Q72 — AWS SAP-C02 第2章

第 72/75 問 | ← 第2章

Q222. ある企業がレガシーアプリケーションをAWSクラウドに移行しました。 このアプリケーションは、3つのAvailability Zone(AZ)にまたがって配置された3台のAmazon EC2インスタンスで実行されています。各AZには1台のEC2インスタンスが配置されています。これらのEC2インスタンスはVPC内の3つのプライベートサブネット上で動作しており、パブリックサブネットと関連付けられたApplication Load Balancer(ALB)のターゲットとして設定されています。アプリケーションはオンプレミスシステムと通信する必要があります。オンプレミスシステムへのアクセスは、企業のIPアドレス範囲に属するIPアドレスからのトラフィックのみ許可されています。セキュリティチームは、内部IPアドレス範囲からクラウドに1つのIPアドレスのみを持ち込んでおり、これをファイアウォールの許可リストに追加済みです。また、このIPアドレスに対してElastic IPアドレスが作成されています。 ソリューションアーキテクトは、アプリケーションがオンプレミスシステムと通信できるようにするとともに、障害を自動的に復旧できるソリューションを構築する必要があります。 これらの要件を満たすソリューションはどれですか?

正解: C. パブリックサブネットに単一のNATゲートウェイをデプロイし、Elastic IPアドレスをそのNATゲートウェイに割り当てます。Amazon CloudWatchとカスタムメトリクスを用いてNATゲートウェイを監視します。NATゲートウェイが不健全と判定された場合、AWS Lambda関数を呼び出して別のサブネットに新しいNATゲートウェイを作成し、その新しいNATゲートウェイにElastic IPアドレスを割り当てます。

解説

選択肢Aは、各パブリックサブネットにNATゲートウェイを1つずつデプロイし、Elastic IPアドレスを割り当て、ヘルスチェックを有効化して障害発生時に再作成するという手法を提案しています。この方法は高可用性を提供しますが、企業がクラウドに持ち込んだIPアドレスが1つだけであることを考慮すると、コスト効率が悪く、過剰な設計となります。 選択肢Bは、ALBをNetwork Load Balancer(NLB)に置き換え、Elastic IPアドレスをNLBに割り当て、ヘルスチェックに失敗した場合に再デプロイするという手法です。しかし、NLBはNAT機能を提供しないため、オンプレミスシステムとの接続に必要な機能を満たしません。 選択肢Dは、Elastic IPアドレスをALBに割り当て、Route 53のシンプルレコードとヘルスチェックを活用し、障害時にALBを再作成するという手法です。これも同様にNAT機能を提供しないため、オンプレミスシステムとの接続要件を満たしません。 したがって、選択肢Cが最も適切なソリューションです。これは、パブリックサブネットに単一のNATゲートウェイをデプロイし、Elastic IPアドレスを割り当て、CloudWatchによる監視とLambdaによる自動復旧を組み合わせることで、高可用性・コスト効率・NAT機能のすべてを実現します。また、企業のIPアドレス範囲からのみのトラフィックを許可するというセキュリティ要件も満たします。