Question#30(ANS-C01)

正解：D

この問題では、企業がAWSトランジットゲートウェイを活用したハブアンドスポークアーキテクチャを採用し、オンプレミスのMPLSネットワークの厳格なセグメンテーション（VRFによる論理的分離）をAWS環境に適用する必要があります。オンプレミスMPLS VPNは重複するアドレス空間（例：複数のVPNで10.0.0.0/16）を持ち、将来VPN数が増加します。2本の10Gbps AWS Direct Connect接続を使用し、運用負担を最小限に抑えるソリューションを選択する必要があります。選択肢Dは、トランジットゲートウェイ接続（Transit Gateway Connect）アタッチメントを使用して、各MPLS VPNをトランジットゲートウェイに統合し、MPLS VPNごとにセグメンテーションを維持するソリューションです。以下に理由を説明します： ・トランジットゲートウェイ接続の機能: Transit Gateway Connectは、Direct ConnectやオンプレミスのSD-WAN/MPLSネットワークとトランジットゲートウェイを統合するためのアタッチメントタイプです。GRE（Generic Routing Encapsulation）トンネルとBGP（Border Gateway Protocol）を使用して、複数のVRF（MPLS VPN）をトランジットゲートウェイにマッピングできます。これにより、オンプレミスのMPLS VPNのセグメンテーションがAWS環境に拡張されます（https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-connect.html）。 ・重複アドレス空間のサポート: Transit Gateway Connectは、BGPを使用してVRFごとのルートを分離し、MPLS VPNの重複CIDR（例：10.0.0.0/16）をサポートします。各MPLS VPNは、トランジットゲートウェイの個別のルートテーブルに関連付けられ、トラフィックが論理的に分離されます。オンプレミスエッジルーターは、各VRFのルートをBGPでトランジットゲートウェイに広告し、AWS側でVRFごとのセグメンテーションを維持。 ・ネットワークセグメンテーション: トランジットゲートウェイのルートテーブルをMPLS VPNごとに構成することで、各開発環境（VRF）のトラフィックを分離。たとえば、開発環境AのVRF1（10.0.0.0/16）とVRF2（10.0.0.0/16）は、異なるルートテーブルで管理され、トラフィックが混在しない。 ・Direct Connectの活用: 2本の10Gbps Direct Connect接続は、Transit Gateway Connectアタッチメントを介してトランジットゲートウェイに接続され、高速・低レイテンシの通信を提供。Direct ConnectのプライベートVIFを使用して、MPLS VPNのトラフィックをトランジットゲートウェイに送信。 ・運用負担の最小化: Transit Gateway Connectは、AWSネイティブの機能を使用し、BGPで動的ルート伝播を行うため、VPNごとの手動設定やサードパーティアプライアンスを回避。MPLS VPNが増加しても、BGPセッションとルートテーブルの追加でスケール可能。オンプレミスエッジルーターのBGP設定は一度行えば済み、将来のVPN追加はルート広告の更新で対応。 将来のスケーラビリティ: MPLS VPN数の増加に対応するため、トランジットゲートウェイのルートテーブルを動的に拡張。Transit Gateway Connectは、最大5000ルートをサポートし（https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-limits.html）、多数のVRFに対応可能。 ・AWSベストプラクティス: Transit Gateway Connectは、MPLSやSD-WAN統合に推奨され、重複CIDRとVRFセグメンテーションをサポートする標準アーキテクチャ（https://aws.amazon.com/blogs/networking-and-content-delivery/integrating-aws-transit-gateway-with-aws-direct-connect-and-site-to-site-vpn/）。 他の選択肢は、運用負担が大きい、技術的に不適切、または重複アドレス空間を効率的にサポートできないため、４が最適です。