Question#29(ANS-C01)
ある企業はAWSに移行を計画しており、複数のAWSリージョンで複数のVPCを使用します。ネットワークエンジニアは、eu-west-1リージョンとeu-central-1リージョンをそれぞれ企業本社と支社に接続する必要があります。ネットワークエンジニアは、eu-west-1の1つのアカウントでCIDRブロック10.0.0.0/16の生産VPC(Prod A)を作成しました。また、eu-central-1の別のアカウントでCIDRブロック10.1.0.0/16の生産VPC(Prod B)を作成しました。ネットワークエンジニアは、必要な接続を実現するために以下の手順を実行しました:
1. 各リージョンにトランジットゲートウェイを作成。
2. 両リージョンの生産アカウントでトランジットゲートウェイを共有および承認。
3. 両トランジットゲートウェイ間にピアリングアタッチメントを構成。
4. 両VPCをそれぞれのリージョンのトランジットゲートウェイにアタッチ。
5. 両トランジットゲートウェイのルートテーブルを作成し、アタッチメントをルートテーブルに関連付け。
6. 両トランジットゲートウェイのルートテーブルに、リモートVPC(他リージョン)へのトラフィックを送信する静的ルートを構成。
7. 各リージョンのVPCルートテーブルでルート伝播を有効化。 この設定後、ネットワークエンジニアはProd AからProd Bへの接続を試みましたが、接続に失敗しました。必要な接続を実現するために、ネットワークエンジニアは何をすべきですか?
正解:C
選択肢 3(10.0.0.0/8 という広いCIDRをVPCルートテーブルに追加)が「動作する」ことは技術的に正しいです。 しかし、結論から言えば: ✅ 機能的には可能だが、ベストプラクティスではなく推奨されません。 🔍 各意見の検証: ✅ 「技術的に動作する」理由: 10.0.0.0/8 は、10.0.0.0/16(Prod A)と 10.1.0.0/16(Prod B)の両方をカバーするスーパーセットCIDRです。 そのため、双方向のルーティングを成立させるには十分です。 ❌ しかし「ベストな選択肢ではない」理由: 過度に広いCIDRを使うことはリスクが高い 他のVPCや将来のCIDRが同じ 10.x.x.x 空間にある場合、意図しないトラフィックが流れる可能性があり、セキュリティ上のリスクやトラブルの原因になります。 AWSベストプラクティスでは、必要最小のCIDRでルートを定義することを推奨 AWS公式ドキュメントやアーキテクチャガイドでも、スーパーセットCIDRを使うことは避けるように記載されています。 10.0.0.0/8 で双方向通信は可能だが、リスクが高く設計として望ましくない
コメント