Question#27(ANS-C01)

正解：B, C

この問題では、企業のVPC-A（us-east-1）のEC2インスタンスが、同じリージョン内のパートナーのVPC-Bにホストされたウェブアプリケーションに接続する必要があります。VPC-AとVPC-Bは同じIP空間（CIDRブロックが重複）を使用しているため、標準のVPCピアリングやVPN接続ではIPアドレス衝突により通信ができません。解決策は、企業とパートナーの既存環境（VPC-Aの5つのVPCやVPC-Bの構成）に悪影響を与えず、接続を確立する必要があります。選択肢BとCの組み合わせは、VPCエンドポイントサービス（AWS PrivateLink）を使用することで、IP空間の重複問題を回避し、接続を実現します。以下に理由を説明します： ・IP空間の重複問題: VPC-AとVPC-Bが同じCIDRブロック（例：10.0.0.0/16）を使用している場合、VPCピアリングやSite-to-Site VPNでは、ルーティングテーブルでIPアドレスが衝突し、通信が失敗します。VPCエンドポイントサービス（PrivateLink）は、IPアドレスではなくエンドポイントサービス名（DNSベース）を使用して通信するため、CIDR重複を回避できます。 ・選択肢２（VPCエンドポイントサービスの作成）: パートナーがVPC-BでNetwork Load Balancer（NLB）を背後に配置したVPCエンドポイントサービスを作成します。これにより、VPC-BのウェブアプリケーションがPrivateLink経由で公開され、VPC-AのEC2インスタンスがアクセス可能になります。NLBは、ウェブアプリケーション（例：HTTP/HTTPS）のトラフィックを処理するのに適しており、AWSのベストプラクティスに準拠します（https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html）。 ・選択肢３（VPCエンドポイントのデプロイ）: 企業は、VPC-AにパートナーのVPCエンドポイントサービスを利用するインターフェースエンドポイントをデプロイします。このエンドポイントは、VPC-AのEC2インスタンスがVPC-Bのウェブアプリケーションにプライベートに接続するためのエンドポイントを提供します。エンドポイントはDNS名（例：vpce-xxx.region.privatelink.amazonaws.com）を使用して解決され、IP衝突の影響を受けません。 ・既存環境への影響: PrivateLinkは、VPC-AとVPC-Bの既存のルーティングやCIDR設定を変更せず、追加のエンドポイント設定のみで接続を実現します。VPC-Aの他の4つのVPCやVPC-Bの内部構成に影響を与えません。 ・運用効率: 選択肢２と選択肢３は、AWSのネイティブサービス（PrivateLink）を使用し、複雑なネットワーク再構成（例：CIDR変更やVPN設定）を回避。設定はAWS Management ConsoleまたはAPIで簡単に行えます。 他の選択肢は、IP衝突問題を解決できない、既存環境に影響を与える、または不必要に複雑です。