type
status
date
slug
summary
tags
category
icon
password
书籍
理論
- 高可用性と耐障害性:
- アベイラビリティゾーンの分散:リソースを複数のアベイラビリティゾーンに配置することで、単一障害点を避け、システムの耐障害性を高める。
- フェイルオーバー:障害発生時に自動的に別のインスタンスに切り替わる仕組みが必要。
- ロードバランサー:
- ゲートウェイロードバランサー(GLB):ファイアウォールアプライアンスやトラフィック検査を行うインスタンスに最適。トラフィックを複数のアプライアンスに分散し、フェイルオーバーを自動化。
- ネットワークロードバランサー(NLB):レイヤ4でトラフィックを分散させるが、ファイアウォールアプライアンスに適切ではない。
- VPC ルートテーブルとエンドポイント:
- ゲートウェイロードバランサーエンドポイント:VPC間でトラフィックを効率的にルーティングし、ファイアウォールアプライアンスに通す。
これらを活用し、信頼性の高い、スケーラブルなファイアウォール構成を実現できます。
実践
略
一問道場
質問 #313
ある会社が、AWS Marketplace から第三者のファイアウォールアプライアンスソリューションをデプロイして、会社の AWS 環境から外部インターネットへのトラフィックを監視し、保護したいと考えています。このアプライアンスを共有サービスの VPC にデプロイし、すべてのインターネット向けトラフィックをそのアプライアンスを経由させる必要があります。
ソリューションアーキテクトは、単一の AWS リージョン内でファイアウォールアプライアンス間の信頼性を優先し、フェイルオーバー時間を最小限に抑えるデプロイ方法を推奨する必要があります。会社は共有サービス VPC から他の VPC へのルーティングを設定しています。
ソリューションアーキテクトがこの要件を満たすために推奨する手順はどれですか?(3つ選んでください。)
A. 共有サービス VPC に2つのファイアウォールアプライアンスをデプロイし、それぞれ別々のアベイラビリティゾーンに配置する。
B. 共有サービス VPC に新しいネットワークロードバランサー(NLB)を作成し、新しいターゲットグループを作成して新しいネットワークロードバランサーにアタッチします。各ファイアウォールアプライアンスインスタンスをターゲットグループに追加する。
C. 共有サービス VPC に新しいゲートウェイロードバランサー(GLB)を作成し、新しいターゲットグループを作成して新しいゲートウェイロードバランサーにアタッチします。各ファイアウォールアプライアンスインスタンスをターゲットグループに追加する。
D. VPC インターフェイスエンドポイントを作成し、共有サービス VPC のルートテーブルにルートを追加します。新しいエンドポイントを、他の VPC から共有サービス VPC に入るトラフィックの次のホップとして指定します。
E. 共有サービス VPC に2つのファイアウォールアプライアンスをデプロイし、同じアベイラビリティゾーンに配置する。
F. VPC ゲートウェイロードバランサーエンドポイントを作成し、共有サービス VPC のルートテーブルにルートを追加します。新しいエンドポイントを、他の VPC から共有サービス VPC に入るトラフィックの次のホップとして指定します。
解説
この問題は、AWS環境でのファイアウォールアプライアンスのデプロイとトラフィックのルーティングに関するものです。特に、信頼性を優先し、フェイルオーバー時間を最小限に抑えつつ、全トラフィックがファイアウォールアプライアンスを通過するように設計されています。
解説のポイント:
A. 共有サービス VPC に2つのファイアウォールアプライアンスをデプロイし、それぞれ別々のアベイラビリティゾーンに配置する。
- 正解の一部です。ファイアウォールアプライアンスを複数のアベイラビリティゾーンに分散配置することで、アベイラビリティゾーンの障害に対する耐障害性が高まります。このアプローチにより、高可用性を確保し、トラフィックが常に利用可能なアプライアンスを通過するようにできます。
B. 共有サービス VPC に新しいネットワークロードバランサー(NLB)を作成し、新しいターゲットグループを作成して新しいネットワークロードバランサーにアタッチします。各ファイアウォールアプライアンスインスタンスをターゲットグループに追加する。
- 不正解です。ネットワークロードバランサー(NLB)はレイヤ4でトラフィックを処理しますが、ファイアウォールアプライアンスのようなインスタンスに対応するには、ターゲットグループの使い方としては不完全です。NLBでは、アプライアンス間のフェイルオーバーやスケーリングの要件に適切に対応できません。
C. 共有サービス VPC に新しいゲートウェイロードバランサー(GLB)を作成し、新しいターゲットグループを作成して新しいゲートウェイロードバランサーにアタッチします。各ファイアウォールアプライアンスインスタンスをターゲットグループに追加する。
- 正解の一部です。ゲートウェイロードバランサー(GLB)は、ファイアウォールアプライアンスのようなトラフィック検査型のインスタンスに最適です。GLBは、複数のインスタンスにトラフィックを分散させ、異常時には自動的に他のインスタンスにフェイルオーバーします。この方法により、高可用性と自動フェイルオーバーが実現します。
D. VPC インターフェイスエンドポイントを作成し、共有サービス VPC のルートテーブルにルートを追加します。新しいエンドポイントを、他の VPC から共有サービス VPC に入るトラフィックの次のホップとして指定します。
- 不正解です。インターフェイスエンドポイントは通常、サービス間通信(例:S3、DynamoDBなど)を確立するために使用されますが、ファイアウォールアプライアンスにおけるトラフィックのルーティングには適していません。
E. 共有サービス VPC に2つのファイアウォールアプライアンスをデプロイし、同じアベイラビリティゾーンに配置する。
- 不正解です。アベイラビリティゾーンを分けないと、片方のアベイラビリティゾーンに障害が発生した場合、全体の可用性が損なわれるリスクが高くなります。
F. VPC ゲートウェイロードバランサーエンドポイントを作成し、共有サービス VPC のルートテーブルにルートを追加します。新しいエンドポイントを、他の VPC から共有サービス VPC に入るトラフィックの次のホップとして指定します。
- 正解の一部です。ゲートウェイロードバランサーエンドポイント(GLBエンドポイント)を使用すると、外部からのトラフィックを最適にルーティングし、ファイアウォールアプライアンスに処理させることができます。この方法も高可用性とフェイルオーバーを確保します。
結論:
信頼性を重視し、フェイルオーバーを最小限に抑えるために、A, C, Fの組み合わせが最適です。これにより、高可用性のアプライアンス構成と効率的なトラフィック管理が実現できます。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/176d7ae8-88e2-80cd-b795-f3545bf1084e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
