Question#25(ANS-C01)
ある企業は、規制を遵守するために、NitroベースのAmazon EC2インスタンスのトラフィックをキャプチャおよびログ記録する必要があります。企業のネットワークチームは、VPCトラフィックミラーリングを有効にし、トラフィックをAuto Scalingグループ内の2番目のEC2インスタンスセットに送信するソリューションを準備しました。
ネットワークチームは、トラフィックが送信されるEC2インスタンスの前にNetwork Load Balancer(NLB)を追加しました。しかし、このソリューションでは、ミラートラフィックがNLBの背後のEC2インスタンスに送信されていません。
ネットワークチームは、NLBエンドポイントを使用するためにトラフィックミラーリングをどのように構成する必要がありますか?
正解:D
選択肢4は、NLBをVPCトラフィックミラーリングのターゲットとして設定し、UDPリスナー(ポート4789)を使用することで、ミラートラフィックをNLBの背後のAuto ScalingグループのEC2インスタンスに正しく送信します。VPCトラフィックミラーリングはVXLANプロトコルを使用し、UDPポート4789でカプセル化されたトラフィックを送信するため、NLBにUDPリスナーが必要です(https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-targets.html)。この構成は、AWSのベストプラクティスに準拠し、ミラートラフィックがNLB背後のインスタンスに到達しない問題を解決します。UDPリスナーの設定はシンプルで、追加の複雑な構成を必要とせず、規制遵守のためのトラフィックキャプチャ要件を満たします。 本ケースのポイント: NLB をトラフィックミラーリングのターゲットとして使用したい ミラートラフィックはUDPカプセル化(VXLAN)されたパケットであるため、NLB 側も UDP リスナーを使わなければ、正しくルーティング・転送できない
コメント