ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。
採点する
36問中 0問が回答されています
質問:
インフォメーション
You have already completed the テスト before. Hence you can not start it again.
問題を読み込んでいます…
You must sign in or sign up to start the テスト.
まず、次の操作を完了する必要があります:
結果
結果
正解数 0/問題数36
回答にかかった時間:
終了時間となりました
回答お疲れ様でした。
Earned Point(s): 0 of 0, (0)
0 Essay(s) Pending (Possible Point(s): 0)
カテゴリー
- ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。 0%
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 選択中
- 後で確認
- 回答済み
- 正解
- 不正解
-
質問 1 of 36
1. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-60】製造業の企業 X はシンガポールとロンドンの工場から us-east-1 の複数 VPC 内 API にアクセスしている。
現在の Site-to-Site VPN(各拠点→Transit Gateway)では平均往復遅延 220 ms、ジッタ 40 ms と高く、リアルタイム制御の SLA(遅延 ≤150 ms、ジッタ ≤10 ms、月可用性 99.95%)を満たせない。
Direct Connect は予算上 12 か月後まで導入不可。
IPsec で暗号化したまま 1.5 Gbps のスループットを維持し、運用負荷を増やさず即時に性能を改善する最適な対応策はどれか。正解不正解ヒントボタン
シンガポールやロンドンから us-east-1 へ伸びるインターネット区間で生じる 220ms/40ms のばらつきを抑えるには、Transit Gateway の外側で AWS Global Accelerator のエッジネットワークを経由させる Accelerated Site-to-Site VPN を用い、近接 PoP までだけを公網に流して残りを Amazon Backbone で運ぶ経路最適化が遅延とジッタを劇的に改善する鍵になります。
IPsec で 1.5Gbps を安定維持するにはトンネル 1 本あたり約 1.25Gbps の上限を踏まえ、Accelerated Site-to-Site VPN を 2 本張って BGP による ECMP でアクティブ/アクティブ運用すれば帯域と冗長性を同時に確保でき、Transit Gateway ルートテーブルが複数パスを自動分散するため追加の運用負荷もほとんど増えません。
予算の制約で Direct Connect がまだ使えず現場に新機材を置かずにすぐ効果を出したい状況では、遅延・ジッタ・スループット・月間 99.95% 可用性という四つの要件を同時に満たしつつ Transit Gateway を活かし Amazon Backbone に乗れるマネージドサービスかどうかを俯瞰して選択することが総合的判断のポイントとなります。 -
質問 2 of 36
2. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-61】製造業の企業 X 社は、オンプレミス DC (192.168.0.0/16) と AWS 間を 1 Gbps の専用線で接続している。
1) 東京 (10.0.0.0/16) とオレゴン (172.16.0.0/16) の本番 VPC へ低レイテンシ通信を実現したい。
2) 将来さらに他リージョン VPC を追加しても回線を増設せず、運用を簡素化したい。
3) 同アカウントのサンドボックス VPC (10.1.0.0/16) へはオンプレ DC から到達できないようにすること。
4) VPN バックアップは不要で、コストは最小化したい。
上記要件を満たす最適な接続設計はどれか。正解不正解ヒントボタン
低レイテンシ要件と今後のリージョン追加を考えると、1 本の専用線にプライベート VIF を作成して Direct Connect Gateway をハブとして使い、東京とオレゴンの Virtual Private Gateway をぶら下げる設計が有効です。DXGW は最大 200 の VGW を地域横断で収容できるため、物理回線やオンプレ側ルータ設定を増やさず新しい VPC を容易に追加できます。インターネットを経由しないため IPsec の暗号処理やベストエフォート回線の遅延変動がなく、1 Gbps の帯域を安定して活用できます。
オンプレとサンドボックス VPC を確実に分離するには、その VPC を Direct Connect Gateway に関連付けない方法がもっともシンプルかつ安全です。さらに DXGW の Allowed Prefixes で 10.0.0.0/16 と 172.16.0.0/16 だけを広告すれば 10.1.0.0/16 はクラウド側から一切流れず、オンプレ側 ACL や静的ルートより人的ミスの余地を減らせます。Transit Gateway でブラックホールを設定する案もありますが、アタッチを作らない設計は設定数が少なく意図しない経路露出を根本から排除できます。
費用と運用負荷に目を向けると、Transit Gateway への Direct Connect アタッチメントやプライベート VIF を複数本用意する方式は月額とデータ処理料が積み上がり、VPN トンネルを使う構成では装置冗長や監視コストも増えます。プライベート VIF 1 本+DXGW+必要な VGW だけなら追加時間課金がなく部品も少ないため障害点が減り、Allowed Prefixes で経路制御を一元化できます。低レイテンシ・拡張性・隔離・コストの四要件を総合的に俯瞰すると、この組み合わせが現時点で最も合理的な選択肢だと整理できます。
-
質問 3 of 36
3. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-62】金融サービス企業F社は東京リージョンの3つのVPCをTransit Gatewayでメッシュ接続している。
オンプレミス2拠点(/16が各1)とは現在1 GbpsのDX 1本で接続しているが、総帯域2 Gbps・可用性99.99%・DX障害時30秒以内の自動フェイルオーバーという新SLAを満たす必要がある。
通信ポリシーは「通常時はDXでロードシェア、DX完全断時のみVPNに迂回」とする。
最も適切な設計はどれか。正解不正解ヒントボタン
可用性99.99%かつ帯域2Gbpsを満たすには、AWS Direct Connect高可用性ガイドの要件通り、東京と大阪など物理的に分離された2つのDXロケーションに1Gbpsずつ専用線を敷設し、同一Direct Connect Gateway配下でLink Aggregation Groupを組み、各線にBGPセッションを張って障害検知を行えば、建屋断絶にも耐えつつ30秒以内に経路が収束する設計になります。
平常時に2本の専用線へ均等分散し障害時のみVPNへ迂回させるには、Transit GatewayでECMPを有効化して両プライベートVIFを同コストにしつつ、バックアップ用Site-to-Site VPNのBGP広告にAS-Pathを三回程度プリペンドして長い経路にし、DX側BGPが落ちた場合のみVPN経路が最短として選ばれるよう優先度を制御する手法が有効です。
複数VPCを束ねる場合はDirect Connect GatewayとTransit Gatewayを連携させることで経路配布を集約でき、各VIFの帯域をフル活用しながらオンプレとクラウド間を一元管理できます; 暗号化が必要な金融ワークロードではSite-to-Site VPNを併設し、Direct Connect断時の自動フェイルオーバーをBGPで実現する構成が、帯域・可用性・経路制御の全要件を総合的に満たすアプローチとなります。 -
質問 4 of 36
4. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-63】国内製造業 A 社は東京と大阪にある 2 つのデータセンターから、東京 (ap-northeast-1) とソウル (ap-northeast-2) のマルチアカウント VPC 群へ低レイテンシの専用線接続を設計している。
要件は以下の通り。
①帯域は双方向 10 Gbps、経路可用性 99.99%
②オンプレ側に存在する /24 × 350 のネットワークを Direct Connect の広告上限 100 経路以内に収める
③東京リージョンを優先し、ソウル側へはフェイルオーバー時のみ経路を流す
④専用線障害時は 30 秒以内に VPN へ自動切替
⑤運用負荷を最小化。
最適な設計はどれか。正解不正解ヒントボタン
要件①の10 Gbps双方向と経路可用性99.99%を実現するには、東京と大阪の両データセンターからAWS Direct Connectを2本ずつ引き、Link Aggregation Groupで束ねるのが現実的です。1回線あたり99.9%のSLAを複数本で冗長化すれば目標可用性に近づき、専用線の物理障害やポート故障を透過的に吸収できます。1 Gbpsや単一回線では帯域もSLAも不足する点、さらにロケーションを分散して地域災害に備える重要性を思い出してください。
Direct Connectにはオンプレミスから広告できるプレフィックスが100件以内という制限があります。/24が350個ならBGPで/16などに経路集約して数を減らすことが必須です。Direct Connect GatewayとTransit Gatewayを組み合わせ、7224:9100や7224:92xxといったBGPコミュニティを付与すれば東京をプライマリ、ソウルをセカンダリにでき、個別VGWを多数運用する場合と比べて経路数も運用負荷も大幅に削減できます。
専用線が切れた際に30秒以内でVPNへ自動切り替えを行うには、同じTransit GatewayにSite-to-Site VPNを張り、BGPのAS_PATHを長くして優先度を下げるだけでシンプルに実装できます。Direct Connect Gatewayを一つに統合し設定を集約すれば管理が一本化され、帯域・可用性・経路広告上限・リージョン優先・切替時間という複数要件を俯瞰して最も整合性の高い設計かどうかを判断しやすくなります。
-
質問 5 of 36
5. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-64】国内に 2 つのデータセンターを持つ企業は、10 Gbps LAG で東京 DX、1 Gbps 単回線で大阪 DX を敷設し、両方のプライベート VIF で同一 /22 プレフィックスを広告している。
要件は
①AWS→オンプレは東京をプライマリ、大阪をバックアップで自動切替、
②オンプレ→AWS は AS_PATH プリペンドで 60:40 のロードシェア、
③AWS ベストプラクティス準拠。
最適な BGP 構成を選べ。正解不正解ヒントボタン
Direct Connect からオンプレミスへの経路選択では、AWS ネットワーク内で最初に Local Preference が比較されるため、BGP コミュニティ 7224:9100 のような Very High 値を東京側に、7224:7100 のような Low 値を大阪側に設定しておくと、同一 /22 プレフィックスを広告していても東京経路が常時プライマリとして選ばれ、障害時のみ大阪へスムーズにフェイルオーバーする挙動を自然に実現できます。
オンプレミスから AWS へのトラフィックを 60:40 程度で分散したい場合は、Direct Connect のプライベート VIF で受信する二つの経路に AS_PATH プリペンドを使って長さ差を付けるのが定石であり、東京側を 0 回・大阪側を複数回プリペンドすると AWS の経路選択順序(Local Pref → AS_PATH)でほぼ狙った比率へ落ち着きます。プリペンドの回数は 2〜3 回を目安に実測しながら微調整すると効果的です。
ベストプラクティスでは、Direct Connect LAG と単回線を組み合わせる冗長設計において、AWS→オンプレは BGP コミュニティで Local Preference を明示し、オンプレ→AWS は AS_PATH で帯域配分を行い、MED や Weight といった AWS が評価しにくい属性に頼らないことが推奨されるため、これら二方向の制御方法を組み合わせた案が総合的に最も要件を満たしやすい判断となります。 -
質問 6 of 36
6. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-65】金融SaaSを提供する企業は東京リージョン上のマルチAZ VPCと2つのオンプレDC間にハイブリッドネットワークを設計している。
要件は
①回線または接続拠点のいずれか1障害発生時でも99.99%可用性を維持、
②合計スループット5 Gbps以上、
③運用負荷を抑えながら将来的な帯域拡張を容易にすることである。
最も適切な AWS Direct Connect 構成はどれか。正解不正解ヒントボタン
Direct Connect の 99.99% SLA を達成するには、AWS ドキュメントにある通り「物理ロケーション冗長+回線冗長」が必須です。つまり 2 つ別々の DX ロケーションに接続し、各ロケーションで 2 本以上の専用線を用意する構成が推奨となります。ロケーションが 1 か所のみ、あるいは VPN との組み合わせだけでは SLA は 99.9% に留まる点を思い出してください。さらに BGP を冗長化しておけば切替は自動で行われ、手動フェイルオーバの運用負荷も回避できます。
帯域は合計 5 Gbps 以上が条件ですが、10 Gbps 専用線を 2 本ずつ LAG にまとめれば最初から 20 Gbps を確保でき、Link Aggregation Group へ新規回線を追加するだけで将来のスループット拡張も容易です。Direct Connect Gateway から Transit Gateway へ ECMP でぶら下げれば、複数 VPC へ均等経路分散され、オンプレ 2 拠点両方ともにシンプルなルーティングで大容量を利用できます。帯域と運用性の両立を意識しましょう。
可用性を最重視する場合、単一ロケーション集中や 100 Gbps 1 本の太回線は拠点障害で一発停止となり要件を外します。また 1 Gbps 回線や VPN バックアップだけでは帯域不足や手動切替が懸念です。2 ロケーション × 2 回線 LAG と DX Gateway+Transit Gateway+ECMP の組み合わせなら 99.99%・20 Gbps 以上・自動スケールが揃い、可用性・性能・運用の複数要件を総合的に満たす選択となるでしょう。
-
質問 7 of 36
7. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-66】A社は本社データセンターと AWS クラウドを接続するため、東京(ap-northeast-1)と大阪(ap-northeast-3)に 1 Gbps の AWS Direct Connect 専用回線を各1本敷設し、双方を同一の Direct Connect Gateway 経由で Transit Gateway に関連付けている。
オンプレミス側ルータは MED や AS_PATH の書き換えが禁止されているため、AWS 側で経路選択を制御し、通常時は東京回線をプライマリ、大阪回線をバックアップとしたい。
AWS のベストプラクティスに従い、東京側の BGP 広報に付与すべきコミュニティ値はどれか。正解不正解ヒントボタン
Direct Connect では BGP ルートに予約コミュニティ 7224:xxxx を付与すると AWS 側の Local Preference が自動設定されます。同一リージョン回線の優先度 High は 100、Low は 98 が割り当てられ、クロスリージョンは 8 番台を使用します。ap-northeast-1 の回線をプライマリにするなら最も高い Local Preference を与える値が必要で、具体的には 7224:7100 が High、7224:7300 が Low である点を番号と効果のセットで覚えておくと混乱しません。
オンプレミス側で AS_PATH や MED を変更できない場合でも、Direct Connect Gateway と Transit Gateway 間のルートはコミュニティによる Local Preference だけで選択が決まります。東京と大阪を同じ Gateway に関連付けても、東京回線に Local Preference 100 を与え大阪回線に 98 を与えれば、通常時は東京へ集約し、障害時のみ大阪へ自動フェイルオーバーするシンプルな冗長構成が組めます。
今回のシナリオは 1 Gbps の専用回線が東京と大阪に一本ずつあり、Direct Connect Gateway を介して共通の Transit Gateway に接続する典型的二重化パターンです。AWS が公開する 7224 シリーズのコミュニティを使い、同一リージョン最優先値を東京側に、大阪側に低優先値を付与すれば要件達成となるため、変更不可の BGP 属性があってもコミュニティと Local Preference だけで経路制御を完結させるという総合判断が鍵になります。
-
質問 8 of 36
8. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-67】製造業A社は東京DXロケーション(1 Gbps)と大阪DXロケーション(1 Gbps)から同一AWSアカウントのTransit GatewayへプライベートVIFを張り、加えてSite-to-Site VPNを同じTGWに接続している。
通常は東京DXを利用し、東京DX障害時は大阪DXへ、両DX停止時のみVPNへ30秒以内に自動フェイルオーバーさせたい。
AWS既定のBGPローカルプリファレンスは変更せず、AS_PATH操作のみで左右対称ルーティングを実現する最適な構成はどれか。正解不正解ヒントボタン
Transit Gateway が評価する順序はローカルプリファレンス→AS_PATH→その他です。全リンクのローカルプリファレンスを既定値100で統一し、Direct Connect 東京側プライベート VIF はプリペンド無し、大阪側は自 AS を2回、Site-to-Site VPN は4回と長さを段階付けすれば、AS_PATH が最短の東京経路が常用となり、障害発生時は30秒以内に大阪→VPN へ自動で切り替わります。
オンプレミスのルータでも BGP は AS_PATH をトランジティブ属性として評価するため、クラウド側と同じ判定軸に揃えておくと戻りトラフィックも同経路を通り左右対称ルーティングが成立します。ローカルプリファレンスは自 AS 内でのみ有効で外部へは伝搬しないので、Direct Connect Gateway や Site-to-Site VPN との経路共有では意図通りに作用しない点を押さえておきましょう。
Direct Connect Gateway に静的な優先度設定は存在しないため、BGP 属性で経路選定を制御する設計が鍵です。同一プレフィックスを3リンクから広告し AS_PATH を0→2→4と調整しておけば、東京 DX→大阪 DX→VPN の順で自律的にフェイルオーバーし、30 秒以内の自動性・経路の対称性・運用の簡潔さという複数要件を同時に満たせます。
-
質問 9 of 36
9. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-68】メディア企業A社はオンプレミスの2×100 Gbpsコアルータから、us-east-1とus-west-2の複数アカウントVPCへ常時合計50 Gbpsを送信している。
要件は
①リンク層でFIPS 140-3準拠の暗号化、
②単一点障害を排除、
③リージョン追加時もルート集約を維持し設定を最小化すること。
既存VPCは各リージョンのTransit Gatewayに接続済みである。
最も適切なハイブリッド接続設計はどれか。正解不正解ヒントボタン
1. リンク層でFIPS 140-3準拠を実現したいときは、AWS Direct Connect の専有接続で有効化できる MACsec がほぼ唯一の手段です。Hosted Connection や Site-to-Site VPN は IPsec によるレイヤ 3 暗号化、TLS はアプリケーション層の暗号化となり要件とずれます。まずは「専有回線+MACsec」で検討を始めると選択肢が絞れます。
2. 常時 50 Gbps をオンプレミスから送るなら、100 Gbps の専有回線を 2 本用意し LAG(Link Aggregation Group)で束ねる設計が典型です。Direct Connect の LAG はポート障害時に自動でフェイルオーバーしつつ合計 200 Gbps まで伸ばせるため、帯域確保と単一点障害排除を両立できます。Transit Gateway と組み合わせれば BGP マルチパスによる経路冗長も容易です。
3. 複数リージョンの VPC へ設定を増やさず広げたい場合、Transit VIF と Direct Connect Gateway で経路を一括広告し、各リージョンの Transit Gateway をアタッチする方法が効果的です。MACsec で暗号化、LAG で冗長化、Transit VIF でルート集約という三つの視点を同時に満たす構成を俯瞰すれば、最も合理的な設計が自ずと見えてくるはずです。
-
質問 10 of 36
10. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-69】製造業 A 社は東京 DC と大阪 DC を 10 ms で結ぶ MPLS を廃止し、既存の冗長 1 Gbps Direct Connect (東京ロケーション) を活用して両 DC 間のデータレプリケーションを AWS バックボーン経由で行う計画である。
要件:
1. ap-northeast-1 直下の Direct Connect Gateway で実施中の VPC ルート集約は維持する
2. トラフィックが任意のリージョンや VPC を経由してヘアピンしない
3. 追加のオンプレミス VPN/SD-WAN 機器を導入しない
これらの要件を同時に満たす設計として最適なものはどれか。正解不正解ヒントボタン
Direct Connect Gateway で集約したプレフィックスをそのまま活かしたい場合、プライベート VIF を Transit VIF に張り替えたり Transit Gateway へ乗り換えたりするとルート広告の再設計が発生します。既存のプライベート VIF を DXGW に紐付けたまま SiteLink をオンにすればルートテーブルは一切変わらず、VPC 向けのルート集約も維持したまま拠点間メッシュを後付けでき、追加設定は VIF 単位で完結します。
トラフィックを任意のリージョンや VPC に迂回させずヘアピン遅延を抑えたいときは、経路が DX バックボーン内部で閉じるかどうかが鍵です。SiteLink はプライベート VIF から直接 DXGW に入り、同一 DXGW 配下の別ロケーションへトランジットするため、ap-northeast-1 の AZ や Transit Gateway を経由しません。パケットはリージョンレイヤを抜けずにオンプレ同士で折り返すので、10 ms 級の遅延目標を専用線品質で保ちやすい構造です。
追加のオンプレ機器を置かないという制約下では、Site-to-Site VPN や Global Accelerator を組み合わせる案はハードウェア増設やインターネット経路依存で要件を外れ、Layer2 拡張は Direct Connect が L3 サービスである点と整合しません。Direct Connect SiteLink を既存 VIF に適用する方法が唯一、DX サービスだけで三つの要件を同時に充たす総合的にバランスの取れた選択となります。
-
質問 11 of 36
11. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-70】国際物流企業は東京(オンプレDC1)とシンガポール(オンプレDC2)を10 Gbps専用線でAWS Direct Connectロケーションに接続している。
①両DC間をAWSリージョンを経由せずレイテンシ3 ms以内で相互通信させる、
②各DCから東京リージョン内3アカウントのVPCにプライベートIPでアクセスさせる、
③追加帯域やVLAN変更の際に既存BGPセッションを極力変更せず運用負荷を下げる、という要件がある。
最も適切な設計はどれか。正解不正解ヒントボタン
レイテンシ3 ms以内という厳しい条件をAWSリージョンを経由せず満たすためには、Direct Connect拠点間を専用ネットワークで直結できるSiteLinkの活用が鍵です。SiteLinkを有効にすると、東京とシンガポールのロケーション間トラフィックはインターネットやTransit Gatewayを通らず専用線品質で流れ、VPN暗号化やリージョン経由ルーティングのオーバーヘッドを避けられるため遅延を最小化できます。
複数アカウントにある3つのVPCへプライベートIPでシンプルに接続するには、Private VIFをDirect Connect Gatewayに関連付ける方法が適しています。Direct Connect Gatewayは最大10個のVPCを一括で共有でき、マルチアカウントでも経路集約が容易です。TGWアタッチメントを使う構成は拡張性こそ高いものの、アタッチメント数・コスト・運用が増えるため今回の規模では冗長になる点を意識してください。
帯域拡張やVLAN追加時の運用負荷を抑えるには、単一のPrivate VIFを維持したままLink Aggregation Groupで回線を束ねる設計が効果的です。VPCごとに個別VLANを切ったりTransit VIFを増やす案は、BGPセッションやVLAN設定の追加変更が都度発生しますが、DX Gateway+SiteLink+Private VIFの組み合わせならVLAN数は固定でBGP再設定も不要なままスケールできます。
つまり、SiteLinkで低遅延オンプレ相互接続を実現し、Direct Connect Gatewayと単一Private VIFでマルチアカウントVPCの経路を集約し、LAGで拡張性を確保する構成が三つの要件をバランス良く満たす総合的な判断となります。
-
質問 12 of 36
12. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-71】製薬会社A社は、オンプレミスDC (172.16.0.0/16) と東京リージョンの本番VPC (10.0.0.0/16) を1 Gbps AWS Direct Connectで接続している。
日次バックアップ5 TBをインターネットを経由せずにS3へ送信したい。
12か月以内に国内外50 VPCを追加予定で、BGPセッション数と運用負荷を最小化する必要がある。
可用性はSLA 99.9%で十分で、コストは抑えたい。
要件を満たす最適な接続設計はどれか。正解不正解ヒントボタン
オンプレミスから Amazon S3 へインターネットを通さずに送信する場合、AWS Direct Connect の Public VIF で S3 のパブリックプレフィックスを受信し、BGP で S3 のみを許可するのが王道です。Private VIF や VPC 内の Gateway Endpoint はオンプレミスからは利用できないため、専用線経路を確保するには Public VIF が必須となります。1 Gbps 回線でも 5 TB/日の転送が可能で、DX 自体の 99.9% SLA によって可用性要件も満たせます。
12 か月で 50 VPC を追加する計画では、Virtual Private Gateway を個別に配置すると BGP セッションが VPC の数だけ増え運用負荷が跳ね上がります。Transit VIF から Direct Connect Gateway と Transit Gateway を経由してハブ&スポーク化すると、オンプレミス側の BGP ピアは 1 本のまま、各 VPC は Transit Gateway にアタッチするだけでよく、ルート伝播も自動化されます。将来的な VPC 追加時の作業が最小限になる点が大きなメリットです。
コストを抑えつつ SLA 99.9% を満たすなら、1 本の DX 回線に Transit VIF と Public VIF をそれぞれ 1 つ作り、Transit VIF は DX Gateway 経由で中央の Transit Gateway へ、Public VIF は S3 のみを許可する構成がシンプルです。LAG や冗長ロケーションを追加しないため費用を削減でき、BGP セッション数も最小化できます。転送経路、拡張性、運用コストを総合的に見渡して最もバランスの取れた案を選びましょう。
-
質問 13 of 36
13. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-72】国内に大阪・千葉の2拠点DCを持つ製造業A社は、東京リージョンと大阪リージョンそれぞれ1個ずつのVPCを利用し、オンプレDBとAurora間で1日最大6 TB、ピーク8,000 ppsの同期レプリケーションを実施している。
2本の10 Gbps Direct Connect(異なるDXロケーション)で通常トラフィックを70/30のアクティブ/アクティブ分散し、両回線断時のみSite-to-Site VPNへフェイルオーバーしたい。
RTOは5分以内、オンプレルータ側のBGP属性のみで経路優先度を制御し、10以上のVPC追加時も設定を最小限に抑えられる冗長設計はどれか。正解不正解ヒントボタン
国内二拠点から東京リージョンと大阪リージョンのVPCへ高スループット通信を維持しつつ、将来さらに十以上のVPCを増設しても構築作業を最小限に抑えるには、AWS Direct Connect Gateway をハブに据え、2本のプライベートVIFをぶら下げて複数リージョンのVPCをアタッチ操作だけで追加できる一元管理型のトポロジーが運用負荷を大幅に軽減します。
二本の10 Gbps回線をアクティブ/アクティブで70対30に荷重分散させたい場合、AWS側で評価される主要BGP属性はAS_PATHであるためオンプレミスルータでASパスプリペンドを行うと比率調整が容易です。Link Aggregation Groupにまとめると経路が論理的に一本化されプリペンドが効かず、Transit VIFではMEDが無視される点も押さえておきましょう。
両方のDirect Connectが同時断となってもRTO5分以内で業務を再開するには、Site-to-Site VPNをTransit Gatewayに集約しBGPフェイルオーバーで自動切替える設計が有効で、TGWを挟むことで新規VPC追加時もVPN設定が増えずルーティング伝播を一元化できるため、高可用性・経路制御・拡張性・運用簡素化という複数要件を俯瞰した総合判断として最もバランスの取れた冗長構成となります。
-
質問 14 of 36
14. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-73】金融 SaaS 企業は 2 つのオンプレ DC と ap-northeast-1 の VPC 間で IPv4/IPv6 デュアルスタック通信を平均 5 Gbps、ピーク 8 Gbps で常時行いたい。
RTO 30 秒以内、BGP 収束 5 秒以内、障害検知 1 秒以内で 99.99% 可用性を確保し、トラフィックはアクティブ/アクティブで均等配分する。
将来的に帯域が 2 倍になっても回線を停止せず拡張でき、運用負荷を最小化したい。
最も適切な接続設計はどれか。正解不正解ヒントボタン
99.99% の可用性を目指す場合は、各オンプレ DC から別々の Direct Connect ロケーションへ 10 Gbps 専用線を敷設してプライベート VIF を張り、PoP レベルまで物理冗長化したうえで BGP に BFD を併用し HoldTimer を短縮することにより 1 秒以内の障害検知と 5 秒以内の経路収束を実現し、RTO30秒という要件を大きく上回る速さで復旧できる設計が AWS Well-Architected ネットワークの推奨です。
平均 5 Gbps・ピーク 8 Gbps をデュアルスタックでアクティブアクティブに均等配分するには片系停止時でも全量を受け止められる 10 Gbps ポートを 2 本確保することが前提となり、Site-to-Site VPN の 1 トンネル 1 Gbps 目安や Transit Gateway の ECMP では帯域が不足するため、Direct Connect の Link Aggregation Group で無停止にポートを追加できる構成にしておけば将来トラフィックが 2 倍へ伸びても回線断なく拡張でき運用負荷も最小化されます。
IPv4 と IPv6 を同一プライベート VIF に載せ AS-PATH をそろえることで Direct Connect 2 経路間の ECMP が自動的に 50:50 の負荷分散を行いますが、スタティックルートや Route 53 ヘルスチェック+Lambda は検知が秒単位で遅れ、パブリック VIF やインターネット VPN も SLA や閉域要件を満たしにくいため、複数要件を俯瞰すると異なる DX ロケーション × 10 Gbps 専用線 × LAG × BGP/BFD の組み合わせが帯域・可用性・拡張性・運用性を同時に充足する総合的に最適な判断となります。 -
質問 15 of 36
15. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-74】FinTech 企業 A 社は東京および大阪の 2 つの社内 DC から、同一アカウント内の複数リージョン VPC を Transit Gateway で集約している。
平均 20 Gbps の低レイテンシ通信があり、障害時でも 10 Gbps を確保しつつ接続可用性 99.99% を達成したい。
現在は東京の同一 Direct Connect ロケーションに単一 10 Gbps 回線のみを持つ。
最小の運用負荷で要件を満たす設計として最適なのはどれか。正解不正解ヒントボタン
要件は平均 20 Gbps と障害時 10 Gbps を確保しつつ 99.99% の可用性を得ることです。AWS Direct Connect の SLA では「異なるロケーションに 2 本以上ずつ」の冗長構成が必須と記載されています。同一施設で LAG を組んだり単一 100 Gbps 回線に集約したりしても、施設障害時は一度に断となり目標に届きません。複数リージョン VPC を集約している場合は Direct Connect Gateway を介して Transit Gateway に接続すると、各ロケーションのプライベート VIF をシンプルに集約でき運用負荷も下がります。
インターネット経由の Site-to-Site VPN は手軽ですが 1 本あたりおよそ 1.25 Gbps のベストエフォートでレイテンシも高く、平均 20 Gbps を流し続ける要件と合いません。Direct Connect が切れた際に 10 Gbps を保証できず SLA 99.99% に届かないため、専用線での帯域冗長が不可欠です。さらに VPN と Direct Connect を BGP で優先度制御すると経路監視や再調整の運用負荷が増す点も踏まえて考えてみてください。
東京と大阪という物理的に離れた Direct Connect ロケーションでそれぞれ 10 Gbps ×2 の LAG を組み 20 Gbps を平滑化し、Direct Connect Gateway を通じて Transit Gateway にアタッチし BGP をアクティブ/アクティブで広告する構成なら、回線やロケーションを 1 つ失っても残り 2 本で 10 Gbps を維持できます。AWS のベストプラクティスどおりに組めば運用はシンプルで、帯域・可用性・作業量の複数要件を俯瞰しても最もバランスが整った選択となるはずです。
-
質問 16 of 36
16. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-75】金融SaaS企業は、米国東部 (us-east-1) と東京 (ap-northeast-1) の複数 VPC でサービスを提供している。
2 拠点のデータセンターからは 1 Gbps 回線 2 本ずつ (計 4 本) で同一 Direct Connect ロケーションに接続済みで、年 99.99% の回線可用性と RTO 5 分以内が必須である。
通信は必ず IPsec で暗号化しつつ、追加の物理回線や装置コストは最小限に抑えたい。
両リージョン間のアプリ間通信はオンプレミスを経由させず AWS バックボーンを使用したい。
最も適切な接続設計はどれか。正解不正解ヒントボタン
Direct Connect は暗号化を提供しないので、金融で必須の IPsec をどう掛け合わせるかが鍵です。Public VIF 上に Site-to-Site VPN を重ねれば追加回線なしで 1 Gbps 回線でも利用可能ですが、MACsec は 10 Gbps 専用線と高価なトランシーバが前提となり「コスト最小」「1 Gbps」という条件と噛み合わないことを思い出してください。また手動切替のみの設計では RTO 五分以内を確実に守るのが難しい点にも注意が必要です。
年 99.99% 可用性と RTO 五分以内を両立させる典型解は、各拠点の 2 本ずつを Link Aggregation Group に束ね BGP で経路制御し、優先経路を Direct Connect、代替経路をインターネット VPN にして自動フェイルオーバーさせる形です。Transit Gateway や Direct Connect Gateway を併用しておけば、回線を増やさず複数 VPC・マルチリージョンへ容易に拡張できるため、可用性と運用効率を同時に高められます。
東京と us-east-1 間のアプリ通信をオンプレミス経由にせず AWS バックボーンで完結し、暗号化・冗長性・低コストの全要件を満たすには、Direct Connect Gateway を中心に両リージョンの Transit Gateway をアタッチし、同一 LAG に Private/Public VIF を共存させて Site-to-Site VPN を張り BGP で経路を切り替えるアプローチが、可用性・セキュリティ・費用対効果を俯瞰して最もバランスが取れていると判断できます。
-
質問 17 of 36
17. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-76】製薬企業の本社 DC と 2 つの AWS アカウントで共有される 3 つの VPC は Transit Gateway (TGW) で接続済みです。
追加要件は次のとおり。
①IPv6 トラフィックを NAT せず双方向に通過させる
②暗号化された冗長回線で合計 2 Gbps をアクティブ/アクティブで確保する
③新規 VPC 追加時に経路を手動登録したくない。
既存 Direct Connect は IPv4 のみで残す。
最小運用負荷で要件を満たすハイブリッド接続の実装方法を選択してください。正解不正解ヒントボタン
ヒント①
NAT を介さず IPv6 をそのまま流すには経路上の装置がすべてデュアルスタック対応であることが必須です。Transit Gateway と Site-to-Site VPN は /126 の IPv6 トンネルアドレスと BGP デュアルスタックを公式にサポートし、IPsec による暗号化も同時に実現できます。Direct Connect で IPv6 を追加しても暗号は自動付与されず、NAT64 構成は変換が入るため要件とずれる点を思い出してください。ヒント②
合計 2 Gbps をアクティブ/アクティブで確保するうえでは帯域のスケール方法を比較するのが鍵です。Site-to-Site VPN トンネルは 1 本あたり理論 1.25 Gbps、Transit Gateway で ECMP を有効にすれば複数トンネルを束ねてスループットを高められます。VPN アタッチメントを 2 つ作れば 4 トンネルで約 5 Gbps が視野に入るため冗長性と性能を同時に満たせます。ソフトウェア VPN や単一の Direct Connect は暗号処理や回線数がボトルネックになりやすい点を比較しましょう。ヒント③
新しい VPC を追加しても経路を手動で触りたくないなら、AWS Transit Gateway のルート自動伝播機能とオンプレミス側 BGP を組み合わせる方式が最も運用を省力化します。VPC を TGW にアタッチするだけでプレフィックスが広告され、VGW やスタティックルートの追加作業は不要です。DX Gateway を経由する案やオーケストレーションでルート配布する案は変更時の手間が残ります。デュアルスタック対応、暗号化、帯域拡張、自動経路反映のすべてを一括で満たせる構成かを俯瞰して選択してください。 -
質問 18 of 36
18. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-77】貴社は東京リージョンの AWS Transit Gateway (AS 64512) に対し、同一 VPC CIDR 10.0.0.0/20 を広告する 2 台の SD-WAN アプライアンス (A・B) を Connect アタッチメント経由の GRE+BGP で冗長接続した。
要件は次の通りである。
1. 通常時はアプライアンス A をプライマリ経路、B は障害時のみ使用するアクティブ/パッシブ構成とする。
2. オンプレミス → VPC、VPC → オンプレミスの両方向で経路が対称になること。
3. オンプレミス側ルーターの設定は変更できず、制御はアプライアンス側の BGP 属性のみで行う。
4. 回線切替は 30 秒以内に完了し、追加コストや運用負荷を最小とする。
この要件を最も効率的に満たす設計はどれか。正解不正解ヒントボタン
オンプレミス側ルーターと Transit Gateway Connect の BGP 経路選定では、まず LOCAL_PREF が比較されるのは同一 AS 内だけで、異なる AS 間では AS_PATH の長短が優先されます。VPC でもオンプレミスでも対称ルーティングを保ちたいなら、両方向で共通して評価される AS_PATH を意識してプレペンド回数を調整する設計が鍵になります。
MED や 7224:7100 などの AWS 推奨コミュニティは、Transit Gateway が受信する側で作用しても、オンプレミス装置が同じ基準で見てくれるとは限りません。特に MED は送信 AS が同一のピア間でしか比較されないため、AS 64512 のアプライアンス同士が複数存在する今回のようなクロス AS では優先度付けに利用しづらい点に注意してください。
BGP のデフォルト Keepalive 10 秒・Hold 30 秒に任せれば、Transit Gateway Connect 上の GRE トンネルが切れても約30秒以内に短い AS_PATH の経路に自動収束し、追加料金が発生する機能や手動切替も不要です。複数要件を俯瞰すると、共通属性で制御できるシンプルな AS_PATH ベースの冗長化が最も効率的と判断できます。 -
質問 19 of 36
19. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-78】製造業A社はオンプレミスSD-WANエッジ(GRE+BGP対応)から3つのVPC(/16)へハイブリッド接続を刷新する。
要件:
①平日ピーク5 Gbpsを単一トンネルで処理しIPsecは非採用、
②オンプレミス→VPC経路のみ広告しDX側他拠点は共有しない、
③約100経路をBGPで動的交換し手動調整を最小化、
④全トラフィックを中央集約し左右非対称を防ぐ。
最も適切な設計はどれか。正解不正解ヒントボタン
ヒント1
帯域を単一トンネルで 5 Gbps まで伸ばし、かつ IPsec を使わないという条件は Site-to-Site VPN や通常の Direct Connect プライベート VIF だけでは難しいです。Transit Gateway Connect は GRE トンネルを 1 本だけで最大 5 Gbps まで処理でき、オンプレ SD-WAN 装置がすでに GRE と BGP を話せる場合にそのまま噛み合わせやすい点が強みになります。ヒント2
約 100 経路を動的にやり取りし手動設定を減らしたいなら BGP が不可欠です。VPC ピアリングではルートは自動伝播されず静的ルートを個別に書く必要がありますが、Transit Gateway は BGP ルート伝播を受け取りルートテーブルで片方向だけ流すよう細かく制御できます。オンプレ→クラウド経路のみ広告し、他拠点へ広がらない設計にしやすい点を確認してみてください。ヒント3
全トラフィックを一度ハブに集めて左右非対称を防ぐにはハブ&スポーク構成が適しています。Transit Gateway を中心に VPC アタッチメントを張れば経路は一元管理でき、Connect アタッチメントで SD-WAN と直接 GRE/BGP を組むことで帯域・動的経路・フィルタリングの全要件を満たせます。総合的に判断するとハブ側で GRE を終端できるサービスの採用が最も要件に合致します。 -
質問 20 of 36
20. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-79】東京に本社を置くアパレル EC 企業は、3 つの AWS アカウントに分離した合計 15 個の VPC を東京リージョンに展開している。
共有ネットワークアカウントの Transit Gateway (TGW) で VPC を集約し、2 か所のオンプレミス DC からインターネット回線経由の IPsec Site-to-Site VPN で接続したい。
平常時は 5 Gbps の双方向トラフィックをアクティブ-アクティブで負荷分散し、障害時は自動で片系にフェイルオーバーさせることが必須である。
オンプレ側では BGP が利用可能で、Direct Connect の追加予算はない。
最小の運用負荷で帯域を拡張する設計として最も適切なのはどれか。正解不正解ヒントボタン
Site-to-Site VPN 接続は 2 本の IPsec トンネルで構成され、片方が障害しても BFD や BGP Keep-Alive で自動切替わりますが帯域は 1 接続あたり理論値 1.25 Gbps 程度です。5 Gbps を平常時に確保するには同一 Transit Gateway へ複数 VPN を並列で張り、同一プレフィックスを同コストで広告し ECMP で 4 トンネルへ均等分散する設計が王道です。オンプレにルータが 2 台あるなら各ルータに 2 接続ずつ用意して 1.25×4=5 Gbps を見込み、トンネル追加もダウンタイムなく行える点が拡張のしやすさに直結します。
3 アカウント 15 VPC の環境で Virtual Private Gateway を個別に置くと、VPN 作成やルートテーブル更新が 15 か所、PSK 管理も 15 セットに増え、構成変更のたびに運用工数が膨らみます。Transit Gateway に集約すれば VPC 追加・削除はアタッチ操作のみで済み、BGP による動的伝播でルートが自動生成されます。Network Firewall や VPC エンドポイントの共通化も容易になり、将来の帯域増強時も TGW への VPN 追加だけで済むためスケールと運用負荷の両面で大きなメリットがあります。
インターネット回線前提で 5 Gbps のアクティブ-アクティブ分散、BGP 自動フェイルオーバー、Direct Connect 追加費用なし、簡単な帯域拡張という複数要件を俯瞰すると、Transit Gateway と複数 Site-to-Site VPN を組み合わせ、ECMP でトラフィックを均等化する構成がスループット・冗長性・運用効率を最もバランス良く満たす総合的な解となります。
-
質問 21 of 36
21. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-80】製造業A社は us-east-1 に Transit Gateway (TGW) を置き、10.0.0.0/16〜10.4.0.0/16 の 5 つの VPC を接続している。
10.4.0.0/16 は開発用でオンプレミスからは不可視とする。
オンプレミス DC とは 2 本の IPsec Site-to-Site VPN を BGP で確立し、トンネル AS は 65000/65001、障害時 RTO は 5 分以内が求められる。
運用負荷を最小化し、不要なルート広告を防ぎつつ冗長性を確保する TGW 設計として最も適切なものはどれか。正解不正解ヒントボタン
Transit Gateway のルートテーブルはアタッチメント単位で関連付けを変えられるため、Site-to-Site VPN に伝搬させるテーブルに本番 VPC だけを関連付け、開発 VPC は別テーブルか未関連付けにすることで 10.4.0.0/16 の CIDR 自体が BGP でオンプレミスへ広告されず、経路の不可視化をシンプルに実現できます。この方式ならブラックホール静的ルートや Community タグの煩雑な設定が不要で、今後 CIDR を増やしても関連付けを変えない限りオンプレに漏れる心配がありません。
BGP を有効にした 2 本の IPsec VPN トンネルを同じ Transit Gateway ルートテーブルに載せると、ECMP と自動フェイルオーバが働き、障害発生後も数分以内に経路が収束します。静的ルートを Lambda や Route 53 Health Check で書き換える運用に比べ、動的伝搬を活用する設計はヒューマンエラーを減らし、RTO 5 分以内という条件と運用負荷最小化の両方を自然に満たせます。さらにオンプレ側で ASN 65000/65001 を使い分ければ、追加トンネル時もほぼ無停止で冗長性を拡張できます。
まとめると、Transit Gateway のルートテーブルを二層構造にし、VPN 用テーブルには本番 4 VPC と 2 本の Site-to-Site VPN を関連付け、VPC 間通信用テーブルには 5 つの VPC 全てを添付する設計が、不要な経路広告抑止、BGP 冗長化による可用性、静的設定削減という複数要件をバランス良く満たします。ルートテーブル間で伝搬を無効化すれば経路汚染も防げ、将来 Direct Connect や追加 VPC を接続する際も関連付け操作だけでポリシーを保てるため、長期的な拡張性という俯瞰的観点でも有効です。
-
質問 22 of 36
22. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-81】製造業 A 社は 2 つのオンプレデータセンター (AS 64512) から、東京リージョンにある 3 つの VPC (10.0.0.0/16 など) へ、合計 5 Gbps のトラフィックを低コストかつ高可用性で接続したい。
要件は次のとおりである。
1. AWS Direct Connect は利用不可、VPN のみを使用する
2. 合計 4 本の IPsec トンネルで ECMP によりロードシェアリングする
3. トンネル障害時は 10 秒以内に自動フェイルオーバする
4. オンプレ側で個別 VPC プレフィックスを静的に登録したくない
これらの要件をすべて満たす設計として最も適切なものはどれか。正解不正解ヒントボタン
Direct Connect を使えない状況で 5 Gbps を確保するには、VPN を複数本束ねて ECMP で並列転送する仕組みが欠かせません。Transit Gateway の VPN アタッチメントは最大 4 本の IPsec トンネルを張れ、BGP と ECMP がデフォルト有効です。4 本を 1.25 Gbps ずつ担わせれば合計 5 Gbps 相当のスループットを低コストで実現でき、オンプレ側ルータも同一 AS 内で自動的にロードシェアリングしてくれます。
フェイルオーバ時間 10 秒以内という制約は、BGP keep-alive/hold-timer を短縮する方法が現実的です。TGW VPN で BGP を使えば経路収束を数秒まで切り詰めやすい一方、スタティック VPN や VGW 直収ではトンネルヘルスチェック頼みになり検知が遅れがちです。BGP のダイナミックルーティングを活用してこそ素早い障害切替が叶う点に注目してください。
オンプレ側で個々の VPC プレフィックスを登録したくない場合、TGW でルート伝播を有効にしておくと接続された 3 つの VPC CIDR が自動広告されます。つまりオンプレ側が保有すべき経路は「TGW への集約プレフィックス」のみで済むため運用が簡素化されます。要件に並ぶ「VPNのみ・4本でECMP・10秒切替・静的登録不要」を俯瞰すると、集約ルート伝播と 4 トンネル ECMP を同時に提供できる TGW VPN が最も条件整合的であると判断できます。
-
質問 23 of 36
23. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-82】企業Xは2つのオンプレミスDC(双方10.0.0.0/16で重複)と4本の10 Gbps Direct Connect(LAG)を保有する。
SD-WANアプライアンス経由でGREトンネルを張り、合計50 Gbpsの帯域と1 秒以内のRTOを求めている。
VPC CIDRは重複しないが、DC間の同一CIDR同士は相互に不可視とし、各DCとVPC間通信のみ許可したい。
運用負荷を最小化し、最新のAWSベストプラクティスに沿った設計はどれか。正解不正解ヒントボタン
50 Gbpsものアグリゲート帯域と1 秒以内のRTOを本番で安定させるには、4本の10 Gbps Direct ConnectをLAGで論理1本に束ねつつ、SD-WANアプライアンスが確立するGREトンネルをTransit Gateway Connectが終端し、BGPのマルチパス機能でECMP分散を有効化して回線障害時も即座に切替わるハブ構成が鍵になります。さらに他の選択肢で見られるVPNや個別VIFではトラフィックあたりの上限帯域や経路収束時間が制約となり、この高スループット・低RTOの要求水準を満たしきれないことに注意してください。
オンプレ両拠点が同じ10.0.0.0/16を広告しても互いに見えずVPCとは通信させたい場合、Transit GatewayのルートテーブルをDCごとに分離し、それぞれにDirect Connect Gatewayとのアソシエーションと対象VPCだけを伝播させれば、重複CIDRはテーブル間で干渉せず、動的ルーティングだけで意図した通信経路が保たれるため運用が大幅に簡素化します。スタティックルートやNAT変換での回避はポリシー変更の都度手作業が発生し、将来的なVPC追加時に設定漏れのリスクが高まります。
帯域・RTO・重複CIDR隔離・運用簡素化という四つの要件を照らし合わせると、Direct Connect Gateway+Transit Gateway Connect+専用ルートテーブル+BGP ECMPという組み合わせが最新ベストプラクティスに沿い、自動経路収束で障害に強く、VPCの増減にもハブ側設定だけで追随できる点で総合的に最適と言えます。プレフィクスリスト主体の静的制御やVPCピアリングフルメッシュは拡張性に欠けるため、長期運用視点でもこの設計が推奨されます。
-
質問 24 of 36
24. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-83】東京・大阪にデータセンターを持つ企業は、同一アカウントの東京リージョンに3 VPC(10.0.0.0/16 など)を保有している。
要件:
・常時 20 Gbps を処理、レイテンシは 50 ms 未満
・Direct Connect ロケーション2箇所に 10 Gbps 回線を2本ずつ(計4本)敷設済み
・DX 障害時は 1 分以内に暗号化された経路へ自動フェイルオーバー
・VPC 間はメッシュを構成せず一元的に管理
・オンプレ側では DX を優先し、VPN へ切替時のみ AS-PATH を最小にしたい
これらの要件を最も満たすハイブリッド接続設計はどれか。正解不正解ヒントボタン
常時 20 Gbps 以上を余裕でさばき低遅延も確保するには、Direct Connect 10 Gbps 回線を 4 本束ねて Link Aggregation Group にするのが効果的です。LAG は論理 40 Gbps を提供し、ポート障害時も残存ポートへ自動分散できるので可用性が高く、オンプレ機器側も LACP 設定不要でシンプルに帯域とレイテンシ 50 ms 未満の要件を満たせます。
三つの VPC を個別にピアリングするとルートテーブルが分散して運用が複雑になるため、東京リージョンでは Transit Gateway をハブにして一元的に接続し、オンプレ経路は Direct Connect Gateway から同じ Transit Gateway へアタッチすると管理負荷を大幅に削減できます。DXGW と TGW の組み合わせはリージョン内利用も正式サポートされ、集中ルーティングで経路の可視性と制御性を高められます。
オンプレ側では BGP を使い AS_PATH Prepend で Direct Connect を最短経路に設定し、同一 Transit Gateway に Site-to-Site VPN アタッチメントを追加すれば、物理回線断時でも 1 分以内に暗号化トンネルへ自動フェイルオーバー可能です。LAG による帯域確保、TGW+DXGW による集中ハブ、BGP による動的優先制御という三つの観点を俯瞰し、全要件をバランス良く同時に満たせる構成かどうかを総合判断してみてください。
-
質問 25 of 36
25. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-84】医療機器メーカー A 社は東京と大阪にオンプレミス DC を各 1 拠点保有している。
両 DC から東京リージョン内の 3 AWS アカウント計 6 つの VPC へ、常時 5 Gbps 以上、遅延 3 ms 未満でアクセスしたい。
医療データは経路上で必ず暗号化し、回線障害時も 99.99% 可用性と RTO 1 分を満たすことが義務づけられている。
各 DC には 10 Gbps 専用線の LOA-CFA が 1 本ずつ取得済みで、インターネット経路はフェイルオーバ専用としたい。
ルート管理は一元化し、運用負荷を最小化する必要がある。
最も適切なハイブリッド接続設計はどれか。正解不正解ヒントボタン
医療データの経路上暗号化が必須という条件では、Direct Connect 単体では暗号化されない点に注意が必要です。Transit Gateway や VGW に対し Site-to-Site VPN over Direct Connect を二重化する方法や Cloud WAN で IPsec トンネルを複数張る方法など、専用線の 10 Gbps 帯域を活かしながら IPsec を重ねる設計が候補になります。常時 5 Gbps 以上のスループットを狙うなら既存 LOA-CFA を最大限に利用できる構成に目を向けてください。
可用性 99.99% と RTO 1 分を同時に満たすには、Direct Connect の LAG で物理回線を冗長化し、Transit Gateway に対して BGP 付き VPN トンネルを少なくとも 2 本張って論理経路も二重化するのが定番です。経路属性として MED などで優先度を下げたインターネット VPN を待機させておけば、DX 障害時に 60 秒以内で自動フェイルオーバが狙えます。ECMP 分散は経路切替の判定が複雑化するため、要件の簡潔さとのバランスも検討ポイントです。
3 アカウント 6 VPC のルーティングを一元管理するには Hub-and-Spoke 方式の Transit Gateway がもっともシンプルで、単一のルートテーブルから動的に経路を配布できます。Direct Connect Gateway と個別 VGW を多数束ねる案は運用が煩雑になりやすく、Cloud WAN や SD-WAN アプライアンス主体の案は帯域や遅延 3 ms 未満の達成が難しい場面があります。性能、暗号化、可用性、運用負荷の四要件を総合的に満たす構成を俯瞰して選択しましょう。
-
質問 26 of 36
26. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-85】ある金融 SaaS 企業はオンプレ DC (AS65010、IPv4 /24・IPv6 /56) と us-east-1 の3 VPC を接続し、
・本番経路: AWS Direct Connect プライベート VIF
・バックアップ経路: Site-to-Site VPN
・集約: Transit Gateway (TGW)
を採用予定である。
要件は
①IPv4/IPv6 デュアルスタックで TGW に経路を動的広告し、DX 優先とする
②VPC からの IPv6 はアウトバウンド専用、RTO 1 分以内
③オンプレからは VPC プライベートアドレスのみ到達可、インターネット経由の流入は遮断。
最も適切な設計を選べ。正解不正解ヒントボタン
Direct Connect を優先にして Site-to-Site VPN をバックアップにするには、Transit Gateway へ両回線で BGP セッションを張り、バックアップ側だけ AS-Path を複数回プレペンドして経路を長くするのが定石です。さらに TGW で ECMP を無効化すれば負荷分散が起きず、プライマリ/セカンダリが明確に固定されます。BGP の Keepalive 10 秒・Hold 30 秒という標準タイマーはフェイルオーバーを約 1 分以内に収束させるため、RTO 要件とも整合します。
VPC からの IPv6 を完全にアウトバウンド専用にしたい場合は Egress-Only Internet Gateway を各 VPC に配置し、ルートテーブルで ::/0 をそちらへ向ける方法が最もシンプルです。Internet Gateway では戻り方向も開放されるため NACL や Security Group だけで外部からの着信を確実に遮断するのは煩雑になります。Egress-Only IGW と Transit Gateway の組み合わせにより、IPv6 の外向き通信とオンプレミス宛てプライベートプレフィクスの両立が容易に実現できます。
オンプレミスからはプライベートアドレスだけを到達させ、かつデュアルスタックで動的経路広告したいので、Direct Connect プライベート VIF+Transit Gateway を使い、Public VIF や NAT64 を経由させない構成が不可欠です。AS-Path による優先度制御、TGW での ECMP 抑制、Egress-Only IGW での IPv6 片方向化という要素を組み合わせる案が、冗長性・セキュリティ・運用性の三要件を最もバランス良く満たすと総合的に判断できます。
-
質問 27 of 36
27. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-86】製造業 A 社はオンプレ DC と 2AZ 構成 VPC を 10 Gbps の Direct Connect で接続している。
オンプレと VPC の全アウトバウンド通信を単一の固定 IP 203.0.113.10 に集約し、SaaS へホワイトリスト登録したい。
VPC からの最大負荷は 50 万 pps、RTO は 5 分以内、OS 運用は最小化したい。
オンプレからのトラフィックは Transit Gateway 経由で VPC に流す前提で、最適な設計はどれか。正解不正解ヒントボタン
1. 50 万 pps を処理しながら OS パッチやコネ追跡の同期を気にしない構成にしたい場合、EC2 ベースの NAT インスタンスやオンプレミスのファイアウォールより、マネージドで最大 1M pps・45 Gbps 以上をさばく NAT Gateway がはるかに運用負荷とスループットの両面で有利です。NAT Gateway は自動スケールと高可用性がサービスに含まれ、パッチ適用やメンテナンスを考慮しなくてもよいため「OS 運用を最小化」という要件に直結します。
2. ホワイトリストを単一アドレス 203.0.113.10 に集約するには Elastic IP を 1 つだけ使い続ける必要があります。EIP は同時に複数リソースへ割り当てられないため、複数 NAT Gateway を並列に置くと送信元が分散します。CloudWatch で StatusUnavailable を監視し、Lambda が当該 EIP を保持したまま NAT Gateway を再作成して Transit Gateway ルートを更新する自動化を組めば、障害発生から数分以内に待機 AZ へ引き継げるため RTO 5 分の目標を達成しやすくなります。
3. Transit Gateway のデフォルトルートを単一点の NAT Gateway に向けておけば、Direct Connect 経由のオンプレ DC と VPC からのインターネット通信を同じ送信元 IP に統合できます。DX 障害時に全通信が停止する経路設計や、SaaS 側へ /32 を複数登録させる設計は要件との整合が難しいため、マネージド NAT Gateway+EIP 固定+CloudWatch/Lambda フェイルオーバーを組み合わせる案が性能・可用性・運用性を総合的に満たす最適解と俯瞰的に判断できます。
-
質問 28 of 36
28. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-87】買収により CIDR が重複した 2 社間の統合を進める。
A 社は us-east-1 に 10.1.0.0/16 VPC を保有し、オンプレ DC とは Direct Connect 経由で Transit Gateway(TGW) に接続済み。
B 社側 10.1.0.0/16 へは重複回避のため 100.64.1.0/24 へ NAT した一方向通信のみ許可する。
要件は次のとおり。
1) 3 Gbps/90 万 pps を処理し、1 AZ 障害でも同 AZ 内で自動復旧すること
2) AZ 間転送コストを最小化し、左右非対称ルートを避けること
3) ルート変更の運用負荷を最小限に抑えること
これらを満たす設計はどれか。正解不正解ヒントボタン
3 Gbps/90 万 pps を機械的にさばき、同じ AZ 内でセルフヒーリングさせるには、EC2 ベースの NATインスタンスでは水平スケールやルート切替の運用が煩雑になりがちです。Public NAT Gateway も単一 AZ 障害で停止します。各 AZ に配置でき 45 Gbps まで伸びる Private NAT Gateway なら可用性と性能の両面で余裕があり、要件 1 を満たしやすいと考えてみてください。
転送コストを抑えるには、トラフィックを別 AZ へ横断させないことが重要です。VPC のルートテーブルで B 社向けプレフィックスだけを同じ AZ の Private NAT Gateway に静的ルーティングすれば、Transit Gateway を経由しないため AZ 間データ転送料を防げますし、送信と返却が同経路になるので左右非対称ルートも回避できます。
一度 100.64.1.0/24 を Transit Gateway のルートテーブルにスタティック登録しておけば、その経路は Direct Connect へ自動伝播され、以後のルートメンテナンスは最小限で済みます。性能・可用性・コスト・運用負荷の四つの要件を俯瞰すると、各 AZ に Private NAT Gateway を置き TGW で経路を広告する構成が最もバランスの取れた選択肢と言えるでしょう。
-
質問 29 of 36
29. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-88】貴社は基幹 ERP が稼働する 10.0.0.0/16 VPC とオンプレミス (AS65010) を 1 Gbps AWS Direct Connect で接続済みです。
監査要件は
①クラウド⇔オンプレ通信の常時 IPsec 暗号化、
②DX 物理リンクまたは BGP セッション断発生後 30 秒以内のインターネット VPN への自動フェイルオーバー (RTO≤30 s)、
③左右対称ルーティングを維持し運用作業と追加コストを極小化することです。
これらを最も満たすネットワーク設計を選択してください。正解不正解ヒントボタン
要件①の「クラウドとオンプレ通信は常時暗号化」を満たすには AWS Direct Connect のプライベート VIF 上に Site-to-Site VPN over Direct Connect を載せると、同一リンクを流れるトラフィックが常時 IPsec で包まれ、専用の MACsec 機材や追加回線を買わず Virtual Private Gateway だけで済み、暗号化と優先経路が一致するので運用の複雑さも抑えられます。
要件②の「DX 断後30秒以内の自動フェイルオーバー」は BGP と BFD を併用した二本の Site-to-Site VPN トンネルが鍵で、Direct Connect が切れても同一トンネルが即座にインターネットへ再ダイヤルし VGW が動的ルートを広告し続けるため、オンプレ側はタイマー値調整だけでスタティック変更なく RTO をクリアできます。
左右対称ルーティングとコスト最小化を両立させるには Direct Connect Gateway と Virtual Private Gateway を一対一で関連付けて単一 ASN で BGP を流し、プライベート VIF 上の IPsec トンネルだけで経路を集約すれば Transit Gateway やパブリック VIF を増やさず済み、DX 優先・VPN バックアップの三要件を俯瞰した総合判断として最も合理的です。 -
質問 30 of 36
30. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-89】広告配信会社はオンプレミスの 2 拠点 (DC-A:10.0.0.0/16, DC-B:10.1.0.0/16) と VPC (172.16.0.0/16) を Site-to-Site VPN で接続したい。
各拠点のインターネット回線は 1 Gbps が 1 本のみ。
要件は
①可用性 99.95%
②RTO 30 秒以内
③通常は DC-A→AWS がアクティブ、DC-B はスタンバイ
④AWS→オンプレ方向は常に最短経路でロードシェアリングしない
⑤運用負荷は極小とする。
最適な設計はどれか。正解不正解ヒントボタン
可用性99.95%とRTO30秒以内という数字は、Site-to-Site VPNで推奨される2トンネル×2系統=計4トンネル構成を示唆します。静的ルートだけでは切替検知が遅れますが、Virtual Private GatewayとBGPを併用すればDead Peer DetectionやHold Timerで数十秒以内に再収束し、Customer Gatewayの片系障害も吸収できるため単一点障害を排除できます。
オンプレ→AWS方向をDC-A常用、DC-B待機としつつAWS→オンプレ方向は常に最短経路にしたい場合、BGP属性のLOCAL_PREFとAS_PATHプリペンドが鍵です。拠点ごとに独立したCustomer Gatewayを用意するとルータ設定を分離でき、2本ずつ張ったVPNトンネルをアップ状態のままでも、Virtual Private GatewayはAS_PATHの短い経路を選びロードシェアを抑止できます。
インターネット回線1本だけの前提でTransit GatewayやDirect Connectを追加するとコストと運用工数が増え「運用負荷は極小」という要件に反します。Virtual Private Gatewayの自動フェイルオーバーとBGP属性制御だけで①高可用性②速いRTO③プライマリ/スタンバイ④片方向経路固定⑤低運用負荷を同時に満たす構成が総合的に最も理にかなっています。
-
質問 31 of 36
31. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-90】金融 SaaS 企業は、東京と大阪のオンプレミス DC(各3 Gbps、RTT40 ms以下)から ap-northeast-1/2 の2 VPCに暗号化された低レイテンシ接続を確立したい。
Direct Connect は予算上不可。
99.9%以上の可用性、動的に最大1,000ルート学習、障害時1分以内の自動フェイルオーバー、運用負荷の最小化が求められる。
既存の各VPCへの個別VGW VPNでは迂回遅延が大きく要件未達である。
最適な設計を選べ。正解不正解ヒントボタン
オンプレ拠点からAWSへ低遅延で暗号化トンネルを張りたい場合、Virtual Private Gateway を使う従来のIPsec VPNはインターネット経路のばらつきによりRTTが伸びがちです。一方、Accelerated Site-to-Site VPN は AWS Global Accelerator の PoP を介して最適経路へルーティングされるため、40 ms以内のレイテンシを狙いやすく、さらに BGP による動的経路交換で最大1,000ルートを自動学習でき、スタティック設定の手間を大幅に削減できます。
複数 VPC に個別接続を作ると運用が煩雑になり、障害時も通信が遠回りしがちです。Transit Gateway をハブに据えると 2 つの VPC を一か所でアタッチでき、Centralized routing が可能になります。ここに各データセンターから BGP セッションを 2 本ずつ張り、Transit Gateway で ECMP を有効化すれば 4 本すべてが同時にアクティブとなり、BFD と組み合わせたヘルスチェックで 1 分未満のフォールオーバーと 99.9% 以上の可用性を実現しやすくなります。
Direct Connect はコスト上不可、暗号化必須、40 ms以下の遅延、99.9% 以上の可用性、1,000 ルートの動的学習、自動フェイルオーバー、運用簡素化という制約を並べて総合的に評価すると、Accelerated Site-to-Site VPN を東京・大阪から二重化し Transit Gateway で集中ルーティングと ECMP を行う構成のみがすべての要件を同時に満たすことが読み取れます。
-
質問 32 of 36
32. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-91】金融取引所向け SaaS を運営する企業は、東京 (ap-northeast-1) と大阪 (ap-northeast-3) の 2 つの AWS アカウント内 VPC を、東京都内と沖縄県内の 2 つのオンプレミス DC に接続したい。
要件は以下のとおり。
1) 各 DC から 2 × 1 Gbps の Direct Connect を用い、合計 4 Gbps を ECMP で使用する。
2) Direct Connect 障害時は 1 分以内に暗号化リンクへ自動フェイルオーバーする。
3) オンプレミスが広告する経路は最大 8,000、アカウント単位でフィルタリングできること。
4) 将来リージョンを追加しても VIF や BGP セッションを作り直さないこと。
運用負荷を最小化し、すべての要件を満たすハイブリッド接続設計はどれか。正解不正解ヒントボタン
4 Gbps を均等利用したい場合、2 × 1 Gbps 回線を LAG 化して Direct Connect Gateway に Transit VIF を集約し、複数 Transit Gateway と関連付ければ ECMP が自動で働きます。プライベート VIF やリージョン間 VIF を個別に張る方式では帯域が分散しにくく、将来リージョンが増えるたびに配線と BGP セッションを追加する手間が発生する点を踏まえて考えてみてください。
障害時 1 分以内の切替は Transit Gateway に Site-to-Site VPN を同コストで並列し、BGP の AS_PATH や MED で Direct Connect 優先にしておくと実現できます。VGW の Dead Peer Detection や SD-WAN オーバーレイだけに頼ると 90 秒以上かかるケースもあり要件に届きません。暗号化トンネルが同時に確保できフェイルバックも自動化されるため、運用監視の負担を減らせる構成を意識しましょう。
広告経路 8,000 本とアカウント単位フィルタリングは Direct Connect Gateway の prefix filter と上限 10,000 が適合し、Transit VIF がリージョン非依存であるため将来 TGW を追加しても VIF や BGP の再構築は不要です。帯域集約、迅速フェイルオーバー、経路スケール、拡張性の四要件を横断的に評価し、最も構成要素が少なく運用が単純な案を選びましょう。
-
質問 33 of 36
33. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-92】製造業A社は2拠点のオンプレミスDCから単一VPCへハイブリッド接続中である。
コストを抑えて総計1 Gbps以上を確保するため、Transit Gateway に Site-to-Site VPN を2本(各2トンネル)張り、4トンネルをBGPによるECMPで並列利用する設計とした。
現在は1トンネルのみが使用され帯域が不足している。
30秒以内の自動フェイルオーバーを維持しつつ、最も効率的に要件を満たす改善策はどれか。正解不正解ヒントボタン
Transit Gateway(TGW) に接続した Site-to-Site VPN は ECMP を有効化すると 8 本までをハッシュで並列転送できますが、デフォルトでは BGP が 1 経路のみを選ぶため帯域が細くなります。追加コストなくリンクアグリゲーションを実現する第一歩は TGW ルートテーブルで ECMP サポートをオンにし、複数トンネルを同価値として認識させることです。
ECMP を機能させるには BGP が各経路を完全に同一コストと判断できるよう属性を揃える必要があります。同一プレフィックス、AS-PATH、MED、Community などを 4 トンネルすべてで一致させれば Transit Gateway は Equal-Cost と判断し均等に分散します。オンプレミスルータで Local-Pref や Weight を変えず統一した広告を行うことが帯域合算と冗長化の鍵です。
30 秒以内のフェイルオーバーは Site-to-Site VPN の BGP keepalive/hold-timer が標準で満たしており、経路撤回後は自動で残りのリンクへ切り替わります。新たに Direct Connect を追加したりスタティックルートへ依存する方法は費用や収束時間が増える傾向があるため、まず既存 4 トンネルで ECMP 条件を揃えるだけで帯域・可用性・コストを同時に最適化できるかを全要件を俯瞰して判断すると良いでしょう。
-
質問 34 of 36
34. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-93】全国300店舗を抱える小売企業は東京リージョンに3つのVPCを保有し、関東DCと関西DC(各ASN)がオンプレミス側に存在する。
要件は次の通り:
①DC-VPC間で合計8 Gbps以上のスループット、
②平常時レイテンシ30 ms未満、
③回線障害時30 秒以内の自動フェイルオーバー(RTO 5 分)、
④年内に5 VPCを無停止で追加可能、
⑤既設の1 Gbps×2本のDirect Connectはコスト最適化のためバックアップ用途のみ。
これらの要件を最も満たすネットワーク設計はどれか。正解不正解ヒントボタン
要件の8 Gbps超という帯域をインターネット経由で安定確保するには、Accelerated Site-to-Site VPNの1トンネル最大約1.25 Gbpsを2トンネル束ねて2.5 Gbpsとし、これを関東DCと関西DCへ2接続ずつ張ってBGP ECMPでアクティブ-アクティブ利用すると理論値10 Gbpsになり十分余裕を持てます。Direct Connect 1 Gbps×2はバックアップに回せば既存コストを活かしつつ初期投資を抑制でき、VPN課金の従量性とも相性が良いです。
平常時30 ms未満の遅延と障害発生から30 秒以内の自動フェイルオーバーを両立する鍵はGlobal Accelerator経由のAccelerated VPNとBGPのKeepalive/HoldTimerです。Transit Gateway上でECMPを有効にしておくと経路喪失を素早く検知し残りのトンネルへ即時切替えが可能です。オンプレ各ASNに対しDirect Connect経路へMEDやAS-PATHで低優先度を設定しておけば、4本のVPNが全断した場合のみDXに自動昇格しRTO 5 分を十分に満たせます。
年内に5 VPCを無停止で拡張するには東京リージョンのTransit Gatewayをハブとし、既存3 VPCと新規5 VPCを順次アタッチするだけでルーティングが自動伝搬します。各VPCにVGWやSD-WANアプライアンスを個別配置する方式と比べ設定が一元化され運用負荷も低下します。DX Gatewayを介して既設Direct Connectを待機接続としてぶら下げれば、帯域・レイテンシ・可用性・コスト・拡張性という複数要件を総合的に見ても最もバランスの取れた構成になります。
-
質問 35 of 36
35. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-94】製造業の企業 A はオンプレミス DC(10.1.0.0/16) と AWS バックアップ VPC(172.31.0.0/16) を Site-to-Site VPN 2 本(BGP) で冗長接続している。
VPC 内 EC2 とオンプレミスのバックアップアプライアンスは毎晩 200 MB/s で ap-northeast-1 の S3 バケットへ同期を実施する。
要件は
①インターネットゲートウェイをいっさい経由せずに S3 とプライベート通信する
②既存 VPN の冗長性を維持しつつ追加コストを最小化する、である。
最適な設計はどれか。正解不正解ヒントボタン
要件はインターネットゲートウェイを一切経由せずにオンプレミスから Amazon S3 に 200 MB/s で夜間同期することです。VPC 内にプライベート IP の ENI を複数 AZ で置き、その /32 を Virtual Private Gateway から BGP 広告すればオンプレミスは VPN 内で直接 HTTPS を張れます。このように外部ネットワークへ引き込めるプライベート終端を提供できるのは AWS PrivateLink ベースの S3 インターフェイス型 VPC エンドポイントだけである点を思い出してください。
ゲートウェイエンドポイントはサブネットのルートテーブル内でのみ機能し VGW やオンプレミスに経路を配れず、NAT Gateway は必ず IGW を経由するため閉域要件を外れます。Transit Gateway は集約に便利ですが時間課金とデータ処理課金が高く、既に 2 本の Site-to-Site VPN がある小規模構成では「追加コスト最小化」の観点で見合わないケースが多いことを頭に入れておくと選択肢を絞りやすくなります。
したがって「プライベート通信を徹底する」「既存 BGP VPN の冗長性を活かす」「追加料金を抑える」という三つの要件を総合的に満たす最もシンプルな設計は、VPC に S3 インターフェイス型 VPC エンドポイントを AZ ごとに配置し、その ENI のプライベート IP を /32 で広告してオンプレミスから閉域接続する構成であると整理できます。
-
質問 36 of 36
36. 質問
カテゴリ: ANS-1.5オンプレミスネットワークと AWS クラウド間のルーティング戦略と接続アーキテクチャを設計する。【ANS-95】金融 SaaS 企業 A 社は東京リージョンに 172.16.0.0/16 の VPC を構築し、2AZ 合計 5,000 接続/秒 を発生させる ECS タスクから、CIDR が重複するオンプレミス (10.0.0.0/16) の API へアウトバウンド通信を行いたい。
要件は次のとおり。
1) VPC→オンプレのみを許可し逆方向は拒否
2) NAT スループット 40 Gbps 以上
3) オンプレに広告するプレフィックスは NAT 後アドレスのみ
Direct Connect は 1 Gbps×2 の LAG、BGP を利用する。
この要件を満たす設計はどれか。正解不正解ヒントボタン
重複した10.0.0.0/16のオンプレ環境に安全に到達するには、VPC側の172.16.0.0/16をそのままBGPで広告するとCIDRが衝突します。Transit GatewayとDirect Connect Gateway間のルート表で、Private NAT Gatewayにより100.64.0.0/16などのCarrier-Grade NAT帯へ一意変換した後のプレフィックスだけを広告すれば、オンプレには変換後アドレスしか見えず競合を回避できます。Private NATはアウトバウンド発端の通信のみを許可し逆方向の新規セッションを破棄するため、片方向通信というセキュリティ要件にも合致します。
5,000接続/秒かつ40 Gbps超を処理するトラフィックでは、m5n.largeなどのNATインスタンスはENI上限やCPU負荷で性能が頭打ちになり、手動スケールや障害対応も運用負荷が高くなります。マネージド型のNAT Gatewayは1台で最大45 Gbps、AZ単位で配置すれば可用性と帯域を自動で確保できます。PrivateタイプならInternet Gatewayを伴わず、Direct Connectだけに経路を閉じられるため、インターネット経路を混在させたくない金融SaaSのガバナンス要件にも適合します。
①VPC発のみに限定するフロー制御、②40 Gbps超を支えるマルチAZ冗長の高性能NAT、③オンプレに広告するプレフィックスを変換後アドレスだけに絞るBGPルート制御――これら三つの要件を俯瞰すると、Private NAT Gatewayを各AZに配置しTransit Gatewayで広告フィルタを行う設計が全項目を同時に満たします。Public NATやNATインスタンス、単一AZ構成では帯域・片方向性・CIDR競合・可用性のいずれかで不足が残る点を比較して判断してみてください。
改善リクエスト