【問】ある企業が、トランジットゲートウェイに接続された 3 つの VPC を使用して AWS でインフラストラクチャを設計しています。3 つの VPC は、アプリケーション VPC、バックエンド VPC、インスペクション VPC です。アプリケーション VPC とバックエンド VPC には、アベイラビリティーゾーン A とアベイラビリティーゾーン B にコンピューティングインスタンスがデプロイされています。ステートフルファイアウォールは、インスペクション VPC 内の同じアベイラビリティーゾーンにデプロイされます。は共有サービス VPC です。 トラフィックインスペクションを義務付けるセキュリティポリシーに準拠するために、すべてのトラフィックはステートフルレイヤー 7 仮想ファイアウォールアプライアンスを介してインスペクション VPC を経由してルーティングされます。3 つの VPC 間で重複する IP アドレスはありません。ネットワークエンジニアは、アプリケーション VPC とバックエンド VPC 間のトラフィックが、インスペクション VPC のステートフルファイアウォールを通過できるようにする必要があります。 これらの要件を満たすソリューションはどれですか。
00:00 オープニング
00:11【問】ある企業が、トランジットゲートウェイに接続された 3 つの VPC を使用して AWS でインフラストラクチャを設計しています。
01:35 問題のポイント整理、選択肢検討
05:37 解答確認
■ AWS Certified Advanced Networking - Specialty (ANS-C01) 試験問題サンプル
d1.awsstatic.com/ja_JP/training-and-certification/…
■ Transit Gateway を使用して、VPC 間の通信を検閲する インスペクション VPC を作成する例
docs.aws.amazon.com/ja_jp/vpc/latest/tgw/transit-g…
図がわかりやすいので、見て頂けると理解が深まるかと存じます。
VPC C は共有サービス VPC です。VPC A と VPC B 間のトラフィックはトランジットゲートウェイにルーティングされ、その後、最終的な宛先にルーティングされる前に、検査のために VPC C のセキュリティアプライアンスにルーティングされます。アプライアンスはステートフルアプライアンスであるため、リクエストトラフィックとレスポンストラフィックの両方が検査されます。高可用性を実現するために、VPC C の各アベイラビリティーゾーンにアプライアンスがあります。
■ マルチ AZ で複数に冗長化したアプライアンスを使用している際には、Transit Gateway アプライアンスモードを有効にする。これにより、通信の往路・復路で同一のアプライアンスを経由するようにする。
docs.aws.amazon.com/ja_jp/vpc/latest/tgw/transit-g…
上と同じリンクです。
VPC アタッチメントが複数のアベイラビリティーゾーンにまたがっており、ステートフルな検査のために送信元ホストと送信先ホスト間のトラフィックを同じアプライアンスを介してルーティングする必要がある場合は、アプライアンスが配置されている VPC アタッチメントのアプライアンスモードサポートを有効にします。
■ アプライアンスモードに関する弊社ブログ(佐竹さんのブログ)
GWLB 導入に関わる TGW の重要な設定「アプライアンスモード」について
blog.serverworks.co.jp/aws-transit-gateway-applian…
サーバーワークス チャンネル