【ANS-C01】WEB問題集:ネットワーク設計編

WEB問題集

ANS-C01#1(network-design)

ある企業はマルチアカウント環境で 60 個の VPC を運用しており、本社オンプレミスとの通信用に AWS Direct Connect 10 Gbps 専用接続を 1 本利用しています。すべての VPC からオンプレミスの社内 DNS と業務サーバーへ最小の運用負荷でアクセスできるハイブリッド構成を設計します。今後 VPC 数は 200 を超える計画です。最も運用負荷が小さい設計はどれですか。

A.
各 VPC からオンプレミスへ Site-to-Site VPN を個別に張り、CGW を共有する構成にします。
B.
Transit Gateway を Direct Connect Gateway に Transit VIF で関連付けて全 VPC を集約します。
C.
各 VPC で Private VIF を作成し、Direct Connect Gateway 1 つに対して個別に関連付けます。
D.
VPC ピアリングをフルメッシュで構成し、ハブ VPC からオンプレミスへ Private VIF を引きます。

正解と解説ディスカッション 0

正解：B

正解の根拠

Transit Gateway と Direct Connect Gateway を Transit VIF で関連付けると、最大 5 000 アタッチメントまでのスケールでオンプレミスへハブ&スポーク接続できます。VPC 追加時は TGW へアタッチするだけで Direct Connect 経路が自動伝播するため運用負荷が最小になります。

不正解の理由

A: VPC ごとに VPN を張る方式はトンネル数とルーティング管理が線形に増え、スケール時の負荷が大きくなります。
C: Direct Connect Gateway に関連付けできる VPG/Private VIF 数には上限があり、200 VPC への拡張で破綻します。
D: VPC ピアリングはフルメッシュで N(N-1)/2 本必要となり、ハブ VPC のルーティングも複雑化します。

参考：Transit gateway associations - AWS Direct Connect

ANS-C01#2(network-design)

ある企業は 10.0.0.0/16 で稼働中の単一 VPC があり、新規業務システム向けに大量の IP アドレスが必要になりました。停止できないサービスが多く、既存サブネットや EC2 インスタンスを再構築せずに IP を追加する必要があります。最も運用負荷が小さい方法はどれですか。

A.
新規 VPC を 10.1.0.0/16 で作成し、既存 VPC とピアリング接続して相互ルーティングを設定します。
B.
VPC のセカンダリ CIDR ブロックとして 100.64.0.0/16 を追加し、新サブネットを作成します。
C.
既存 VPC の CIDR を /16 から /15 へ拡張する変更リクエストを AWS Support に提出します。
D.
既存サブネットの /24 を /23 に拡張し、ホスト数を 2 倍にして対応します。

正解と解説ディスカッション 0

正解：B

正解の根拠

VPC には最大 5 つのセカンダリ CIDR を追加でき、100.64.0.0/10 の共有アドレス空間も利用可能です。既存サブネットや EC2 を停止せずに新規アドレスプールを使えるため、運用影響が最小になります。

不正解の理由

A: 別 VPC とピアリングする方式は経路設計と SG 修正が必要で、単一 VPC 内で完結する要件に対し過剰です。
C: VPC のプライマリ CIDR サイズは作成後に変更できず、Support にリクエストしても対応できません。
D: AWS のサブネット CIDR は作成後に変更不可で、再作成が必要となるため停止不可要件に反します。

参考：Add IPv4 CIDR blocks to a VPC - Amazon VPC

ANS-C01#3(network-design)

ある企業は本社と支社合計 50 拠点から AWS への接続に Site-to-Site VPN を利用しています。海外拠点ユーザーから VPN 経由のレスポンスが遅いと報告がありました。インターネット経由の経路品質を改善し、暗号化を維持したまま遅延を削減する設計が求められます。最も適切な対応はどれですか。

A.
各拠点と最寄り AWS リージョン間で個別に Direct Connect 1 Gbps 専用接続を契約します。
B.
各支社のインターネット回線を 10 Gbps へアップグレードし、TCP MSS を引き上げて再送を抑制します。
C.
アクセラレーテッド Site-to-Site VPN を有効にし AWS Global Accelerator エッジで終端します。
D.
Site-to-Site VPN の IKE バージョンを v1 から v2 へ変更し、トンネルあたりの帯域を倍増させます。

正解と解説ディスカッション 0

正解：C

正解の根拠

アクセラレーテッド Site-to-Site VPN は AWS Global Accelerator のエッジロケーションで VPN トンネルを終端し、AWS グローバルバックボーン経由で VGW/TGW へ届けるため、海外拠点からの遅延とジッタを大きく改善できます。既存の暗号化要件はそのまま維持されます。

不正解の理由

A: 50 拠点それぞれに Direct Connect を個別契約するのはコストとリードタイムが膨大で現実的ではありません。
B: 拠点回線の帯域増設は遅延ではなくスループットの問題への対応で、海外経路の品質には効果が限定的です。
D: IKEv2 へ変更してもトンネル帯域は 1.25 Gbps の上限が変わらず、遅延の根本原因解決にもなりません。

参考：Accelerated Site-to-Site VPN - AWS Site-to-Site VPN

ANS-C01#4(network-design)

ある SaaS プロバイダは複数の顧客企業へ自社サービスを公開する必要があります。顧客はインターネットを経由せず、各顧客の VPC からプライベートにサービスへアクセスし、IP の重複も許容したい考えです。最小の運用負荷でこれを実現する設計はどれですか。

A.
各顧客 VPC と SaaS プロバイダ VPC の間に VPC ピアリングを張り、ルートテーブルで NLB 宛てを許可します。
B.
顧客 VPC ごとに Site-to-Site VPN を SaaS プロバイダ VPC へ張り、NAT インスタンスで重複 IP を変換します。
C.
SaaS プロバイダ ALB をパブリックサブネットへ配置し、顧客は IP 制限と証明書認証を併用します。
D.
SaaS 側で NLB 配下の VPC エンドポイントサービスを公開し、顧客は Interface Endpoint で接続します。

正解と解説ディスカッション 0

正解：D

正解の根拠

AWS PrivateLink の VPC エンドポイントサービスは NLB または GWLB を前段にしてサービスを公開し、顧客はインターフェース型 VPC エンドポイント経由でプライベートに接続できます。アドレス空間が顧客側と重複しても疎通可能で、インターネット経由になりません。

不正解の理由

A: VPC ピアリングは CIDR 重複時に確立できず、複数顧客への展開で運用負荷も増大します。
B: VPN と NAT で重複対応はできますがトンネル管理が拠点数に応じて増え、スケールしません。
C: ALB をパブリック公開する案はインターネット経由となり、要件のプライベート接続を満たしません。

参考：Share your services through AWS PrivateLink

ANS-C01#5(network-design)

ある企業は us-east-1 と eu-west-1 でマルチリージョン構成のアクティブ-アクティブ Web アプリを運用しています。各リージョン VPC 内サービスはお互いプライベートに通信する必要があり、暗号化が必須です。さらに将来的に ap-northeast-1 を追加する計画があります。最も運用負荷が小さい設計はどれですか。

A.
各リージョンの VPC 間で VPC ピアリングをリージョン間で張り、ルートテーブルでフルメッシュ経路を維持します。
B.
各リージョン TGW を相互ピアリングで結び、各 VPC を最寄り TGW へアタッチします。
C.
各リージョンで Site-to-Site VPN を確立し、CGW を仮想化アプライアンスで共通化してフルメッシュ化します。
D.
パブリックインターネット経由で TLS 1.3 を使用し、ALB で IP 制限とクライアント証明書を併用して通信します。

正解と解説ディスカッション 0

正解：B

正解の根拠

Transit Gateway 間ピアリングは AWS バックボーンで暗号化されたリージョン間通信を提供し、新リージョン追加時も TGW を追加してピアリングを増やすだけで済みます。VPC は各リージョン TGW にアタッチするだけで全体に経路が伝播するためスケーラブルです。

不正解の理由

A: VPC ピアリングは推移的ルーティング不可で、N リージョン VPC ではフルメッシュ管理が爆発的に増えます。
C: VPN 仮想アプライアンスは管理対象が増え、TGW より運用負荷が大きく可用性確保も自前です。
D: パブリックインターネット経由は要件のプライベート暗号化通信を満たさず、品質も保証されません。

参考：Transit gateway peering attachments - Amazon VPC