Q53 — AWS SCS-C02 第1章

第 53/100 問 | ← 第1章

異なるサブネットにある2つのAmazon EC2インスタンスが互いに接続できるはずですが、接続できません。同一サブネット内の他のホストは正常に通信できること、およびセキュリティグループに該当トラフィックを許可する有効なALLOWルールが設定されていることは確認済みです。 以下のトラブルシューティング手順のうち、実施すべきものはどれですか?

正解: B. インバウンドおよびアウトバウンドのネットワークACLルールを確認し、DENYルールを探します

解説

ネットワークACLはステートレスであり、サブネットレベルのトラフィックの流入および流出を制御します。インバウンドおよびアウトバウンドのルールを明示的に許可する必要があります。2つのサブネットのインスタンスが通信できないが、同一サブネット内では正常に通信でき、かつセキュリティグループが正しく設定されている場合、ネットワークACLにトラフィックをブロックする拒否ルールが存在する可能性があります。異なるサブネットは異なるネットワークACLに関連付けられている可能性があり、ルール順序や関連ポートの明示的な許可漏れによりトラフィックが拒否されることがあります。AWS公式ドキュメントによると、ネットワークACLルールはルール番号の小さい順に評価され、拒否ルールが後続の許可ルールを上書きすることがあります。選択肢CのVPCフローログはトラフィック記録に有用ですが、ネットワークACLの直接確認の方が迅速です。選択肢Aのセキュリティグループは既に許可済みであり、選択肢Dはアプリケーション層のトレースに焦点を当てています。