ANS-C01#3(network-implementation)

ある製薬会社は Transit Gateway を中央ハブとして 30 の VPC を接続しています。検証用 VPC のうち一部は外部へ通信させてはならず、宛先側で破棄する制御が必要です。ネットワーク管理者は運用負荷を増やさずに静的に経路を遮断する方法を求めています。

どの実装が適切ですか。

A.
該当 VPC の VPC アタッチメントを Transit Gateway から完全に削除し、必要時に都度再作成して通信を制御します。
B.
検証用 VPC のセキュリティグループから全ルールを削除し、TGW 側にもルートテーブルを関連付けない状態にします。
C.
TGW ルートテーブルにブラックホール属性付き static route を登録し対象 CIDR を一致条件とします。
D.
Transit Gateway の伝播 (propagation) を全アタッチメントで無効化し、association も解除して動作させます。

正解と解説ディスカッション 0

正解：C

正解の根拠

Transit Gateway ルートテーブルでは static route のターゲットを blackhole に設定でき、該当 CIDR 宛の転送を確実に破棄できます。propagation との競合では static blackhole が優先され、特定セグメントだけ遮断するピンポイント制御が運用負荷なしに実現します。

不正解の理由

A: アタッチメント削除と再作成は運用負荷が大きく、関連リソースの ID も変わるため恒常的な制御に不向きです。
B: SG 全削除は動作影響が広く、TGW 側の関連付け解除だけでは戻り経路の制御が定義できません。
D: 全アタッチメントの propagation/association 解除は他 VPC の正常通信まで巻き込むため過剰です。

参考：Transit Gateway Route Tables

ANS-C01#3(network-implementation)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル