【20問(061-080)】AWS Certified Advanced Networking - Specialty(ANS-C01)試験対策用問題

AWS認定「AWS Certified Advanced Networking - Specialty(ANS-C01)」の試験対策問題集です。本番形式の問題をこなすことで知識を深めるとともに、問題慣れすることで合格率を上げることができます。

問題061
ある会社では、オンプレミスのトラフィックを監視および検査するためにサードパーティのファイアウォールアプライアンスを使用しています。この会社は、AWS でも同じモデルを使用したいと考えています。この会社には、インターネットゲートウェイを備えた単一の VPC があります。この VPC には、Auto Scaling グループによって管理される Amazon EC2 インスタンスで実行される Web サーバーのフリートがあります。この会社のネットワークチームは、セキュリティチームと協力して、Web サーバーとの間で送受信されるすべてのパケットのインライン検査を確立する必要があります。このソリューションは、仮想ファイアウォールアプライアンスのフリートの拡張に合わせて拡張する必要があります。
このソリューションを実装するために、ネットワークチームはどの組み合わせの手順を実行する必要がありますか? (3 つ選択してください。)

A. 新しい VPC を作成し、ファイアウォールアプライアンスのフリートをデプロイします。ゲートウェイロードバランサーを作成します。ファイアウォールアプライアンスをターゲットとして追加します。
B. ファイアウォール アプライアンスで使用するセキュリティ グループを作成し、ポート 443 を許可します。Galeway ロード バランサーがヘルス チェックを実行するためのポートを許可します。
C. ファイアウォール アプライアンスで使用するセキュリティ グループを作成し、ポート 6081 を許可します。ゲートウェイ ロード バランサーがヘルス チェックを実行するためのポートを許可します。
D. 既存の VPC にファイアウォールアプライアンス群をデプロイします。ゲートウェイロードバランサーを作成します。ファイアウォールアプライアンスをターゲットとして追加します。
E. インターネット ゲートウェイ ルート テーブルと Web サーバー ルート テーブルを更新して、インターネットとの間のトラフィックをゲートウェイ ロード バランサーの VPC エンドポイント ID に送信します。ゲートウェイ ロード バランサー エンドポイントに関連付けられているサブネット ルート テーブルを更新して、インターネット トラフィックをインターネット ゲートウェイに送信します。
F. ウェブサーバー VPC 内に新しいルートテーブルを作成します。インターネットゲートウェイとの新しいエッジ関連付けを作成します。インターネットゲートウェイルートテーブルとウェブサーバールートテーブルを更新して、インターネットとの間のトラフィックをゲートウェイロードバランサーの VPC エンドポイント ID に送信します。ゲートウェイロードバランサーエンドポイントに関連付けられているサブネットルートテーブルを更新して、インターネットトラフィックをインターネットゲートウェイに送信します。

正解：A、C、E

A：新しい VPC を作成することで、ファイアウォールアプライアンスのフリートを独立して管理できます。ゲートウェイロードバランサーを使用することで、ファイアウォールアプライアンスのスケーラビリティと可用性を確保できます。
C：ポート 6081 はゲートウェイロードバランサーがファイアウォールアプライアンスのヘルスチェックを実行するために必要です。適切なセキュリティグループ設定により、通信がスムーズに行われます。
E：ルートテーブルを更新することで、インターネットとの間のトラフィックがゲートウェイロードバランサーを経由するように設定できます。これにより、すべてのトラフィックがファイアウォールアプライアンスを通過し、インライン検査が可能になります。

不正解の理由
B：ポート 443 は一般的に HTTPS トラフィックに使用されますが、ゲートウェイロードバランサーのヘルスチェックには適していません。ポート 6081 が正しい設定です。
D：既存の VPC にファイアウォールアプライアンスをデプロイすると、ネットワーク構成が複雑になり、管理が難しくなります。新しい VPC を作成する方が適切です。
F：新しいルートテーブルを作成する必要はありません。既存のルートテーブルを更新するだけで十分です。