type
status
date
slug
summary
tags
category
icon
password
理論
1. BGP伝播とVPCピアリング
- BGP (Border Gateway Protocol) は、主に VPN接続 や 複数のネットワーク間でのルート情報の交換 に使われます。例えば、AWS の Site-to-Site VPN で利用されます。
- VPCピアリング は、異なるVPC同士を直接接続する方法です。しかし、VPCピアリングでは BGP伝播 は使われません。ルートの追加は手動で行う必要があります。
VPCピアリングとは?
- VPCピアリング は、異なるVPC間で 直接通信 を可能にする接続方法です。
- これにより、例えば 異なるAWSアカウント や 異なるAWSリージョン にあるVPC同士が、インターネットを介さずに、安全に通信できるようになります。
制限
- VPCピアリングは 一対一の接続 です。つまり、ピアリングしたVPC同士だけが直接通信できます。
- たくさんのVPCを接続したい場合、それぞれのVPC間で個別にピアリングを設定する必要があります。
- トランジットゲートウェイ を使うことで、複数のVPCを効率的に接続することができますが、ピアリングはあくまで1対1の接続です。
Site-to-Site VPN
実践
一問道場
問題 #77
Example Corp. はオンプレミスのデータセンターと、Example Corp. の AWS アカウント内にある VPC A を持っています。オンプレミスのネットワークは、AWS Site-to-Site VPN を介して VPC A と接続されています。オンプレミスのサーバーは VPC A に正常にアクセスできます。Example Corp. は AnyCompany を買収し、その会社の VPC B を持っています。これらのネットワーク間で IP アドレスの重複はありません。Example Corp. は VPC A と VPC B をピアリングしました。Example Corp. はオンプレミスのサーバーから VPC B に接続したいと考えています。Example Corp. はネットワーク ACL とセキュリティグループを適切に設定しています。最小限の運用努力でこの要件を満たす解決策はどれですか?
A. トランジットゲートウェイを作成し、Site-to-Site VPN の VPC A と VPC B をトランジットゲートウェイに接続します。トランジットゲートウェイのルートテーブルを更新して、すべてのネットワーク間の IP 範囲のルートを追加します。
B. トランジットゲートウェイを作成し、オンプレミスネットワークと VPC B の間に Site-to-Site VPN 接続を作成して、その VPN 接続をトランジットゲートウェイに接続します。ルートを追加してトラフィックをピアリングされた VPC に向け、認証ルールを追加してクライアントに VPC A と VPC B へのアクセスを許可します。
C. Site-to-Site VPN と両方の VPC のルートテーブルを更新し、すべてのネットワークのために BGP 伝播を構成します。BGP 伝播が完了するまで最大 5 分待ちます。
D. Site-to-Site VPN の仮想プライベートゲートウェイの定義を変更して、VPC A と VPC B を含めます。仮想プライベートゲートウェイの 2 つのルーターを VPC 間で分割します。
解説
問題の背景
- オンプレミスにあるデータセンターとAWSのVPC Aを、AWS Site-to-Site VPNで接続しています。
- 新たに、AnyCompanyがVPC Bを持っていて、Example CorpはこのVPC AとVPC BをVPCピアリングで接続しました。
- オンプレミスからVPC Bへのアクセスを実現したいという要求があります。
- 要件は、できるだけ少ない運用作業で接続を実現する方法を選ぶことです。
解説
この状況を解決するための方法は、どの方法が最も効率的で運用負担が少ないかを問う問題です。
選択肢を確認
- A. トランジットゲートウェイを作成し、Site-to-Site VPN VPC AとVPC Bを接続してルートテーブルを更新
- トランジットゲートウェイは複数のVPCやVPN接続を効率的に管理するためのサービスです。
- VPC A、VPC B、オンプレミスのVPNをトランジットゲートウェイに接続し、トラフィックを適切にルーティングするためにルートテーブルを設定する方法です。この方法は、複数のネットワーク間を効率的に接続するため、運用負担を軽減し、スケーラビリティを提供します。
最適な解決策として、最小の運用作業で必要な接続を提供できます。
- B. トランジットゲートウェイを作成し、Site-to-Site VPN接続をVPC Bに接続し、ルートを追加してアクセスを許可
- この方法では、VPC Bとの接続を新たにVPN接続を通してトランジットゲートウェイ経由で行います。
- ルートを追加し、クライアントが両VPCにアクセスできるようにしますが、この方法はVPC間の接続を効率的に管理する点で最適とは言えません。
- C. すべてのネットワークでBGP(Border Gateway Protocol)伝播を設定してルートを自動的に調整
- BGPはダイナミックルーティングのプロトコルで、通常は大規模なネットワークで使用されます。
- この方法では、VPN接続とVPC間でルートの調整を行うことでネットワーク間の接続を最適化できますが、運用面では少し手間がかかります。
- D. Site-to-Site VPNの仮想プライベートゲートウェイを変更してVPC AとVPC Bを接続
- この方法では、仮想プライベートゲートウェイの設定を変更してVPC間接続を行いますが、通常、トランジットゲートウェイを使用する方が効率的でスケーラブルです。
- この方法は、VPC AとVPC Bのピアリングの後にさらにVPN設定を変更する必要があり、運用負担が増えます。
最適な選択肢はA
- A. トランジットゲートウェイを作成し、Site-to-Site VPN VPC AとVPC Bを接続して、ルートテーブルを更新する方法が最も運用負担が少なく、スケーラブルで効率的です。
- トランジットゲートウェイは、複数のVPCとオンプレミス接続を効率的に管理でき、今後の拡張にも対応できます。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16bd7ae8-88e2-8045-9129-d36faacaecb5
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
