522-AWS SAP AWS 「理論・実践・一問道場」明確なアクセス制御リージョンVPC

type

status

date

slug

summary

理論

1. VPCピアリング接続:

VPCピアリング接続は、異なるVPC間でプライベートIPアドレスを使って通信を可能にする方法です。これにより、VPC内のリソースが他のVPCのリソースにアクセスできます。

単一リージョンまたはクロスリージョンで使用でき、接続されたVPC間での通信は、インターネットを介さずに行われるため、セキュリティ面での利点があります。

2. VPCピアリング接続の制限:

一度に2つのVPC間のみ接続可能です。複数のVPCを接続する場合、各VPC間に個別のピアリング接続を作成する必要があります。

ルートテーブルの設定が重要です。VPCピアリング接続を作成した後、各VPCのルートテーブルにピアリング接続を経由するルートを追加する必要があります。

3. トラフィックのルーティング:

ルートテーブルは、VPC内でトラフィックをどこに送るかを決定する設定です。VPC間で通信する場合、正しいルートを設定しないと、通信が失敗します。

ピアリング接続を使う場合の注意: VPC間の通信を明示的に許可するため、両方のVPCのルートテーブルで適切な設定が必要です。

4. AWSトランジットゲートウェイ:

トランジットゲートウェイは、複数のVPCやオンプレミスのネットワークを接続するための中央集約型のネットワークサービスです。これにより、VPC間のトラフィックを簡単に管理できますが、ピアリング接続と比べてコストが高く、設定も複雑になることがあります。

5. VPCピアリング vs トランジットゲートウェイ:

VPCピアリング接続は、少数のVPCをシンプルに接続するのに適しています。

トランジットゲートウェイは、複数のVPCやオンプレミス環境と接続する場合に効果的ですが、コストと管理の観点でより複雑になります。

ポイント:

少数のVPC間で通信が必要な場合は、VPCピアリング接続がシンプルでコスト効果が高い。

複数のVPC間で広範囲な接続が求められる場合、トランジットゲートウェイの方が適している場合がありますが、コスト面や複雑さに注意が必要です。

実践

略

一問道場

問題 #522

アメリカの企業（US企業）はヨーロッパの企業を買収しました。両企業はAWSクラウドを使用しています。US企業はマイクロサービスアーキテクチャを用いた新しいアプリケーションを開発しました。このアプリケーションは、us-east-2リージョンの5つのVPCにホストされています。アプリケーションは、eu-west-1リージョンの1つのVPCにあるリソースにアクセスできる必要があります。ただし、アプリケーションは他のVPCにはアクセスできないようにする必要があります。両リージョンのVPCはCIDR範囲が重複していません。すべてのアカウントはすでにAWS Organizations内で統合されています。

どのソリューションが最もコスト効率よくこれらの要件を満たしますか？

A. eu-west-1リージョンに1つのトランジットゲートウェイを作成します。us-east-2のVPCとeu-west-1のVPCをトランジットゲートウェイに接続します。トラフィックがトランジットゲートウェイを通るように、各VPCで必要なルートエントリを作成します。

B. 各リージョンに1つのトランジットゲートウェイを作成します。関与するサブネットを各リージョンのトランジットゲートウェイに接続します。トラフィックが各トランジットゲートウェイを通るように、関連するルートテーブルに必要なルートエントリを作成します。2つのトランジットゲートウェイをピアリングします。

C. すべてのVPC間でフルメッシュのVPCピアリング接続構成を作成します。トラフィックがVPCピアリング接続を通るように、各VPCで必要なルートエントリを作成します。

D. us-east-2の各VPCとeu-west-1のVPC間にVPCピアリング接続を1つずつ作成します。トラフィックがVPCピアリング接続を通るように、各VPCで必要なルートエントリを作成します。