Q61 — AWS SOA-C02 第1章
第 61/100 問 | ← 第1章
ある会社は、us-east-1リージョンのAmazon EC2インスタンス上でWebサイトをホストしています。同社はWebサイトをeu-central-1リージョンへ拡張する準備を進めていますが、データベースはus-east-1リージョンにのみ残す必要があります。展開後、eu-central-1リージョンのEC2インスタンスがus-east-1リージョンのデータベースに接続できませんでした。 この接続性の問題を解決する最も運用効率の高いソリューションはどれですか?
- A. 2つのリージョン間でVPCピアリング接続を作成します。データベースのセキュリティグループのインバウンドルールに、インスタンスのプライベートIPアドレス範囲を追加します。 ✓
- B. 2つのリージョン間でVPCピアリング接続を作成します。eu-central-1リージョンのインスタンスのセキュリティグループを、データベースのセキュリティグループのアウトバウンドルールに追加します。
- C. 2つのリージョン間でVPN接続を作成します。データベースのセキュリティグループのアウトバウンドルールに、インスタンスのプライベートIPアドレス範囲を追加します。
- D. 2つのリージョン間でVPN接続を作成します。eu-central-1リージョンのインスタンスのセキュリティグループを、データベースのセキュリティグループのインバウンドルールに追加します。
正解: A. 2つのリージョン間でVPCピアリング接続を作成します。データベースのセキュリティグループのインバウンドルールに、インスタンスのプライベートIPアドレス範囲を追加します。
解説
リージョン間のVPC通信には、VPCピアリング接続を用いてネットワークの相互接続を実現する必要があります。AWSのセキュリティグループルール設計に基づき、インバウンドトラフィックの許可は通常、送信元IPアドレス範囲またはセキュリティグループの参照に基づいて行われます。データベースがus-east-1にあり、eu-central-1のEC2インスタンスからのアクセスを受け付ける必要がある場合、リージョン間VPCピアリング接続を確立した後、データベースのセキュリティグループのインバウンドルールにeu-central-1のインスタンスのプライベートIPアドレス範囲を追加することで、指定された送信元IP範囲からのデータベースアクセス要求を直接許可できます。これにより、リージョン間のセキュリティグループ参照に伴う複雑性を回避できます。VPN接続も可能ですが、追加のゲートウェイデバイスの設定が必要であり、VPCピアリング接続に比べて運用効率が劣ります。