375-AWS SAP AWS 「理論・実践・一問道場」仮想プライベートゲートウェイ

type

status

date

slug

summary

理論

AWS Elastic Disaster Recovery を活用した災害対策の基礎知識

AWS Elastic Disaster Recovery（AWS DRS）は、オンプレミスまたは他のクラウド環境で稼働しているアプリケーションをAWSにレプリケーションすることで、災害対策やバックアップソリューションを提供します。以下に、関連する重要な知識を簡潔にまとめます。

1. AWS DRS の主な特徴

継続的レプリケーション:

ソースサーバーの変更をリアルタイムでAWSに転送。
最小のダウンタイムで障害復旧を実現。

テスト機能:

ディザスタリカバリ計画を実行する前に、安全にテスト環境を構築。

自動化:

リカバリ後のサーバー設定やスケーリングを自動化。

2. プライベート接続の活用

災害対策において、セキュリティと信頼性を確保するため、以下の接続方法を利用します：

Direct Connect (DX)

特徴:

AWSとオンプレミス間の専用の物理接続。
トラフィックがパブリックインターネットを通過せず、セキュリティが向上。
高帯域幅で、大量のデータを効率的に転送可能。

適用シナリオ:

高いパフォーマンスと信頼性が求められる環境。
レプリケーショントラフィックを確実に管理する必要がある場合。

Site-to-Site VPN

特徴:

オンプレミスネットワークとAWS VPC間をVPNで接続。
低コストだが、帯域幅に制限がある。

適用シナリオ:

トラフィック量が少ない場合やコスト優先の場合。

3. ネットワーク構成

プライベートサブネットと仮想プライベートゲートウェイ

プライベートサブネット:

インターネットに直接公開しないリソースを配置。
セキュリティを確保しつつ、内部でのデータ処理を実施。

仮想プライベートゲートウェイ:

Direct ConnectまたはVPNを通じて、オンプレミスとAWS間のプライベート接続を確立。

レプリケーションにプライベートIPアドレスを使用

パブリックインターネットを回避することで、データ転送のセキュリティを強化。

4. スケーリングとリカバリ設定の自動化

AWS DRSでは、ターゲットサーバーの自動スケーリングやリカバリプロセスを設定可能。

データ転送と同時に、ターゲットサーバーの構成（OS、ストレージ、IPアドレスなど）をプライベート環境に最適化。

5. ポイントまとめ

Direct Connect を利用して信頼性の高い接続を構築。

プライベートサブネットとプライベートIPアドレスを使用してセキュリティを確保。

レプリケーションとスケーリングを自動化することで効率的な災害対策を実現。

このような構成は、データのセキュリティを保ちながら、災害時の迅速な復旧を可能にします。

実践

略

一問道場

問題 #375

ある会社がオンプレミスでイントラネットアプリケーションを運用しています。この会社はアプリケーションのクラウドバックアップを設定したいと考えています。このソリューションにはAWS Elastic Disaster Recoveryを選択しました。

以下の要件があります：

レプリケーショントラフィックがパブリックインターネットを通過しないこと。

アプリケーションがインターネットからアクセス可能でないこと。

このソリューションが利用可能なネットワーク帯域幅を全て消費しないこと。他のアプリケーションも帯域幅を必要とするためです。

これらの要件を満たす手順を選択してください。（3つ選択してください）

選択肢：

A. 少なくとも2つのプライベートサブネット、2つのNATゲートウェイ、仮想プライベートゲートウェイを持つVPCを作成します。

B. 少なくとも2つのパブリックサブネット、仮想プライベートゲートウェイ、インターネットゲートウェイを持つVPCを作成します。

C. オンプレミスネットワークとターゲットAWSネットワークの間にAWS Site-to-Site VPN接続を作成します。

D. オンプレミスネットワークとターゲットAWSネットワークの間にAWS Direct Connect接続とDirect Connectゲートウェイを作成します。

E. レプリケーションサーバーの設定中に、データレプリケーションにプライベートIPアドレスを使用するオプションを選択します。

F. ターゲットサーバーの起動設定中に、リカバリーインスタンスのプライベートIPアドレスがソースサーバーのプライベートIPアドレスと一致するようにするオプションを選択します。

解説

正解の組み合わせ：A, D, E（ADE）

解説

AWS Elastic Disaster Recoveryを使用して、オンプレミスアプリケーションのセキュアで効率的なクラウドバックアップを設定する要件を満たす手順を以下に説明します。

正解選択肢の詳細

A. 少なくとも2つのプライベートサブネット、2つのNATゲートウェイ、仮想プライベートゲートウェイを持つVPCを作成します。

理由: プライベートサブネットを使用することで、AWS内のリソースがインターネットから隔離されます。仮想プライベートゲートウェイを使うことで、オンプレミスとのプライベート接続（VPNやDirect Connect）を構成できます。

重要性: アプリケーションがインターネットに公開されない要件を満たします。

D. オンプレミスネットワークとターゲットAWSネットワークの間にAWS Direct Connect接続とDirect Connectゲートウェイを作成します。

理由: Direct Connectは、オンプレミスとAWS間の専用の物理接続を提供し、信頼性が高く、高帯域幅でレプリケーショントラフィックを処理できます。また、トラフィックがパブリックインターネットを通過しません。

重要性: 高い信頼性とセキュリティが求められるバックアップ要件に対応します。

E. レプリケーションサーバーの設定中に、データレプリケーションにプライベートIPアドレスを使用するオプションを選択します。

理由: レプリケーショントラフィックにプライベートIPアドレスを使用することで、インターネット経由のデータ転送を回避できます。

重要性: データのセキュアな転送を実現します。

不正解の選択肢

B. 少なくとも2つのパブリックサブネット、仮想プライベートゲートウェイ、インターネットゲートウェイを持つVPCを作成します。

理由: パブリックサブネットとインターネットゲートウェイを利用すると、リソースがインターネットに公開されるリスクがあります。これは、アプリケーションがインターネットにアクセスできないようにする要件を満たしません。

C. オンプレミスネットワークとターゲットAWSネットワークの間にAWS Site-to-Site VPN接続を作成します。

理由: Site-to-Site VPNは低コストですが、トラフィックが大量になる場合にパフォーマンスが制限されることがあります。この問題では、Direct Connectの使用が求められています。

F. ターゲットサーバーの起動設定中に、リカバリーインスタンスのプライベートIPアドレスがソースサーバーのプライベートIPアドレスと一致するようにするオプションを選択します。

理由: この設定は便利ですが、問題文で要求されている内容には直接関係しません。

AWS Elastic Disaster Recovery（AWS DRS）の設定で、ターゲットサーバー（リカバリーインスタンス）のネットワーク構成を行う際に、「リカバリーインスタンスのプライベートIPアドレスをソースサーバー（元のオンプレミスまたは他の環境のサーバー）のプライベートIPアドレスと一致させる」というオプションを選択することを指しています。

背景と目的

プライベートIPアドレスの一致の意義:

リカバリーインスタンスが、元のソースサーバーと同じプライベートIPアドレスを持つことで、アプリケーションやネットワーク構成に変更を加える必要がなくなります。

例えば、オンプレミスのサーバーが停止し、AWS上のリカバリーインスタンスに切り替えた場合でも、アプリケーションが従来通り機能することを保証できます。

主な利点:

ネットワークの一貫性: ネットワーク設定や接続情報がそのまま維持される。

復旧プロセスの簡略化: 復旧時にIPアドレス変更に伴う追加作業を回避。

依存関係の維持: 他のシステムが特定のIPアドレスを期待している場合でも問題が発生しない。

使用例

例えば、オンプレミス環境で192.168.1.100というプライベートIPを持つサーバーをAWS上に復旧する際、そのリカバリーインスタンスに同じ192.168.1.100のIPアドレスを割り当てる設定を選択します。これにより、他のシステムがそのIPアドレスに依存している場合でも、何の変更も必要なく動作します。