Q41 — AWS SAP-C02 第3章
第 41/75 問 | ← 第3章
Q266. 大規模な企業が、複数のAWSアカウントに展開されたVPC内でワークロードを実行しています。各VPCにはパブリックサブネットとプライベートサブネットが含まれており、それぞれ複数の可用性ゾーンにまたがっています。NAT Gatewayはパブリックサブネット内にデプロイされており、プライベートサブネットからインターネットへのアウトバウンド接続を可能にしています。ソリューションアーキテクトは、ハブアンドスポーク構成の設計を進めています。すべてのスポークVPC内のプライベートサブネットから発信されるトラフィックは、エグレスVPCを経由して内部(およびインターネット)へルーティングされる必要があります。ソリューションアーキテクトはすでに、中央のAWSアカウント内にエグレスVPCをデプロイし、その中にNAT Gatewayも配置済みです。これらの要件を満たすために、ソリューションアーキテクトが追加で実施すべき手順の組み合わせはどれですか?
- A. エグレスVPCとスポークVPC間でVPCピアリング接続を作成します。 インターネットへのアクセスを許可するための必要なルーティングを設定します。
- B. Transit Gatewayを作成し、既存のAWSアカウントと共有します。 既存のVPCをTransit Gatewayにアタッチします。 インターネットへのアクセスを許可するためのルーティングを設定します。 ✓
- C. 各AWSアカウントごとにTransit Gatewayを作成します。 NAT GatewayをそのTransit Gatewayにアタッチし、インターネットへのアクセスを許可するための必要なルーティングを設定します。
- D. エグレスVPCとスポークVPC間でAWS PrivateLink接続を作成します。 インターネットへのアクセスを許可するための必要なルーティングを設定します。
正解: B. Transit Gatewayを作成し、既存のAWSアカウントと共有します。 既存のVPCをTransit Gatewayにアタッチします。 インターネットへのアクセスを許可するためのルーティングを設定します。
解説
選択肢Bでは、Transit Gatewayを作成し、既存のAWSアカウントと共有したうえで、既存のVPCをTransit Gatewayにアタッチすることを推奨しています。このアプローチにより、VPC間の通信を一元管理するハブが提供され、すべてのトラフィックを単一の場所(Transit Gateway)を通じて流すことが可能になります。さらに、NAT Gatewayを含むエグレスVPCをTransit Gatewayにアタッチすることで、アウトバウンドトラフィックは追加のルーティング設定なしに自動的にNAT Gatewayへルーティングされます。Transit Gateway上のルートテーブルを適切に設定すれば、インターネットへのアクセスを許可または拒否することも可能です。 選択肢Aでは、エグレスVPCとスポークVPC間のVPCピアリング接続の作成を提案しています。VPCピアリングはVPC間接続の有効な手段ですが、トラフィックフローの一元化されたハブを提供せず、VPC数の増加に伴い管理が困難になる可能性があります。また、各スポークVPCでインターネットアクセスを許可するルーティングを個別に設定する必要があり、運用負荷が高まります。 選択肢Cでは、各アカウントごとにTransit Gatewayを作成し、NAT GatewayをそのTransit Gatewayにアタッチするという解決策を提案しています。この方法は機能しますが、Transit Gatewayは時間単位およびデータ処理量に応じた課金が発生するため、運用負荷とコストの両方が増大します。 選択肢Dでは、エグレスVPCとスポークVPC間でAWS PrivateLink接続を作成することを推奨しています。AWS PrivateLinkは、VPC内のサービスに安全にアクセスするためのプライベート接続を提供するものであり、インターネットへのアクセスを提供する目的には適していません。また、各スポークVPCでインターネットアクセスを許可するルーティングを設定する必要があるため、依然として運用負荷が高くなります。