みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

大量AWSアウトバウンドトラフィック管理

1. 大量アウトバウンドトラフィックの基本構成

AWSでは、インターネットへのアウトバウンドトラフィックを管理するには以下が必要です:
  • インターネットゲートウェイ(IGW): VPC内から直接インターネットへ接続。
  • NATゲートウェイ: プライベートサブネットのリソースがインターネットにアクセスする際に使用。

2. 中央集約型管理の利点

  • 一元管理: AWS OrganizationsやTransit Gatewayを使用すると、複数のアカウントを一箇所で管理可能。
  • セキュリティ強化: 全トラフィックを特定のポイントで制御できるため、統一したポリシーを適用可能。

3. AWS Network Firewallの特徴

  • ルールベースのフィルタリング: トラフィックに対してIP、ポート、プロトコルを基にフィルタリング。
  • スケーラビリティ: 高いスループットに対応(25Gbps以上可能)。
  • 統合: Transit GatewayやVPCに簡単に統合できる。

4. 適切な構成の選択基準

  • 規模: アカウントやリージョンの数。中央集約型が適するケースが多い。
  • パフォーマンス: スループット要件(本問では25Gbps/AZ)。
  • 運用効率: 管理が複雑にならない構成が理想。

5. 推奨アプローチ

AWS Network Firewallを使用し、Transit Gatewayでルーティングを管理する構成が以下の点で最適:
  • スケーラビリティ: 大規模組織にも対応可能。
  • 運用負荷の低減: ルール管理を一箇所で実施できる。
  • セキュリティ統制: 全アカウントに統一ポリシーを適用可能。

実践

一問道場

質問 #216

トピック 1

大企業のソリューションアーキテクトは、AWS Organizations内のすべてのAWSアカウントからインターネットへのアウトバウンドトラフィックのネットワークセキュリティを設定する必要があります。
  • 組織には100以上のAWSアカウントがあり、アカウント間の通信は中央集約型AWS Transit Gatewayを介しています。
  • 各アカウントには、インターネットへのアウトバウンドトラフィック用にインターネットゲートウェイNATゲートウェイが設定されています。
  • リソースは単一のAWSリージョン内にのみデプロイされます。
会社は、全AWSアカウントのインターネットへのアウトバウンドトラフィックに対して、中央集約型のルールベースのフィルタリングを追加する必要があります。
  • アウトバウンドトラフィックのピーク負荷は、各アベイラビリティゾーン(AZ)で25Gbpsを超えません。
この要件を満たすソリューションはどれですか?

選択肢

A. 新しいVPCをアウトバウンドトラフィック用に作成し、既存のTransit Gatewayを新しいVPCに接続します。
  • 新しいNATゲートウェイを設定します。
  • オートスケーリンググループを作成し、全アベイラビリティゾーンでルールベースのフィルタリングを行うオープンソースのインターネットプロキシを実行するAmazon EC2インスタンスをデプロイします。
  • すべてのデフォルトルートをプロキシのオートスケーリンググループにポイントするよう変更します。
B. 新しいVPCをアウトバウンドトラフィック用に作成し、既存のTransit Gatewayを新しいVPCに接続します。
  • 新しいNATゲートウェイを設定します。
  • AWS Network Firewallをルールベースのフィルタリング用に使用します。
  • 各アベイラビリティゾーンでNetwork Firewallのエンドポイントを作成します。
  • すべてのデフォルトルートをNetwork Firewallエンドポイントにポイントするよう変更します。
C. 各AWSアカウントでルールベースのフィルタリング用にAWS Network Firewallを作成します。
  • すべてのデフォルトルートを各アカウント内のNetwork Firewallにポイントするよう変更します。
D. 各AWSアカウントでネットワーク最適化されたAmazon EC2インスタンスを実行するオートスケーリンググループを作成し、オープンソースのインターネットプロキシでルールベースのフィルタリングを実行します。
  • すべてのデフォルトルートをプロキシのオートスケーリンググループにポイントするよう変更します。
 

正解

この問題は、AWS Organizationsに属する複数のアカウント間で共有されるアウトバウンドトラフィックに対する中央集約型のルールベースのフィルタリングを、効率的かつスケーラブルに実現する方法を問うています。

解説

  • 要件のポイント:
      1. 中央管理でアウトバウンドトラフィックをフィルタリングする。
      1. *高いスループット(25Gbps/AZ)**に対応する。
      1. 単一のAWSリージョンでの設定。
  • 各選択肢の要約:
    • A: オープンソースプロキシを使用する案。設定が複雑で、スケーラビリティやメンテナンスの課題がある。
    • B: AWS Network Firewallを中央で利用し、スケーラブルかつ管理が容易な構成。
    • C: 各アカウントに個別のFirewallを作成。管理が煩雑になるため非効率。
    • D: 各アカウントでプロキシを使用。スケーラビリティと運用負荷が課題。

正解: B

  • AWS Network Firewallを使用することで、中央でルールを管理しつつ、高スループットに対応可能。
  • Transit GatewayとVPCを接続し、Network Firewallを通してトラフィックをルーティングすることで効率的かつ拡張性のある解決策を提供します。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
217-AWS SAP AWS 「理論・実践・一問道場」Amazon Kinesis Data Firehose215-AWS SAP AWS 「理論・実践・一問道場」共有サービスアカウントと中央管理アカウント
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%