type
status
date
slug
summary
tags
category
icon
password
书籍
理論
AWS Direct Connectを使用したセキュアで高可用性のネットワーク設計
AWS環境でデータをセキュアかつ効率的に管理・アクセスするには、以下の知識が役立ちます:
1. AWS Direct Connect (DX)
- 概要: お客様のオンプレミス環境とAWSを専用線で接続するサービス。
- 利点:
- パブリックインターネットを通過せず、セキュアで低レイテンシーの接続を提供。
- 帯域幅コストを削減可能(大容量データ転送に最適)。
2. Direct Connect Gateway
- 概要: 複数のAWSリージョンのVPCに接続できる中継ゲートウェイ。
- 利点:
- 各リージョンへの直接接続が不要で、コストを大幅に削減。
- 複数リージョンにまたがるトラフィックを簡単に管理可能。
3. 高可用性設計
- プラクティス:
- Direct Connect接続を2本(アクティブ/スタンバイ)用意することで冗長性を確保。
- AWSが提供する他のネットワークサービス(例: Transit Gateway)と連携可能。
4. リージョン間接続の選択肢
- Direct Connect Gateway: 最適解。高スケーラビリティかつ運用負担が少ない。
- リージョン間VPCピアリング: 小規模ネットワークに適しているが、大規模環境には不向き。
結論
Direct ConnectとDirect Connect Gatewayを組み合わせることで、セキュリティ、コスト効率、高可用性をすべて満たすAWSネットワーク設計が可能です。
実践
略
一問道場
質問 #428
業界規制に従い、ソリューションアーキテクトは会社の重要なデータを複数のAWSリージョンに保存するソリューションを設計する必要があります。データは本社があるアメリカを含むリージョンに保存されます。また、AWSに保存されたデータへのアクセスを会社のグローバルWANネットワーク経由で提供する必要があります。セキュリティチームからは、このデータにアクセスするトラフィックがパブリックインターネットを通過しないようにするよう求められています。
ソリューションアーキテクトは、要件を満たしつつ費用対効果が高く、高可用性を備えたソリューションをどのように設計すればよいでしょうか?
A. 本社から使用するすべてのAWSリージョンに対してAWS Direct Connect接続を確立します。会社のWANを使ってトラフィックを本社経由で各Direct Connect接続に送信し、データにアクセスします。
B. 本社から1つのAWSリージョンにAWS Direct Connect接続を2本確立します。会社のWANを使ってトラフィックをDirect Connect経由で送信します。他のAWSリージョンのデータには、リージョン間VPCピアリングを利用してアクセスします。
C. 本社から1つのAWSリージョンにAWS Direct Connect接続を2本確立します。会社のWANを使ってトラフィックをDirect Connect経由で送信します。他のAWSリージョンのデータには、AWSトランジットVPCソリューションを利用してアクセスします。
D. 本社から1つのAWSリージョンにAWS Direct Connect接続を2本確立します。会社のWANを使ってトラフィックをDirect Connect経由で送信します。他のAWSリージョンのデータには、Direct Connect Gatewayを利用してアクセスします。
解説
この問題では、以下の要件を満たすソリューションを設計する必要があります:
- データの保存: データは複数のAWSリージョン(アメリカを含む)に保存される。
- セキュリティ: データアクセスのトラフィックがパブリックインターネットを通過しない。
- コスト効率: 費用対効果が高いソリューションであること。
- 高可用性: ソリューションは高可用性を確保する必要がある。
各選択肢の解説
A. AWS Direct Connect接続をすべてのAWSリージョンに確立
- 本社から全AWSリージョンに個別のDirect Connect接続を確立する方法です。
- 長所: 全リージョンに専用接続があるため、トラフィックが完全にセキュアです。
- 短所: 各リージョンにDirect Connect接続を確立するコストが非常に高くなる。現実的ではありません。
- 結論: コスト効率の要件を満たさないため、不適切。
B. Direct Connectを1リージョンに確立 + リージョン間VPCピアリング
- 本社から1つのAWSリージョンにDirect Connect接続を2本設置し、そこからリージョン間VPCピアリングで他リージョンにアクセスする方法です。
- 長所: コスト効率はAより良い。Direct Connectを1リージョンに絞ることでコストを削減可能。
- 短所: リージョン間VPCピアリングはAWSリージョン間のトラフィックにコストがかかり、スケールしにくい。また、ピアリングはフルメッシュの設定が必要で管理が複雑になる可能性がある。
- 結論: コスト効率や運用の観点から最適とは言えない。
C. Direct Connectを1リージョンに確立 + AWSトランジットVPC
- 本社から1つのAWSリージョンにDirect Connect接続を2本設置し、AWSトランジットVPCソリューションを利用して他リージョンにアクセスする方法です。
- 長所: トランジットVPCを使用することで他リージョンへの接続を効率化できる。
- 短所: AWSトランジットVPCソリューションは既に非推奨となり、AWS Transit Gatewayなどの最新のサービスが推奨されている。非推奨の技術を使うのはリスクが高い。
- 結論: 現在のAWSのベストプラクティスに適合しないため不適切。
D. Direct Connectを1リージョンに確立 + Direct Connect Gateway
- 本社から1つのAWSリージョンにDirect Connect接続を2本設置し、Direct Connect Gatewayを使用して他リージョンのデータにアクセスする方法です。
- 長所: Direct Connect Gatewayは複数のAWSリージョンにまたがるVPC接続を効率的に管理でき、スケーラブルかつコスト効率が高い。また、トラフィックはDirect Connect経由で送信され、パブリックインターネットを通過しない。
- 短所: 特になし。この方法は現在のAWSベストプラクティスに適合している。
- 結論: 高可用性、セキュリティ、コスト効率すべての要件を満たすため最適解。
正解
D. AWS Direct Connect Gateway を使用
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/17ad7ae8-88e2-80a7-9f0b-c98fe3bde9ce
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
