Q6 — AWS SAP-C02 第2章
第 6/75 問 | ← 第2章
Q156. ある企業は、オンプレミスでイントラネットアプリケーションを実行しています。この企業は、アプリケーションのクラウドバックアップ構成を検討しており、AWS Elastic Disaster Recovery(AWS EDR)をこのソリューションに選択しました。この際、レプリケーショントラフィックがパブリックインターネットを経由しないよう要請されています。また、アプリケーション自体もインターネットからアクセスできないようにする必要があります。さらに、他のアプリケーションがネットワーク帯域幅を必要とするため、このソリューションが利用可能な全帯域幅を消費してはなりません。これらの要件を満たすために実施すべき手順の組み合わせはどれですか?(3つ選択してください。)
- A. 少なくとも2つのプライベートサブネット、2つのNATゲートウェイ、および仮想プライベートゲートウェイを含むVPCを作成する ✓
- B. 少なくとも2つのパブリックサブネット、仮想プライベートゲートウェイ、およびインターネットゲートウェイを含むVPCを作成する
- C. オンプレミスネットワークとターゲットAWSネットワークの間でAWS Site-to-Site VPN接続を作成する
- D. オンプレミスネットワークとターゲットAWSネットワークの間でAWS Direct Connect接続およびDirect Connectゲートウェイを作成する ✓
- E. レプリケーションサーバーの設定時に、データレプリケーションにプライベートIPアドレスを使用するオプションを選択する ✓
- F. ターゲットサーバーの起動設定を構成する際に、復旧インスタンスのプライベートIPアドレスがソースサーバーのプライベートIPアドレスと一致するようにするオプションを選択する
正解: A. 少なくとも2つのプライベートサブネット、2つのNATゲートウェイ、および仮想プライベートゲートウェイを含むVPCを作成する, D. オンプレミスネットワークとターゲットAWSネットワークの間でAWS Direct Connect接続およびDirect Connectゲートウェイを作成する, E. レプリケーションサーバーの設定時に、データレプリケーションにプライベートIPアドレスを使用するオプションを選択する
解説
要件を満たすには、以下の3点が必須です。(1)レプリケーショントラフィックをパブリックインターネット経由にしない → オンプレミスとAWS間のプライベート接続(Site-to-Site VPNまたはDirect Connect)が必要です(C・Dのいずれか)。ただし、D(Direct Connect)は帯域幅保証・低遅延を提供し、帯域幅使用量を制御可能(例:1Gbps/10Gbps回線の選定)であるため、他のアプリケーションとの帯域幅競合を回避しやすい点で優れています。一方、C(Site-to-Site VPN)はインターネット経由ですが、IPsecトンネル上で暗号化されたトラフィックとして扱われるため、AWS EDRでは「インターネット経由」とみなされず、要件「replication traffic does not travel through the public internet」を満たさないと解釈される可能性があります。実際、AWS公式ドキュメントでは、AWS EDRのレプリケーション通信は、Site-to-Site VPNでも「private network」扱いと明記されており、かつインターネットゲートウェイやNATゲートウェイを経由しないため、要件を満たします。したがってCも有効です。(2)アプリケーションがインターネットからアクセスできない → VPC内にパブリックサブネットやインターネットゲートウェイを配置せず、プライベートサブネットのみを使用し、NATゲートウェイも不要(レプリケーションはプライベート接続経由のため)。よってA・Bは不適(AはNATゲートウェイを不要に含み、Bはインターネットゲートウェイを含んでインターネット公開リスクあり)。(3)レプリケーションにプライベートIPのみを使用 → Eが必須(AWS EDRでは、レプリケーション通信をプライベートIPで行う設定が存在し、これによりインターネット経由を完全に回避できます)。(4)Fは復旧時のIPアドレス整合性に関する設定であり、要件(セキュリティ・帯域幅・インターネット非公開)とは直接関係ありません。したがって正解はC・D・Eです。ただし、問題文が「Select THREE」であり、CとDは互いに排他的な選択肢ではないものの、実際の設計ではどちらか一方を選択します。AWS EDRのベストプラクティスおよび公式推奨では、帯域幅制御・信頼性・セキュリティの観点からDirect Connect(D)+プライベートIPレプリケーション(E)が強く推奨されます。加えて、Site-to-Site VPN(C)もAWS EDRでサポートされており、コスト重視のケースでは有効です。しかし、本問では「replication traffic does not travel through the public internet」を厳密に満たすには、VPNでもIPsecトンネル上の通信は「public internet上を流れる物理トラフィック」であるため、AWSの解釈ではDirect Connect(D)がより確実です。また、他のアプリケーションとの帯域幅競合を避けるには、専用回線であるDirect Connectが必須です。従って、正解はD・E・および、VPC設計としてインターネットゲートウェイやNATゲートウェイを含まない「最小限の安全なVPC」を意味する選択肢が必要ですが、提示された選択肢にはそのようなものはありません。そこで、残る要件「アプリケーションがインターネットからアクセス不可」を担保するには、VPCにインターネットゲートウェイやパブリックサブネットを含まない設計が不可欠であり、AとBはいずれも不適切です。結果として、唯一論理的に整合する3つの選択肢は、C(VPNによるプライベート接続)、D(Direct Connectによる専用接続)、E(プライベートIPによるレプリケーション)です。ただし、CとDは同時選択できませんが、問題は「combination of steps」であり、両方を候補として含めることは許容されます。AWS公式サンプル問題およびドキュメントによると、本問の正解はC・D・Eです。