Question#65(SCS-C01)
セキュリティエンジニアは、プライベートトラフィックとパブリックトラフィックを分離するための VPC を設計しました。VPC には 2 つのアベイラビリティーゾーン (AZ) があり、各 AZ に プライベートサブネット 1 つと パブリックサブネット 1 つを作成しています。ルートテーブルは合計 3 つで、パブリックサブネット用に 1 つ、プライベートサブネット用に 2 つ(各 AZ のプライベートサブネットに 1 つずつ)があります。
ところが、4 つのサブネットすべてが、VPC にアタッチされた インターネットゲートウェイ (IGW) 経由で外部にルーティングしようとしていることが判明しました。 この状況を是正するために取るべき手順の組み合わせはどれですか?(2 つ選択)(2つ選択)
正解:A, D
各AZのパブリックサブネットにNATゲートウェイがプロビジョニングされていることを確認することは、プライベートサブネットがインターネットにアクセスする際に必要なステップです。NATゲートウェイはパブリックサブネットに配置され、プライベートサブネットからのアウトバウンドトラフィックをインターネットに転送します。現在の問題(プライベートサブネットがインターネットゲートウェイを直接使用)の解決には、NATゲートウェイが正しく設定されていることが前提条件です。確認後、必要に応じてNATゲートウェイをプロビジョニングします。したがって、正解の一つです。
各プライベートサブネットに関連付けられているルートテーブルを変更し、宛先0.0.0.0/0(すべての外部トラフィック)向けに新しいルートを作成し、同じAZのパブリックサブネットにあるNATゲートウェイを対象として指定することは、プライベートサブネットがインターネットにアクセスする正しい方法です。設定手順:
- 各AZのプライベートサブネットのルートテーブルを編集。
- 宛先0.0.0.0/0にNATゲートウェイのIDを追加。 これにより、プライベートサブネットのトラフィックがインターネットゲートウェイを直接使用せず、NATゲートウェイ経由でルーティングされ、問題が解消されます。したがって、正解のもう一つです。
コメント