TxKxZxWx's blog

AWS SAA取得に向けて学習

AWS SAA取得に向けて 96日目 問題 ネットワークACL、プライベートIPアドレス、AZの障害

間違えた問題を復習

 

 

 

問題1:

すべてのインバウンドトラフィックを許可し、すべてのアウトバウンドトラフィックを拒否するように構成されたネットワークACLを持つVPCサブネットにインスタンスを起動しました。

インスタンスのセキュリティーグループは、任意のIPアドレスからSSHを許可し、すべてのアウトバウンドトラフィックを拒否するように設定されている。

このインスタンスSSHアクセスを許可する最適な方法は?

 

  1. セキュリティーグループおよびネットワークACLの両方でアウトバウンドトラフィックを許可するように変更する。
  2. 対応不要(任意のIPアドレスからSSHを使用したアクセスが可能)
  3. セキュリティグループのアウトバウンドトラフィックを許可するように変更する。
  4. ネットワークACLのアウトバウンドトラフィックを許可するように変更する。

 

 

解答:

4: ネットワークACLのアウトバウンドトラフィックを許可するように変更する。

 

 

解説:

「ネットワークACL

ネットワークアクセスコントロールリスト(ACL)は、1つ以上のサブネットのインバウンドトラフィックとアウトバウンドトラフィックを制御するファイアウォールとして動作する、VPC用のセキュリティのオプションレイヤー。

すべてのアウトバウンドトラフィックを拒否するように構成されたネットワークACLの設定をしているため、アウトバウンドトラフィックを許可するように変更することで、SSHへのアクセスを行うことが出来る。

したがって「ネットワークACLのアウトバウンドトラフィックを許可するように変更する。」が正解。

 

以下は間違い:

1.セキュリティーグループおよびネットワークACLの両方でアウトバウンドトラフィックを許可するように変更する。

→セキュリティーグループはステートフル、ネットワークACLはステートレスのため、ネットワークACLのみアウトバウンドトラフィックを許可すれば問題ない。

 

2.対応不要(任意のIPアドレスからSSHを使用したアクセスが可能)

→ネットワークACLのアウトバウンドトラフィックを拒否しているため、SSHへの接続には対応が必要。

 

3.セキュリティグループのアウトバウンドトラフィックを許可するように変更する。

→セキュリティグループはステートフルのため、任意のIPアドレスからSSHを許可している、つまりインバウンドトラフィックを許可しているため、不要。

 

 

 

 

 

問題2

 EC2インスタンスを起動し、各インスタンスに事前に定義されたプライベートIPアドレスを割り当てる方法は?

  1. 連続したElastic IPアドレスのグループをインスタンスに割り当てる。
  2. インスタンスをプレースメントグループに登録するときにプライベートIPアドレスを割り当てる。
  3. VPCインスタンスを作成するときにプライベートIPアドレスを割り当てる。
  4. カスタムのAMIの作成時にプライベートIPアドレスを割り当てる。

 

 

解答:

3: VPCインスタンスを作成するときにプライベートIPアドレスを割り当てる。

 

 

解説:

「プライベートIPアドレスを指定してEC2インスタンスを起動」

EC2インスタンス作成後は、プライベートIPアドレスを変更出来ない。

VPCインスタンスを作成する際にプライベートIPアドレスを割り当てる。

 

 

dev.classmethod.jp

 

 

問題3:

アプリケーションは、ALBの背後にあるEC2インスタンスで実行されている。

インスタンスは複数のAZにわたるAuto Scalingグループで実行されている。

予測可能なトラフィック負荷を処理するには、4つのインスタンスが必要。

これらの要件を満たす最もコスト効率の高い方法は?

  1. 2つのAZそれぞれに2つのインスタンスをデプロイする。
  2. 3つのAZそれぞれに1つのインスタンスをデプロイする。
  3. 2つのAZそれぞれに4つのインスタンスをデプロイする。
  4. 3つのAZそれぞれに2つのインスタンスをデプロイする。

 

 

解答:

4: 3つのAZそれぞれに2つのインスタンスをデプロイする。

 

 

解説:

「AZの障害」

3つのAZのそれぞれに2つのインスタンスをデプロイする。

これは、最低4つのインスタンスが必要になるため、1つのAZが失われた場合でも、4つのインスタンスが動作するため要件を満たす。

 

 

以下は間違い:

1:2つのAZそれぞれに2つのインスタンスをデプロイする。

2:3つのAZそれぞれに1つのインスタンスをデプロイする。

→1つのAZが失われた場合、インスタンスの数が4を下回るため間違い。

 

2つのAZそれぞれに4つのインスタンスをデプロイする。

→1つのAZが失われた場合、インスタンスの数が4を満たす。

一方、常に8つのインスタンスが動作しており、コスト効率が悪いため間違い。