Q61 — AWS SOA-C02 第1章

第 61/100 問 | ← 第1章

ある会社は、us-east-1リージョンのAmazon EC2インスタンス上でWebサイトをホストしています。同社はWebサイトをeu-central-1リージョンへ拡張する準備を進めていますが、データベースはus-east-1リージョンにのみ残す必要があります。展開後、eu-central-1リージョンのEC2インスタンスがus-east-1リージョンのデータベースに接続できませんでした。 この接続性の問題を解決する最も運用効率の高いソリューションはどれですか?

正解: A. 2つのリージョン間でVPCピアリング接続を作成します。データベースのセキュリティグループのインバウンドルールに、インスタンスのプライベートIPアドレス範囲を追加します。

解説

リージョン間のVPC通信には、VPCピアリング接続を用いてネットワークの相互接続を実現する必要があります。AWSのセキュリティグループルール設計に基づき、インバウンドトラフィックの許可は通常、送信元IPアドレス範囲またはセキュリティグループの参照に基づいて行われます。データベースがus-east-1にあり、eu-central-1のEC2インスタンスからのアクセスを受け付ける必要がある場合、リージョン間VPCピアリング接続を確立した後、データベースのセキュリティグループのインバウンドルールにeu-central-1のインスタンスのプライベートIPアドレス範囲を追加することで、指定された送信元IP範囲からのデータベースアクセス要求を直接許可できます。これにより、リージョン間のセキュリティグループ参照に伴う複雑性を回避できます。VPN接続も可能ですが、追加のゲートウェイデバイスの設定が必要であり、VPCピアリング接続に比べて運用効率が劣ります。