WEB問題集
Question#1(ANS-C01)
ある企業は、複数のAWSリージョンおよびアベイラビリティゾーンでアプリケーションを運用しています。この企業は新しいAWSリージョンに拡張する必要があります。アプリケーションの機能にとって低レイテンシが重要です。ネットワークエンジニアは、既存のリージョンと新しいリージョン間のレイテンシに関するメトリクスを収集する必要があります。少なくとも過去30日間のメトリクスを収集する必要があります。これらの要件を満たすソリューションはどれですか?
正解:B
この問題では、複数のAWSリージョン間で低レイテンシが重要なアプリケーションを運用しており、既存リージョンと新しいリージョン間のレイテンシを測定するために、少なくとも過去30日間のメトリクスを収集する必要があります。AWS Network Managerのインフラストラクチャパフォーマンス機能は、グローバルネットワークのパフォーマンスメトリクス(例:レイテンシ、パケットロス、ジッターなど)を収集し、Amazon CloudWatchに公開することができます。この機能は、AWSリージョン間やオンプレミス環境との接続を監視するために設計されており、過去30日間のデータをCloudWatchで確認可能です。そのため、この要件に最適です。他の選択肢は、レイテンシの測定や過去30日間のデータ収集に適さない、または目的に合わない機能を提供します。Question#2(ANS-C01)
ある企業が、オンプレミス環境から us-east-1 リージョンの AWS へのハイブリッドクラウド接続を構築しています。
企業は 10 Gbps の AWS Direct Connect 専用接続を利用しています。
企業には 2 つの AWS アカウントがあります。Account A は 4 つの AWS リージョンにトランジットゲートウェイを持っています。Account B は 3 つのリージョンにトランジットゲートウェイを持っています。企業は今後、拡張を予定していません。
セキュリティ要件を満たすため、各アカウントは別々のクラウドインフラストラクチャを持たなければなりません。
どのソリューションが、最もコスト効率良く要件を満たしますか?
正解:B
正解の理由 問題のポイントは 「各アカウントは別々のクラウドインフラストラクチャを持たなければならない」 というセキュリティ要件です。 つまり、アカウント間で Direct Connect Gateway を共有する(RAM を使う)と 同じ Direct Connect Gateway を通るトラフィックが混在する ため、論理的に分離できても インフラは完全には分離されない という点でセキュリティ要件を満たしません。 正解 の方法では、それぞれのアカウントで Direct Connect Gateway を作成し、同じ物理回線(10 Gbps 接続)を共有しながらも、アカウント単位で Direct Connect Gateway が分かれるため、インフラの分離を実現できます。 また、新規に物理接続(回線)を増設しなくて済むため、コスト面でも最も効率的です。Question#3(ANS-C01)
米国に本社を置くある企業は、Direct Connect ロケーションと自社のオンプレミス環境間に 2 本の AWS Direct Connect 接続を持っています。
同社はこれらの接続を使用して、us-east-1 リージョンで稼働する AWS のワークロードと通信しています。
同社は、複数の VPC を接続するトランジットゲートウェイを保有しています。Direct Connect 接続は Direct Connect ゲートウェイで終端し、トランジット VIF がトランジットゲートウェイに接続されています。
最近、この企業はヨーロッパを拠点とする小規模な企業を買収しました。
買収した企業はオンプレミスワークロードしか持っておらず、今後 3 年間は AWS 上でワークロードを稼働させる予定はありません。
しかし、買収した企業は、親会社の us-east-1 リージョン上の AWS リソース、および親会社の米国のオンプレミス環境への接続を必要としています。
親会社はヨーロッパに新たに 2 本の Direct Connect 接続を利用して、この接続を実現したいと考えています。
買収した企業にとって 運用上の負荷が最も少ない ソリューションはどれですか?
正解:A
正解の理由 買収した会社は オンプレミスしか持たない と問題文に明記されています。よって、VPC を作ったり Transit Gateway を立てたりする必要はない。 Direct Connect SiteLink を利用すれば、ヨーロッパで新たに確保する Direct Connect ロケーションから、既存の米国の Direct Connect ロケーションへ Direct Connect ネットワーク内でトラフィックを送ることが可能。 さらに SiteLink を利用する場合、VPC を経由する必要がないため 運用負荷が最小 で済む。 既存の Direct Connect Gateway に新たな Transit VIF を追加し、SiteLink を構成すれば 既存の米国オンプレミス環境とも AWS us-east-1 の VPC とも通信できる。 新規の Direct Connect Gateway を作ったり、Transit Gateway Peering を設定したり、新たに VPC を立てたりする他の選択肢は、いずれも不要なオーバーヘッドとコストがかかる。Question#4(ANS-C01)
AnyCompany は、Account-A という名前の AWS ネットワークアカウントでネットワークリソースをデプロイおよび管理しています。
AnyCompany は Example Corp を買収しました。Example Corp は、自社の AWS アカウントである Account-B において、アプリケーションを Application Load Balancer (ALB) の背後で稼働させています。
Example Corp は、アプリケーションをユーザーに公開するために AWS Global Accelerator を利用する必要があります。
AnyCompany のネットワークチームが Accelerator を管理する予定です。
正解:C
ブログ記事によるとクロスアカウント Global Accelerator アタッチメント が正式にサポートされました。 ・Accelerator を Account-A に作成 ・Account-B の ALB を Account-A の Accelerator のエンドポイントとして登録 ・AWS Resource Access Manager(RAM)は不要 ・この機能により、Account-A のネットワークチームが Accelerator を集中管理でき、Account-B 側の運用負担は最小 したがって 運用負荷を最小化しつつ、要件を満たすには 3 が正解 というのが正しい判断です。 【ブログ記事】 https://aws.amazon.com/jp/blogs/networking-and-content-delivery/announcing-cross-account-support-for-aws-global-accelerator/Question#5(ANS-C01)
あるメディア企業が、ユーザー向けにライブ配信を行うイベントのホスティングを計画しています。
同社は Amazon CloudFront を使用することを希望しています。
ネットワークエンジニアは、CloudFront のプライマリオリジンとセカンダリオリジンを作成しました。
エンジニアは、障害が発生した場合に 15 秒以内にプライマリオリジンからセカンダリオリジンへフェイルオーバー できるようにする必要があります。
運用負荷が最も少ない ソリューションはどれですか?
正解:C
CloudFront は オリジングループ(Origin Groups)をサポートしており、以下の動作が可能です: ・CloudFront は、プライマリオリジンへのリクエストが失敗した際に自動でセカンダリオリジンへフェイルオーバーする。 ・フェイルオーバー判定は、CloudFront の「オリジン接続タイムアウト」「接続試行回数」に依存する。 本問の条件: ・15 秒以内にフェイルオーバー が必要。 ・オリジン接続タイムアウトを 5 秒、試行回数を 2 に設定すると: 最大待機時間 = タイムアウト × 試行回数 = 5 秒 × 2 = 10 秒 これなら 15 秒以内にプライマリが異常と判断され、セカンダリへ切り替わるので要件を満たします。 また CloudFront の標準設定で済むため、運用負荷が最も少ない。