由して流れるよう、トランジットゲートウェイおよびカスタマーゲートウェイ上で必要なルートを開きます。 ✓
正解: B. 中央ネットワークアカウントに Direct Connect ゲートウェイとトランジットゲートウェイを作成します。トランジット VIF を使用して、トランジットゲートウェイを Direct Connect ゲートウェイにアタッチします。, D. トランジットゲートウェイを他のアカウントと共有します。VPC をトランジットゲートウェイにアタッチします。, F. パブリックサブネットは作成せず、すべてプライベートサブネットのみをプロビジョニングします。AWS からのアウトバウンドインターネットトラフィックが、データセンター内で実行される NAT サービスを経由して流れるよう、トランジットゲートウェイおよびカスタマーゲートウェイ上で必要なルートを開きます。
解説
質問文の要件を満たす手順の組み合わせは、以下の3つです: B. 中央ネットワークアカウントに Direct Connect ゲートウェイとトランジットゲートウェイを作成し、トランジット VIF を用いてトランジットゲートウェイを Direct Connect ゲートウェイにアタッチする。 D. トランジットゲートウェイを他のアカウントと共有し、VPC をトランジットゲートウェイにアタッチする。 F. パブリックサブネットは作成せず、すべてプライベートサブネットのみをプロビジョニングし、AWS からのアウトバウンドインターネットトラフィックがデータセンター内の NAT サービスを経由して流れるよう、トランジットゲートウェイおよびカスタマーゲートウェイ上で必要なルートを開く。 解説: 選択肢 B:中央ネットワークアカウントに Direct Connect ゲートウェイとトランジットゲートウェイを作成することで、社内ネットワークと AWS リソース間のシームレスな接続が可能になります。トランジットゲートウェイは、複数の VPC や VPN 接続をハブとして統合する役割を果たします。トランジット VIF を用いてトランジットゲートウェイを Direct Connect ゲートウェイにアタッチすることで、オンプレミスネットワークがすべての VPC と通信できるようになります。 選択肢 D:トランジットゲートウェイを他のアカウントと共有し、各アカウントの VPC をトランジットゲートウェイにアタッチすることで、複数の AWS アカウントにわたる VPC 間および社内ネットワークとの通信が可能となり、集中型の接続ソリューションを実現できます。 選択肢 F:すべてのサブネットをプライベートサブネットとして設計し、トランジットゲートウェイおよびカスタマーゲートウェイ上に適切なルートを設定することで、AWS 内のリソースから発信されるインターネットトラフィックを、オンプレミスデータセンター内の NAT サービス経由でルーティングできます。 選択肢 A は不適切です。各アカウントで Virtual Private Gateway と Direct Connect ゲートウェイの関連付けプロポーザルを作成するのは、本要件における接続性およびルーティングの目的には不要であり、過剰かつ非効率な構成です。 選択肢 C は不適切です。インターネットゲートウェイをプロビジョニングし、それを経由してインターネットトラフィックを許可しても、社内ネットワークと AWS リソース間のシームレスな接続や、オンプレミスデータセンター経由のインターネットルーティングという要件を直接満たしません。 選択肢 E は不適切です。VPC ピアリングは質問文中で明示的に要求されておらず、また社内ネットワークとのシームレスな接続やオンプレミス経由のインターネットルーティングという要件を直接満たすものではありません。 よって、正しい手順の組み合わせは B、D、F です。