Question#1(SAP-C02)

ある会社は製造業アプリケーション用に AWS 環境を設計しています。このアプリケーションは顧客に好評で、ユーザー数が増加しています。会社は、1 Gbps の AWS Direct Connect 接続を使用してオンプレミスのデータセンターと AWS 環境を接続しました。この接続には BGP が構成されています。

会社は、既存のネットワーク接続ソリューションを更新し、高可用性、耐障害性、およびセキュリティを確保する必要があります。この要件を最もコスト効率よく満たすソリューションはどれですか？

A. セカンダリパスとして動的なプライベート IP AWS Site-to-Site VPN を追加し、転送中のデータを保護するとともに、Direct Connect 接続の冗長性を提供する。Direct Connect 接続内のトラフィックを暗号化するために MACsec を構成する。
B. 会社のオンプレミスデータセンターと AWS の間にもう 1 本の Direct Connect 接続をプロビジョニングして、転送速度を向上させるとともに冗長性を提供する。Direct Connect 接続内のトラフィックを暗号化するために MACsec を構成する。
C. 複数のプライベート VIF を構成し、オンプレミスデータセンターと AWS 間で VIF をロードバランスさせて冗長性を提供する。
D. セカンダリパスとして静的な AWS Site-to-Site VPN を追加し、転送中のデータを保護するとともに、Direct Connect 接続の冗長性を提供する。

正解と解説ディスカッション 0

正解：D

この問題のポイントは、「高可用性」「耐障害性」「セキュリティ」を満たしつつ、「最もコスト効率よく」実現する方法を選ぶことです。

まず Direct Connect 単独では暗号化されていないため、転送中のデータを暗号化する仕組みが必要です。一般的には Direct Connect と Site-to-Site VPN を併用するハイブリッド構成（いわゆる DX + VPN 冗長化） が推奨されます。AWS のベストプラクティスとしても、専用線が障害で停止した場合のバックアップ経路として Site-to-Site VPN を利用することが案内されています。 Site-to-Site VPN をバックアップ経路として追加すれば、Direct Connect がダウンした際に VPN 経由で AWS と通信が可能になります。また VPN は IPsec により暗号化されるため、セキュリティ要件も満たします。コスト的にも追加の回線敷設は不要で、最も費用対効果の高い解決策です。よってこれが正解です。

Question#1(SAP-C02)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル