SAP-C02#4(complexity)

ある小売企業は、5 つのアカウントから構成される Organizations を運営しています。共有サービス VPC 内の Microsoft AD と PrivateLink エンドポイントを、他 4 アカウントのワークロード VPC からプライベートに利用させたいと考えています。VPC ピアリング数を増やさず、最も運用しやすく拡張性の高い方法はどれですか。

A. 共有サービス VPC とワークロード VPC を完全メッシュで VPC ピアリングし、各 VPC のルートテーブルにエントリを追加して維持します。アカウントが増えるたびにメッシュを拡張する手順を IaC で自動化します。
B. 共有サービスアカウントに NAT Gateway を配置し、各ワークロード VPC からインターネット経由で AD と PrivateLink にアクセスさせます。経路は Direct Connect の Public VIF に置き換えて遅延を改善します。
C. AWS PrivateLink でエンドポイントサービスを公開し、AD についても Site-to-Site VPN を各アカウントに作成して接続します。各 VPN にはトランジット VIF を組み合わせて冗長化します。
D. 共有サービス VPC を Transit Gateway にアタッチし、AWS RAM で TGW を組織共有して各 VPC を接続します。

正解と解説ディスカッション 0

正解：D

正解の根拠

Transit Gateway (TGW) はハブ・アンド・スポーク型のネットワークハブで、AWS RAM を介して Organizations 内で共有できます。ワークロード VPC を TGW にアタッチし、共有サービス VPC へのルートのみを TGW ルートテーブルで伝播することで、VPC 間の直接ピアリングを排除しつつ AD/PrivateLink への到達性を確保できます。アカウント追加時は新しい VPC を TGW にアタッチするだけで線形に拡張できます。

選択	スケール特性
VPC ピアリング	N(N-1)/2 で接続数が爆発
TGW + RAM	VPC 数に対し線形で増加

不正解の理由

A: VPC 数が増えるたびにメッシュ接続が指数関数的に増え、運用コストが過大になります。
B: AD トラフィックをインターネット経由にすることはセキュリティ上不適切で、要件のプライベート接続にも反します。
C: VPN 経由の AD 接続は遅延と運用が増え、PrivateLink のメリットも活かせません。

参考：Transit Gateway Getting Started

SAP-C02#4(complexity)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル