247-AWS SAP AWS 「理論・実践・一問道場」ハブアンドスポーク

type

status

date

slug

summary

理論

ハブアンドスポークとは、中心拠点（ハブ）に貨物や人などを集約させ、そこから各拠点（スポーク）に分散させる輸送方式やネットワーク戦略です。自転車のハブとタイヤのスポークのように見えることからこの名前が付けられました。

実践

略

一問道場

質問 #247

トピック1

大企業は、数百のAWSアカウントに分散されたVPCでワークロードを実行しています。各VPCは、複数のアベイラビリティゾーンにまたがるパブリックサブネットとプライベートサブネットで構成されています。NATゲートウェイはパブリックサブネットに展開され、プライベートサブネットからインターネットへの外向き接続を可能にしています。

ソリューションアーキテクトは、ハブアンドスポーク設計に取り組んでいます。スポークVPCのすべてのプライベートサブネットは、エグレスVPCを通じてインターネットにトラフィックをルーティングする必要があります。ソリューションアーキテクトはすでに中央のAWSアカウントでエグレスVPCにNATゲートウェイを展開しています。

これらの要件を満たすために、ソリューションアーキテクトが取るべき追加のステップはどれですか？

A. エグレスVPCとスポークVPCの間にピアリング接続を作成し、インターネットへのアクセスを許可するために必要なルーティングを設定する。

B. トランジットゲートウェイを作成し、それを既存のAWSアカウントと共有する。既存のVPCをトランジットゲートウェイに接続し、インターネットへのアクセスを許可するために必要なルーティングを設定する。

C. 各アカウントにトランジットゲートウェイを作成し、NATゲートウェイをトランジットゲートウェイに接続し、インターネットへのアクセスを許可するために必要なルーティングを設定する。

D. エグレスVPCとスポークVPCの間にAWS PrivateLink接続を作成し、インターネットへのアクセスを許可するために必要なルーティングを設定

解説

この問題の解説です：

要件：

複数のスポークVPCからインターネットに接続するため、すべてのプライベートサブネットがエグレスVPCを経由してインターネットにアクセスする必要があります。

すでにエグレスVPCにNATゲートウェイが展開されています。

各選択肢の分析：

A. ピアリング接続を作成し、インターネットアクセスのためにルーティングを設定

問題点: ピアリング接続を使う場合、VPC間のトラフィックが直接ルーティングされることになるため、大規模なVPC設計では管理が複雑になります。また、ピアリング接続は1対1の接続に限られ、VPC間の管理が手動で行われるため、スケーラビリティが低くなります。大規模な環境ではあまり適切ではありません。

B. トランジットゲートウェイを作成し、AWSアカウントで共有し、VPCを接続

正解: トランジットゲートウェイ（TGW）は複数のVPCを接続し、集中管理されたルーティングを提供します。この方法はスケーラブルで、複数のVPC間でインターネット接続を効率的に管理できます。トランジットゲートウェイは、すべてのVPCが一元的にインターネットへのトラフィックをルーティングできるため、理想的な選択肢です。

C. 各アカウントにトランジットゲートウェイを作成し、NATゲートウェイを接続

問題点: 各アカウントに個別にトランジットゲートウェイを作成するのは管理が煩雑でコストがかかります。中央集権的なトランジットゲートウェイを使う方法が最適であるため、複数アカウントにトランジットゲートウェイを設定するのは効率的でなく、過剰な設定になります。

D. AWS PrivateLinkを使用して接続

問題点: AWS PrivateLinkは、サービス間のプライベートな接続を提供するため、主にサービスアクセス向けです。インターネットアクセスのためには適していません。また、PrivateLinkを使ってインターネット接続をルーティングするのは非効率的です。

結論：

最適な方法はBの「トランジットゲートウェイを作成し、VPCを接続する方法」です。トランジットゲートウェイを利用すれば、スケーラブルかつ効率的にインターネット接続を管理できます。