SOA-C03#3(networking)
運用チームは VPC 内の通信について、送信元・宛先・許可/拒否の状態を分析し、特定 IP との通信実績を調査したいと考えています。最小コストで実現する方法はどれですか。
正解:A
正解の根拠
VPC Flow Logs は ENI 単位で送信元/宛先/ポート/プロトコル/許可拒否を記録できます。S3 出力は CloudWatch Logs より低コストで、Athena によりサーバレスでアドホック分析が可能です。
VPC 通信分析の比較
| 方式 | コスト | 分析容易性 |
|---|---|---|
| Flow Logs (S3) + Athena | 低 | SQL で容易 |
| Flow Logs (CW Logs) | 中〜高 | Insights |
| tcpdump | 運用負荷高 | 困難 |
| Network Firewall | サービス料金大 | 可能 |
不正解の理由
- B: tcpdump 方式は EC2 単位で運用負荷が大きい副作用があり、集中分析や横断調査には向かない方式です。
- C: Network Firewall はファイアウォール用途のサービスで、ログ取得目的の利用は割高な副作用がある構成です。
- D: CloudTrail は API 監査用のサービスで、VPC 通信フロー記録機能は提供していない設計目的です。
コメント