みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
书籍
 

理論

大量AWSアウトバウンドトラフィック管理

1. 大量アウトバウンドトラフィックの基本構成

AWSでは、インターネットへのアウトバウンドトラフィックを管理するには以下が必要です:
  • インターネットゲートウェイ(IGW): VPC内から直接インターネットへ接続。
  • NATゲートウェイ: プライベートサブネットのリソースがインターネットにアクセスする際に使用。

2. 中央集約型管理の利点

  • 一元管理: AWS OrganizationsやTransit Gatewayを使用すると、複数のアカウントを一箇所で管理可能。
  • セキュリティ強化: 全トラフィックを特定のポイントで制御できるため、統一したポリシーを適用可能。

3. AWS Network Firewallの特徴

  • ルールベースのフィルタリング: トラフィックに対してIP、ポート、プロトコルを基にフィルタリング。
  • スケーラビリティ: 高いスループットに対応(25Gbps以上可能)。
  • 統合: Transit GatewayやVPCに簡単に統合できる。

4. 適切な構成の選択基準

  • 規模: アカウントやリージョンの数。中央集約型が適するケースが多い。
  • パフォーマンス: スループット要件(本問では25Gbps/AZ)。
  • 運用効率: 管理が複雑にならない構成が理想。

5. 推奨アプローチ

AWS Network Firewallを使用し、Transit Gatewayでルーティングを管理する構成が以下の点で最適:
  • スケーラビリティ: 大規模組織にも対応可能。
  • 運用負荷の低減: ルール管理を一箇所で実施できる。
  • セキュリティ統制: 全アカウントに統一ポリシーを適用可能。

実践

一問道場

質問 #216

トピック 1

大企業のソリューションアーキテクトは、AWS Organizations内のすべてのAWSアカウントからインターネットへのアウトバウンドトラフィックのネットワークセキュリティを設定する必要があります。
  • 組織には100以上のAWSアカウントがあり、アカウント間の通信は中央集約型AWS Transit Gatewayを介しています。
  • 各アカウントには、インターネットへのアウトバウンドトラフィック用にインターネットゲートウェイNATゲートウェイが設定されています。
  • リソースは単一のAWSリージョン内にのみデプロイされます。
会社は、全AWSアカウントのインターネットへのアウトバウンドトラフィックに対して、中央集約型のルールベースのフィルタリングを追加する必要があります。
  • アウトバウンドトラフィックのピーク負荷は、各アベイラビリティゾーン(AZ)で25Gbpsを超えません。
この要件を満たすソリューションはどれですか?

選択肢

A. 新しいVPCをアウトバウンドトラフィック用に作成し、既存のTransit Gatewayを新しいVPCに接続します。
  • 新しいNATゲートウェイを設定します。
  • オートスケーリンググループを作成し、全アベイラビリティゾーンでルールベースのフィルタリングを行うオープンソースのインターネットプロキシを実行するAmazon EC2インスタンスをデプロイします。
  • すべてのデフォルトルートをプロキシのオートスケーリンググループにポイントするよう変更します。
B. 新しいVPCをアウトバウンドトラフィック用に作成し、既存のTransit Gatewayを新しいVPCに接続します。
  • 新しいNATゲートウェイを設定します。
  • AWS Network Firewallをルールベースのフィルタリング用に使用します。
  • 各アベイラビリティゾーンでNetwork Firewallのエンドポイントを作成します。
  • すべてのデフォルトルートをNetwork Firewallエンドポイントにポイントするよう変更します。
C. 各AWSアカウントでルールベースのフィルタリング用にAWS Network Firewallを作成します。
  • すべてのデフォルトルートを各アカウント内のNetwork Firewallにポイントするよう変更します。
D. 各AWSアカウントでネットワーク最適化されたAmazon EC2インスタンスを実行するオートスケーリンググループを作成し、オープンソースのインターネットプロキシでルールベースのフィルタリングを実行します。
  • すべてのデフォルトルートをプロキシのオートスケーリンググループにポイントするよう変更します。
 

正解

この問題は、AWS Organizationsに属する複数のアカウント間で共有されるアウトバウンドトラフィックに対する中央集約型のルールベースのフィルタリングを、効率的かつスケーラブルに実現する方法を問うています。

解説

  • 要件のポイント:
      1. 中央管理でアウトバウンドトラフィックをフィルタリングする。
      1. *高いスループット(25Gbps/AZ)**に対応する。
      1. 単一のAWSリージョンでの設定。
  • 各選択肢の要約:
    • A: オープンソースプロキシを使用する案。設定が複雑で、スケーラビリティやメンテナンスの課題がある。
    • B: AWS Network Firewallを中央で利用し、スケーラブルかつ管理が容易な構成。
    • C: 各アカウントに個別のFirewallを作成。管理が煩雑になるため非効率。
    • D: 各アカウントでプロキシを使用。スケーラビリティと運用負荷が課題。

正解: B

  • AWS Network Firewallを使用することで、中央でルールを管理しつつ、高スループットに対応可能。
  • Transit GatewayとVPCを接続し、Network Firewallを通してトラフィックをルーティングすることで効率的かつ拡張性のある解決策を提供します。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
217-AWS SAP AWS 「理論・実践・一問道場」Amazon Kinesis Data Firehose215-AWS SAP AWS 「理論・実践・一問道場」共有サービスアカウントと中央管理アカウント
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
35条書面-64問-1
35条書面-64問-1
2025年6月13日
TOKYO自習島
TOKYO自習島
2025年6月10日
平成26年秋期 午後問1
平成26年秋期 午後問1
2025年6月6日
令和5年秋期 午後問1
令和5年秋期 午後問1
2025年6月6日
令和2年秋期 午後問1
令和2年秋期 午後問1
2025年6月6日
業務上の規制-87問-1
業務上の規制-87問-1
2025年6月4日
公告

🎉 欢迎访问我的博客 🎉

🙏 感谢您的支持 🙏

📅 本站自 2024年9月1日 建立,致力于分享在 IT・MBA・不动产中介 等领域的学习与实践,并推动 学习会 的自主开展。
📖 博客语言使用比例
🇯🇵 日语 90% 🇨🇳 中文 8% 🇬🇧 英语 2%

📚 主要内容

💻 IT・系统与开发

  • 系统管理:Red Hat 等
  • 容器与编排:Kubernetes、OpenShift
  • 云计算:AWS、IBM Cloud
  • AI 入门:人工智能基础与实践
  • 技术笔记与考证经验

🏠 不动产 × 宅建士

  • 宅建士考试笔记

🎓 MBA 学习笔记

  • 管理学、经济学、财务分析等

🔍 快速查找内容(标签分类)

由于网站目前没有专门的设计,可能会导致查找信息不便。为了更快找到你感兴趣的内容,推荐使用以下标签功能 进行搜索!
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://www.minami.ac.cn/tag
标签 | みなみの風物詩
📌 定期更新,欢迎常来看看!
📬 有任何建议或想法,也欢迎留言交流!
目录
0%