Q77 — AWS SOA-C02 第1章
第 77/100 問 | ← 第1章
ある企業が、AWS環境とオンプレミスデータセンターの間にIPsecトンネルを設定しました。トンネルのステータスはUPと報告されていますが、Amazon EC2インスタンスからオンプレミスのリソースに対してpingを実行しても応答がありません。 この問題を解決するために、SysOps管理者は何を行うべきですか?
- A. EC2インスタンスのセキュリティグループに新しい受信ルールを作成し、オンプレミスCIDRからのICMPトラフィックを許可します。
- B. IPsecトンネルとEC2インスタンスが配置されたサブネットの間にVPCピアリング接続を作成します。
- C. EC2インスタンスが配置されたサブネットに割り当てられたルートテーブルにおいて、仮想プライベートゲートウェイのルート伝搬を有効化します。 ✓
- D. VPCのDHCPオプションセットを変更し、VPNセクションにIPsecトンネルを追加します。
正解: C. EC2インスタンスが配置されたサブネットに割り当てられたルートテーブルにおいて、仮想プライベートゲートウェイのルート伝搬を有効化します。
解説
IPsecトンネルのステータスが正常でもEC2インスタンスがオンプレミスリソースと通信できない場合、通常はルーティングの問題が原因です。AWSドキュメントによると、仮想プライベートゲートウェイは、サブネットのルートテーブルにルートを伝搬させる必要があり、そうすることでVPN経由のトラフィックが正しくルーティングされます。選択肢Cのルート伝搬の有効化により、オンプレミスネットワークへのパスがEC2インスタンスが配置されたサブネットのルートテーブルに追加されます。選択肢AのセキュリティグループによるICMP許可は関連性があるかもしれませんが、問題の根本原因はルートの欠如である可能性が高いです。選択肢BのVPCピアリング接続は、ハイブリッド環境のVPNシナリオには適用されません。選択肢DのDHCPオプションセットはルーティング構成には影響しません。正解はCです。