🐈

Advanced Network Specialty Practices Part1

2023/12/24に公開

Advanced Network Specialtyに関する練習問題です。
※更新中

QUESTION NO: 1

Q1

ネットワーク エンジニアは、可用性の高いアーキテクチャで Linux ベースのネットワーク
アプライアンスを実行するために、Amazon EC2 Auto Scaling
グループをセットアップする必要があります。ネットワーク エンジニアは、Auto Scaling
グループの新しい起動テンプレートを構成しています。
ネットワーク アプライアンスには、プライマリ ネットワーク
インターフェイスに加えて、インターネット経由でホストとトラフィックを交換するために
アプリケーションによって排他的に使用される 2 番目のネットワーク
インターフェイスが必要です。同社は、2 番目のネットワーク
インターフェイスのパブリック IP アドレスとして使用する必要がある Elastic IP
アドレスを含む、Bring Your Own IP (BYOIP) プールを設定しました。
ネットワーク エンジニアは必要なアーキテクチャをどのように実装すればよいでしょうか?

ポイント

  • cloud-init Scriptを実行して2番目のENIを割り当てる
  • BYOIPプールから EIPを関連づける
  • ユーザー データ オプションを使用して、2 番目のネットワークを割り当てる Cloud-init スクリプトを実行

選択肢

A. 起動テンプレートで 2 つのネットワーク インターフェイスを構成します。プライベートサブネットの 1 つに作成されるプライマリ ネットワーク インターフェイスを定義します。2番目のネットワーク インターフェイスには、パブリック サブネットの 1つを選択します。パブリック IP アドレスのソースとして BYOIP プール ID を選択します。

B. 起動テンプレートのプライベート サブネットにプライマリ ネットワーク
インターフェイスを構成します。ユーザー データ オプションを使用して、ブート後に
Cloud-init スクリプトを実行し、パブリック IPアドレスの自動割り当てが有効になっているサブネットから 2 番目のネットワークインターフェイスを接続します。

C. インスタンスの起動時に Auto Scaling グループのライフサイクル フックとして実行するAWS Lambda 関数を作成します。Lambda 関数で、ネットワーク インターフェイスを AWSGlobal Accelerator エンドポイントに割り当てます。

D. Auto Scaling グループの作成中に、プライマリ ネットワークインターフェイスのサブネットを選択します。ユーザーデータオプションを使用して、cloud-init スクリプトを実行して 2 番目のネットワークインターフェイスを割り当て、BYOIP プールから Elastic IP アドレスを関連付けます。

解答

D

cloud-init

  • クラウドインスタンスの初期化を行うためのツールで、主にLinuxベースの仮想マシンやクラウドインスタンスで利用される。cloud-initは起動時に様々な設定やタスクを実行し、インスタンスを特定の状態にカスタマイズすることができる。

QUESTION NO: 2

Q2

会社の開発チームが新製品レコメンデーション Web サービスを作成しました。Web
サービスは、CIDR ブロック 192.168.224.0/19 を持つ VPC でホストされています。同社は
Web サービスを Amazon EC2 インスタンスにデプロイし、Auto Scaling グループを
Network Load Balancer (NLB) のターゲットとして構成しました。
同社は、製品の推奨を受け取ったユーザーが、製品の推奨を受け取らないユーザーよりも多
くのお金を費やすかどうかを判断するテストを実行したいと考えています。同社は 5日後に大規模な販売イベントを開催するため、それまでに既存の運用環境をレコメンデーション エンジンと統合する必要があります。既存の本番環境は、CIDR ブロック 192.168.128.0/17 を持つ VPC でホストされています。
ネットワークエンジニアは、既存の環境への混乱を最小限に抑えるソリューションを設計してシステムを
統合する必要があります。
これらの要件を満たすソリューションはどれですか?

ポイント

  • 新製品のWebサービス用のEC2はVPC(CIDR ブロック 192.168.224.0/19)でホストされていて、NLBのターゲットとして構成
  • 既存の運用環境はVPC(CIDR ブロック 192.168.128.0/17)でホストされている
  • システムを統合したい

選択肢

A. Web サービス VPC と既存の実稼働 VPC の間に VPCピアリング接続を作成します。適切なルート テーブルにルーティングルールを追加して、データが既存の運用環境から 192.168.224.0/19に流れること、およびデータが Web サービス環境から 192.168.128.0/17に流れることを許可します。関連するセキュリティ グループと ACLを設定して、システムが通信できるようにします。

B. Web サービスの開発チームに、Web サービスを本番 VPCに再デプロイし、そこでシステムを統合するように依頼します。

C. VPC エンドポイント サービスを作成します。VPC エンドポイント サービスを Webサービスの NLB に関連付けます。既存の本番 VPC に Web サービスのインターフェイスVPC エンドポイントを作成します。

D. 既存の運用環境にトランジットゲートウェイを作成します。本番 VPC と Web サービスVPC へのアタッチメントを作成します。192.168.224.0/19 および 192.168.128.0/17
のトランジット ゲートウェイと VPC ルート テーブルに適切なルーティングルールを設定します。関連するセキュリティ グループと ACLを設定して、システムが通信できるようにします。

解答

C


QUESTION NO: 3

Q3

保険会社は、オンプレミスのデータセンターから AWSクラウドへのワークロードの移行を計画しています。会社はエンドツーエンドのドメイン名解決を必要としています。AWS と既存のオンプレミス環境の間で双方向の DNS
解決を確立する必要があります。ワークロードは複数の VPCに移行されます。ワークロードは相互に依存関係があるため、すべてのワークロードが同時に移行されるわけではありません。
これらの要件を満たすソリューションはどれですか?

ポイント

  • OPからAWSへのワークロードの移行
  • 双方向のEndtoEndのドメイン名解決をしたい

選択肢

A. アプリケーション VPCごとにプライベートホストゾーンを構成し、必要なレコードを作成します。出力 VPC に
Amazon Route 53リゾルバーのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。R
oute 53 リゾルバー ルールを定義して、オンプレミス ドメインのリクエストをオンプレミスDNS リゾルバーに転送します。アプリケーション VPC のプライベートホストゾーンを出力VPC に関連付け、AWS Resource Access Manager を使用して Route 53リゾルバールールをアプリケーションアカウントと共有します。クラウド ドメインを Route53 受信エンドポイントに転送するようにオンプレミス DNS サーバーを構成します。

B. アプリケーション VPCごとにパブリックホストゾーンを構成し、必要なレコードを作成します。出力 VPC に
Amazon Route 53リゾルバーのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。R
oute 53 リゾルバー ルールを定義して、オンプレミス ドメインのリクエストをオンプレミスDNS リゾルバーに転送します。アプリケーション VPC のプライベートホストゾーンを出力
VPC に関連付けます。AWS Resource Access Manager を使用して、Route 53 リゾルバールールをアプリケーション アカウントと共有します。クラウド ドメインを Route 53
受信エンドポイントに転送するようにオンプレミス DNS サーバーを構成します。

C. アプリケーション VPCごとにプライベートホストゾーンを構成し、必要なレコードを作成します。出力 VPC でAmazon Route 53 リゾルバー インバウンドおよびアウトバウンドエンドポイントのセットを作成し、オンプレミス ドメインへのリクエストをオンプレミスDNS リゾルバーに転送する Route 53 リゾルバー ルールを定義します。アプリケーションVPC のプライベート ホスト ゾーンを出力 VPand に関連付けます。

解答

A

  • Access Manager を使用すると、さまざまな VPC およびアカウント間での DNS クエリが可能になります。
  • 各アプリケーションVPCのプライベートホストゾーンの作成と必要なレコードの作成をすることにより、リソースのエンドツーエンドのドメイン名解決が可能になります。
  • リゾルバールールを使用してオンプレミスドメインのリクエストをオンプレミスDNSリゾルバーに転送し、AWS Resource Access Managerを使用してリゾルバールールをアプリケーションアカウントと共有します。

QUESTION NO: 4

Q4

ある企業は、米国 (US) のオンプレミス データセンターと us-east-1 リージョンのワークロードの間に AWS Direct Connect 接続を持っています。接続では、トランジット VIF を使用して、データセンターを us-east1 のトランジット ゲートウェイに接続します。
同社は、英国に新しいオンプレミスデータセンターを備えた新しいオフィスをヨーロッパに開設します。ダイレクトConnectは、新しいデータセンターを、eu-west-2 リージョンの単一 VPCで実行されているいくつかのワークロードに接続します。会社は、米国のデータセンターおよび us-east-1 をヨーロッパのデータ センターおよび eu-west-2に接続する必要があります。ネットワーク エンジニアは、データ
センターとリージョン間の完全な接続を可能な限り最小限の遅延で確立する必要があります。
ネットワーク エンジニアは、これらの要件を満たすネットワークアーキテクチャをどのように設計すればよいでしょうか?

ポイント

  • USのOPDCとus-east-1のワークロード間にDXを持っている
  • Transit VIFを使用して us-east1の TGWに接続
  • eu-west-2のVPCにDXを接続したい
  • 米国とus-east-1をEUのDC/eu-west-2に接続する必要がある
  • AWS Direct Connect SiteLinkの理解
    イメージ

選択肢

A. Direct Connect ゲートウェイとプライベート VIF を使用して、eu-west-2 の VPC
をヨーロッパのデータセンターに接続します。us-east-1 のトランジットゲートウェイを同じ Direct Connect ゲートウェイに関連付けます。トランジット VIFとプライベート VIF に対して SiteLink を有効にします。

B. eu-west-2 の VPC を新しいトランジット ゲートウェイに接続します。Direct Connect
ゲートウェイと新しいトランジット VIF を使用して、ヨーロッパ データセンターを新しいトランジット ゲートウェイに接続します。us-east-1 のトランジットゲートウェイを同じ Direct Connect ゲートウェイに関連付けます。両方のトランジット VIFに対して SiteLink を有効にします。2 つのトランジット ゲートウェイをピアリングします。

C. eu-west-2 の VPC を新しいトランジット ゲートウェイに接続します。Direct Connectゲートウェイと新しいトランジット VIF を使用して、ヨーロッパ データセンターを新しいトランジット ゲートウェイに接続します。新しい Direct Connectゲートウェイを作成します。us-east-1 のトランジット ゲートウェイを新しい DirectConnect ゲートウェイに関連付けます。両方のトランジット VIF に対して SiteLink
を有効にします。2 つのトランジット ゲートウェイをピアリングします。

D. Direct Connect ゲートウェイとプライベート VIF を使用して、eu-west-2 の VPCをヨーロッパのデータセンターに接続します。新しい Direct Connectゲートウェイを作成します。us-east-1 のトランジット ゲートウェイを新しい Direct Connect ゲートウェイに関連付けます。トランジット VIF とプライベート VIF に対してSiteLink を有効にします。

解答

B

  • 新しいトランジットゲートウェイを使用して、eu-west-2のVPCとヨーロッパデータセンターを接続します。また、us-east-1のトランジットゲートウェイを新しいDirect Connectゲートウェイに関連付け、トランジットVIFとプライベートVIFに対してSiteLinkを有効にし、2つのトランジットゲートウェイをピアリングします。
  • この設計により、米国のデータセンターとus-east-1のワークロードがヨーロッパのデータセンターとeu-west-2のVPCに接続され、ネットワーク間の接続が確立されます。 SiteLinkを有効にすることで、トランジットゲートウェイ間で最適なネットワーク経路を選択し、最小限の遅延で通信できるようになります。

QUESTION NO: 5

Q5

ある企業は、自社のオンプレミス データセンターから AWS クラウドの仮想プライベートゲートウェイへの AWS Site-to-Site VPN接続を使用しています。輻輳(ふくそう)のため、トラフィックがインターネット上を通過する前に可用性とパフォーマンスの問題が発生しています。トラフィックは AWSに到達します。ネットワークエンジニアは、最小限の管理労力で、接続に関するこれらの問題をできるだけ早く軽減する必要があります。
これらの要件を満たすソリューションはどれですか?

ポイント

  • OP-DCからAWS Private Gatewayへの Site-to-Site VPN接続をしている
  • トラフィックがInternetを通過する前に可用性とパフォーマンスの問題があるので、軽減したい

選択肢

A. アクセラレーションを有効にして、既存のサイト間 VPN接続を編集します。新しい設定を有効にするには、カスタマーゲートウェイで VPNサービスを停止してから開始します。

B. 既存の仮想プライベート ゲートウェイと同じ AWS リージョンにトランジットゲートウェイを構成します。新しい高速サイト間 VPN 接続を作成します。VPNアタッチメントを使用して、新しい接続をトランジットゲートウェイに接続します。新しいサイト間 VPN 接続を使用するようにカスタマーゲートウェイ デバイスを更新します。既存のサイト間 VPN 接続を削除します。

C. 新しい高速サイト間 VPN 接続を作成します。新しいサイト間 VPN接続を既存の仮想プライベート ゲートウェイに接続します。新しいサイト間 VPN接続を使用するようにカスタマーゲートウェイ デバイスを更新します。既存の Site-to-SiteVPN 接続を削除します。

D. オンプレミスのデータセンターと AWS クラウドの間にプライベート VIFを使用して新しい AWS Direct Connect 接続を作成します。新しい Direct Connect接続を使用するようにカスタマーゲートウェイ デバイスを更新します。既存の Site-to-SiteVPN 接続を削除します。

解答

B

QUESTION NO: 6

Q6

企業のネットワークエンジニアは、ネットワーク異常のトラブルシューティングと検出に役立つ新しいソリュー
ションを設計する必要があります。ネットワーク エンジニアはトラフィックミラーリングを構成しました。ただし、ミラーリングされたトラフィックは、トラフィックミラーリングのターゲットである Amazon EC2 インスタンスを圧倒します。EC2インスタンスは、会社のセキュリティチームがトラフィックを分析するために使用するツールをホストします。ネットワークエンジニアは、ミラーリングされたトラフィックの需要に合わせて拡張できる可用性の高いソリューションを設計する必要があります。
これらの要件を満たすソリューションはどれですか?

ポイント

  • トラフィックミラーリングを使用してネットワーク以上のTroubleShootingと検出
  • トラフィックミラーリングの需要に合わせて拡張できるようにしたい

選択肢

A. ネットワーク ロード バランサー (NLB) をトラフィック ミラーターゲットとして展開します。NLBの裏側。Auto Scaling グループに EC2インスタンスのフリートをデプロイします。必要に応じてトラフィック
ミラーリングを使用します。

B. Application Load Balancer (ALB) をトラフィック ミラーターゲットとしてデプロイします。ALB の背後で、Auto Scaling グループに EC2インスタンスのフリートをデプロイします。Traffic Mirroringは営業時間外にのみ使用してください。

C. ゲートウェイ ロード バランサー (GLB) をトラフィック ミラーターゲットとして展開します。GLBの後ろです。Auto Scaling グループに EC2インスタンスのフリートをデプロイします。必要に応じてトラフィック
ミラーリングを使用します。

D. トラフィック ミラー ターゲットとして HTTPS リスナーを使用して Application Load
Balancer (ALB) をデプロイします。ALBの後ろ。Auto Scaling グループに EC2インスタンスのフリートをデプロイします。Traffic Mirroringは、アクティブなイベントまたは営業時間中にのみ使用してください。

解答

A

QUESTION NO: 7

Q7

ある企業が AWSクラウドに新しいアプリケーションをデプロイしています。同社は、Elastic Load Balancerの背後に配置される高可用性 Web サーバーを望んでいます。ロードバランサーは、リクエスト内の URL に基づいてリクエストを複数のターゲットグループにルーティングします。すべてのトラフィックは HTTPS
を使用する必要があります。TLS 処理はロードバランサーにオフロードする必要があります。企業がセキュリティ目的で正確なログを保持できるように、Web サーバーはユーザーの IP アドレスを知っている必要があります。
これらの要件を満たすソリューションはどれですか?

ポイント

  • ALBはURLに基づいてターゲットグループにリクエストをルーティングする
  • 全てのトラフィックはHTTPSを使用する必要がある
  • TLS 処理はロードバランサーにオフロードする必要がある
  • 企業がセキュリティ目的で正確なログを保持できるように、Web サーバーはユーザーの IP アドレスを知っている必要がある

選択肢

A. HTTPS リスナーを使用して Application Load Balancerをデプロイします。パスベースのルーティングルールを使用して、トラフィックを正しいターゲット
グループに転送します。ターゲットへのトラフィックに X-Forwarded-For リクエストヘッダーを含めます。

B. 各ドメインの HTTPS リスナーを備えた Application Load Balancerをデプロイします。ホストベースのルーティングルールを使用して、各ドメインの正しいターゲットグループにトラフィックを転送します。ターゲットへのトラフィックに X-Forwarded-Forリクエスト ヘッダーを含めます。

C. TLS リスナーを使用して Network Load Balancerをデプロイします。パスベースのルーティング
ルールを使用して、トラフィックを正しいターゲットグループに転送します。ターゲットへのトラフィックのクライアント IPアドレスの保存を構成します。

D. 各ドメインの TLS リスナーを備えた Network Load Balancerをデプロイします。ホストベースのルーティングルールを使用して、各ドメインの正しいターゲットグループにトラフィックを転送します。ターゲットへのトラフィックのクライアント IPアドレスの保存を構成します。

解答

A

  • Application Load Balancer (ALB) を使用して、リクエスト内の URL に基づいて、トラフィックを複数のターゲット グループにルーティングできます。。
  • パスベースのルーティング ルールを使用して、トラフィックをリクエスト内の URL に基づいてターゲット グループを修正します。
  • X-Forwarded-For リクエストヘッダーは、ターゲットへのトラフィックに含めることができるため、Web サーバーはユーザーのIP アドレスを記録し、セキュリティ目的で正確なログを保存します。

QUESTION NO: 8

Q8

ある企業は、Application Load Balancer (ALB) の背後にある Amazon EC2インスタンスに新しい Web アプリケーションをデプロイしました。
インスタンスはAmazon EC2 Auto Scalingグループにあります。
世界中の企業顧客がこのアプリケーションを使用することになります。
これらの企業顧客の従業員は、オフィスの場所から HTTPS経由でアプリケーションに接続します。
企業は、承認された IPアドレスへの送信トラフィックのみを許可するようにファイアウォールを構成する必要があ
ります。企業顧客の従業員は、最小限の遅延でアプリケーションにアクセスできる必要があります。
これらの要件を満たすために、ネットワークエンジニアはインフラストラクチャにどのような変更を加えるべきでしょうか?

ポイント
ALBの背後にあるEC2はAutoScalingで稼働
世界中の企業顧客がアプリケーションにHTTPS経由で接続する
承認されたIPへの送信トラフィックのみを許可するFWを構成したい
最小限の遅延でアプリケーションにアクセスできる必要

選択肢

A. 新しいネットワーク ロード バランサー (NLB) を作成します。ALB を NLBのターゲットとして追加します。

B. 新しい Amazon CloudFront ディストリビューションを作成します。ALBをディストリビューションのオリジンとして設定します。

C. AWS Global Accelerator で新しいアクセラレータを作成します。ALB をアクセラレータエンドポイントとして追加します。

D. 新しい Amazon Route 53 ホストゾーンを作成します。トラフィックを ALBにルーティングするための新しいレコードを作成します。

解答

B

QUESTION NO: 9

Q9

ある企業はハイブリッド アーキテクチャを使用しており、オンプレミス データセンターとAWSの間に AWS Direct Connect接続を備えています。同社は、オンプレミスのデータセンターで実行される実稼働アプリケーションを持っています。同社には、VPCで実行される実稼働アプリケーションもあります。オンプレミスデータセンターで実行されるアプリケーションは、VPCで実行されるアプリケーションと通信する必要があります。同社はオンプレミスリソースのドメイン名として corp.example.com を使用し、VPCリソースをホストするためにaws.example.com の Amazon Route 53 プライベート ホストゾーンを使用しています。
同社は、VPC サブネットでオープンソースの再帰 DNS リゾルバーを使用し、オンプレミスデータセンターでも DNS リゾルバーを使用しています。同社のオンプレミス DNSリゾルバーには、aws.example.com ドメイン名に対するリクエストを VPC 内の DNSリゾルバーに転送するフォワーダーがあります。VPC の DNS
リゾルバーには、corp.example.com ドメイン名に対するリクエストをオンプレミス
データセンターの DNSリゾルバーに転送するフォワーダーがあります。同社は、オープンソースの再帰 DNS
リゾルバーを Amazon Route 53 リゾルバー エンドポイントに置き換えることにしました。
ネットワークエンジニアがこの置き換えを行うには、どの手順の組み合わせを実行する必要がありますか
? (3つお選びください。)

On-premise - AWSとの間にDX
Opに実稼働アプリケーションを持っていて、VPCで実行されるアプリケーションと接続したい
corp.example.com を使用し、VPCリソースをホストするためにaws.example.com の Amazon Route 53 プライベート ホストゾーンを使用
VPC サブネットでオープンソースの再帰 DNS リゾルバーを使用し、オンプレミスデータセンターでも DNS リゾルバーを使用しています。
同社のオンプレミス DNSリゾルバーには、aws.example.com ドメイン名に対するリクエストを VPC 内の DNSリゾルバーに転送するフォワーダーがあります。
同社は、オープンソースの再帰 DNSリゾルバーを Amazon Route 53 リゾルバー エンドポイントに置き換えることにしました。

選択肢

A. aws.example.com ドメイン クエリをアウトバウンド エンドポイントの IPアドレスに転送する Route 53 リゾルバー ルールを作成します。

B. aws.example.com ドメインのクエリを受信エンドポイントの IPアドレスに転送するようにオンプレミスの DNS リゾルバーを設定します。

C. Route 53 リゾルバーのインバウンド エンドポイントと Route 53リゾルバーのアウトバウンド エンドポイントを作成します。

D. aws.example.com ドメインクエリを受信エンドポイントの IP アドレスに転送する Route53 リゾルバー ルールを作成します。

E. corp.example.com ドメイン クエリをオンプレミス DNS リゾルバーの IPアドレスに転送する Route 53 リゾルバー ルールを作成します。

F. aws.example.com クエリをアウトバウンドエンドポイントのIPアドレスに転送するようにオンプレミスの DNS リゾルバーを設定します。

ポイント

解答

B,C,E
(オプション B) Route 53 リゾルバーの作成corp.example.com ドメインクエリをオンプレミス DNS の IP アドレスに転送するルールリゾルバ。

(オプション C) aws.example.com ドメインを転送するようにオンプレミスのDNSリゾルバーを構成する
受信エンドポイントの IP アドレスにクエリを実行します。

(オプション E) これらの手順により、オープンソースのシームレスな置き換えが可能になります。
Amazon Route 53 リゾルバーエンドポイントを使用した再帰 DNS リゾルバーと有効化
オンプレミスと VPC アプリケーション間の通信。

QUESTION NO: 10

Q10

ある企業は、単一VPC 内の AWS 上に Web サイトを構築しています。VPC には、2つのアベイラビリティーゾーンにパブリックサブネットとプライベートサブネットがあります。
Web サイトには画像などの静的なコンテンツがあります。同社はコンテンツの保存にAmazon S3 を使用しています。
同社は、Amazon EC2 インスタンスのフリートをプライベート サブネット内の Webサーバーとしてデプロイしました。
EC2 インスタンスは、Application Load Balancerの背後にある Auto Scaling グループにあります。
EC2インスタンスはトラフィックを処理し、Web ページをレンダリングするには S3バケットからコンテンツを取得する必要があります。
同社は、S3バケットへのオンプレミス接続にパブリック VIF を備えた AWS Direct Connectを使用しています。
ネットワーク エンジニアは、EC2 インスタンスと Amazon S3 間のトラフィックが NATゲートウェイを介してルーティングされていることに気づきました。
トラフィックが増加するにつれて、企業のコストも増加しています。
ネットワーク エンジニアは、EC2インスタンスと Amazon S3 間のトラフィックによって生じる NATゲートウェイのコストを削減するために、接続を変更する必要があります。
これらの要件を満たすソリューションはどれですか?

ポイント

  • 静的なウェブサイトコンテンツをホストするためにS3を使用している
  • S3バケットへのオンプレミス接続にパブリック VIF を備えた AWS Direct Connectを使用している
  • ウェブサーバーとしてALBの背後にEC2をAutoScaling内で稼働
  • EC2, S3がNATGWを通じてルーティングされていることに気づいた

選択肢

A. Direct Connect プライベート VIF を作成します。トラフィックをパブリック VIFからプライベート VIF に移行します。

B. 既存のパブリック VIF 上に AWS サイト間 VPN トンネルを作成します。

C. Amazon S3 のインターフェイス VPC エンドポイントを実装します。VPC ルートテーブルを更新します。

D. Amazon S3 のゲートウェイ VPC エンドポイントを実装します。VPC ルートテーブルを更新します。

解答

D

QUESTION NO: 11

Q11

ある企業は、既存のアプリケーションを新しい AWSアカウントに移行しています。同社は、1 つの VPCと複数のアベイラビリティーゾーンを使用して、単一の AWSリージョンにアプリケーションをデプロイします。
アプリケーションは Amazon EC2インスタンス上で実行されます。各アベイラビリティーゾーンには複数の EC2
インスタンスがあります。EC2 インスタンスはプライベートサブネットにデプロイされます。
会社のクライアントは、HTTPS プロトコルを備えた Webブラウザを使用してアプリケーションに接続します。
インバウンド接続は、アベイラビリティーゾーンと EC2 インスタンス全体に分散する必要があります。
同じクライアントセッションからのすべての接続は、同じ EC2インスタンスに接続する必要があります。
企業は、アプリケーションの SSL証明書を使用して、クライアントとアプリケーション間のすべての接続にエンドツーエンドの暗号化を提供する必要があります。
これらの要件を満たすソリューションはどれですか?

ポイント
単一VPCで複数のAZを使用して、単一の AWSリージョンにアプリケーションをデプロイする
EC2はプライベートサブネットにデプロイさせる
同じクライアントからのすべての接続は同一のEC2に接続する必要がある
SSL証明書を使用してクライアントとアプリケーション間のすべての接続にEnd-to-Endの暗号化を提供する必要がある

選択肢

A. ネットワーク ロードバランサーを作成します。ターゲットグループを作成します。ターゲットグループのプロトコルを TCP に、ポートを 443 に設定します。セッション アフィニティ(スティッキー セッション)をオンにします。EC2インスタンスをターゲットとして登録します。リスナーを作成します。リスナーのプロトコルを TCP に、ポートを 443 に設定します。SSL 証明書を EC2インスタンスにデプロイします。

B. Application Load Balancer を作成します。ターゲットグループを作成します。ターゲット
グループのプロトコルを HTTP に、ポートを 80 に設定します。アプリケーションベースのCookie ポリシーを使用して、セッション アフィニティ (スティッキー セッション)を有効にします。EC2インスタンスをターゲットとして登録します。HTTPSリスナーを作成します。ターゲットグループに転送するデフォルトのアクションを設定しま
す。AWS Certificate Manager (ACM) を使用して、リスナーの証明書を作成します。

C.
ネットワークロードバランサーを作成します。ターゲットグループを作成します。ターゲット グループのプロトコルを TLS に、ポートを 443 に設定します。セッション アフィニティ(スティッキー セッション)をオンにします。EC2インスタンスをターゲットとして登録します。リスナーを作成します。リスナーのプロトコルを TLS に、ポートを 443 に設定します。AWS Certificate Manager(ACM) を使用して、アプリケーションの証明書を作成します。

D. Application Load Balancer を作成します。ターゲットグループを作成します。ターゲットグループのプロトコルを HTTPS に、ポートを 443に設定します。アプリケーションベースの Cookie ポリシーを使用して、セッションアフィニティ (スティッキー セッション)を有効にします。EC2インスタンスをターゲットとして登録します。HTTPリスナーを作成します。リスナーのポートを 443に設定します。ターゲットグループに転送するデフォルトのアクションを設定します。

解答

A

QUESTION NO: 12

Q12

セキュリティ チームは、企業の AWS 導入の監査を実行しています。セキュリティチームは、ネットワーク ACL とセキュリティグループによってブロックされるべきリソースに 2つのアプリケーションがアクセスしている可能性があることを懸念しています。
アプリケーションは、Kubernetes 用の Amazon VPC Container Network Interface (CNI)プラグインを使用する 2 つの Amazon Elastic Kubernetes Service (Amazon EKS)クラスターにデプロイされます。
クラスターは同じ VPC内の別のサブネットにあり、クラスター オートスケーラーが構成されています。
セキュリティ チームは、どのPODのIPアドレスが VPC全体でどのサービスと通信しているかを判断する必要があります。
セキュリティチームはフローログの数を制限し、2つのアプリケーションのみからのトラフィックを検査したいと考えています。
運用オーバーヘッドを最小限に抑えながらこれらの要件を満たすソリューションはどれですか?

ポイント

  • EKSにデプロイされているクラスターは同じVPC内の別のサブネットにある
  • PodIPがVPC全体でどのサービスと通信しているかを判断する必要がある
  • セキュリティチームはフローログを制限して2つのアプリケーションのみからのトラフィックを検査したい

選択肢

A. VPC フローログをデフォルト形式で作成します。EKS ノードからのみフローログを収集するフィルターを作成します。フロー ログに srcaddr フィールドと dstaddrフィールドを含めます。

B. VPC フロー ログをカスタム形式で作成します。EKSノードをリソースとして設定します。 フローログに pkt-srcaddr フィールドと pkt-dstaddrフィールドを含めます。

C. VPC フローログをカスタム形式で作成します。アプリケーションのサブネットをリソースとして設定し
ます。フロー ログに pkt-srcaddr フィールドと pkt-dstaddr フィールドを含めます。

D. カスタム形式で VPC フロー ログを作成します。EKS ノードからのみフローログを収集するフィルターを作成します。フロー ログに pkt-srcaddr フィールドと pktdstaddr フィールドを含めます。

解答

QUESTION NO: 13

Q13

ある企業では、AWSクラウドのさまざまなアカウントに複数の本番アプリケーションがあります。
同社は us-east-1リージョンのみで運営されています。
特定のパートナー企業のみがアプリケーションにアクセスできます。アプリケーションは、Application Load Balancer (ALB) の背後の AutoScaling グループにある Amazon EC2 インスタンス上で実行されます。EC2インスタンスはプライベート サブネット内にあり、ALBからのトラフィックのみを許可します。
ALB はパリックサブネット内にあり、ポート 80を超えるパートナーネットワークIPアドレス範囲からの受信トラフィックのみを許可します。
企業が新しいパートナーを追加する場合、各アカウントのALBに関連付けられているセキュリティグループでパートナーネットワークの IPアドレス範囲を許可する必要があります。
ネットワーク エンジニアは、パートナーネットワークの IPアドレス範囲を一元管理するソリューションを実装する必要があります。
最も運用効率の高い方法でこれらの要件を満たすソリューションはどれですか?

ポイント

  • パートナーネットワークの IPアドレス範囲を一元管理するソリューション

選択肢

A. Amazon DynamoDB テーブルを作成して、更新する必要があるすべての IPアドレス範囲とセキュリティ
グループを維持します。会社が新しいパートナーを追加したときに、新しい IPアドレス範囲で DynamoDB テーブルを更新します。AWS Lambda関数を呼び出して、DynamoDB テーブルから新しい IP アドレス範囲とセキュリティグループを読み取り、セキュリティグループを更新します。このソリューションをすべてのアカウントにデプロイします。

B. 新しいプレフィックス リストを作成します。許可されているすべての IPアドレス範囲をプレフィックス リストに追加します。新しい IPアドレス範囲がプレフィックス リストに追加されるたびに、Amazon EventBridge (AmazonCloudWatch Events) ルールを使用して AWS Lambda 関数を呼び出し、セキュリティ
グループを更新します。このソリューションをすべてのアカウントにデプロイします。

C. 新しいプレフィックス リストを作成します。許可されているすべての IPアドレス範囲をプレフィックス リストに追加します。AWS Resource Access Manager(AWS RAM) を使用して、異なるアカウント間でプレフィックスリストを共有します。パートナー IP アドレス範囲の代わりにプレフィックスリストを使用するようにセキュリティグループを更新します。会社が新しいパートナーを追加したときに、新しい IPアドレス範囲でプレフィックス リストを更新します。

D. Amazon S3 バケットを作成して、更新する必要があるすべての IPアドレス範囲とセキュリティグループを維持します。会社が新しいパートナーを追加したときに、新しい IPアドレス範囲で S3 バケットを更新します。AWS Lambda 関数を呼び出して、S3バケットから新しい IP アドレス範囲とセキュリティ グループを読み取り、セキュリティグループを更新します。このソリューションをすべてのアカウントにデプロイします。

解答

C

新しいプレフィックス リストを作成し、許可されているすべての IP アドレス範囲をプレフィックス リストに追加すると、セキュリティ グループ ルールで参照できる CIDR ブロックのグループ化を有効にします。
AWS Resource Access Manager (AWS RAM) を使用した、異なるアカウント間のプレフィックス リスト
パートナー ネットワークの IP アドレス範囲の集中管理が可能になります。更新中セキュリティ グループがパートナー IP アドレス範囲の代わりにプレフィックス リストを使用すると、セキュリティグループルールの簡素化.新しい IP アドレス範囲でプレフィックス リストを更新する会社が新しいパートナーを追加すると、変更が自動的に反映されます。プレフィックス リストを使用するすべてのセキュリティ グループに送信します3。

参考: https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/managed-prefix-lists.html

QUESTION NO: 14

Q14

ネットワーク エンジニアは、会社のデータセンターと 2 つの AWS リージョン (us-east-1および eu-west-1) の間で 1 Gbps AWS Direct Connect 接続を使用するハイブリッドアーキテクチャを設計しています。
us-east-1のVPCはトランジットゲートウェイによって接続されており、いくつかのオンプレミスデータベースにアクセスする必要があります。
会社のポリシーに従って、eu-west-1 内の1つのVPCのみが1つのオンプレミスサーバーに接続できます。
オンプレミスネットワークは、データベースとサーバー間のトラフィックをセグメント化します。
これらの要件を満たすために、ネットワーク エンジニアは Direct Connect接続をどのように設定すればよいでしょうか?

ポイント

  • DCと2つのAWSリージョン間でDX
  • us-east-1のVPCはTGWによって接続されていて、いくつかのオンプレミスデータベースにアクセスする必要がある

選択肢

A. ホスト型接続を1つ作成します。トランジット VIF を使用して、us-east-1のトランジット ゲートウェイに接続します。プライベート VIF を使用して、eu-west-1 のVPC に接続します。1 つのダイレクトを使用します。両方の VIFのゲートウェイを接続して、Direct Connect ロケーションから対応する AWSリージョンに、レイテンシーが最も低いパスに沿ってルーティングします。

B. ホスト型接続を 1 つ作成します。トランジット VIF を使用して、us-east-1のトランジット ゲートウェイに接続します。プライベート VIF を使用して、eu-west-1 のVPC に接続します。2 つの Direct Connect ゲートウェイ (VIF ごとに 1 つ)を使用して、Direct Connect の場所から対応する AWS
リージョンに、レイテンシーが最も低いパスに沿ってルーティングします。

C. 専用接続を 1 つ作成します。トランジット VIF を使用して、us-east-1 のトランジットゲートウェイに接続します。プライベート VIF を使用して、eu-west-1 の VPCに接続します。両方の VIF に 1 つの Direct Connect ゲートウェイを使用して、DirectConnect のロケーションから対応する AWS
リージョンに、レイテンシーが最も低いパスに沿ってルーティングします。

D. 専用接続を 1 つ作成します。トランジット VIF を使用して、us-east-1 のトランジットゲートウェイに接続します。プライベート VIF を使用して、eu-west-1 の VPCに接続します。2 つの Direct Connect ゲートウェイ (VIF ごとに 1 つ) を使用して、DirectConnect の場所から対応する AWS
リージョンに、レイテンシーが最も低いパスに沿ってルーティングします。

解答

B

参考: DXの接続タイプについて

専用接続は 1 Gbps、10 Gbps、100 Gbps の Ethernet ポート経由で確立されるもので、単一ユーザーに専用です。 ホスト型接続は、AWS との間にネットワークリンクを確保している、AWS Direct Connect パートナーから供給されます。

このソリューションは、単一の Direct Connect を使用して企業の要件を満たします。
1つは us-east-1 のトランジット ゲートウェイに接続され、もう 1 つは us-east-1 に接続されます。
eu-west-1 の VPC に接続されます。 2 つの Direct Connect ゲートウェイがそれぞれ 1 つずつ使用されます。
VIF、Direct Connect の場所から対応する AWS リージョンにトラフィックをルーティングします。
レイテンシが最も低いパス。この設定により、us-east-1 の VPC とオンプレミス データベース間のトラフィックがトランジット ゲートウェイを介してルーティングされるようになります。
eu-west-1 の VPC とオンプレミス サーバーの間は、プライベートVIFになる。

QUESTION NO: 15

Q15

保険会社は、オンプレミスのデータセンターから AWSクラウドへのワークロードの移行を計画しています。会社はエンドツーエンドのドメイン名解決を必要としています。
AWSと既存のオンプレミス環境の間で双方向のDNS解決を確立する必要があります。ワークロードは複数のVPCに移行されます。
ワークロードは相互に依存関係があるため、すべてのワークロードが同時に移行されるわけではありません。
これらの要件を満たすソリューションはどれですか?

ポイント
双方向のDNS解決

選択肢

A. アプリケーション VPCごとにプライベートホストゾーンを構成し、必要なレコードを作成します。
出力 VPC にAmazon Route 53リゾルバーのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。
Route 53 リゾルバー ルールを定義して、オンプレミス ドメインのリクエストをオンプレミスDNS リゾルバーに転送します。アプリケーション VPC のプライベートホストゾーンを出力VPC に関連付け、AWS Resource Access Manager を使用して Route 53リゾルバールールをアプリケーションアカウントと共有します。クラウド ドメインを Route53 受信エンドポイントに転送するようにオンプレミス DNS サーバーを構成します。

B. アプリケーション VPCごとにプライベートホストゾーンを構成し、必要なレコードを作成します。出力VPCで
Amazon Route 53 リゾルバー インバウンドおよびアウトバウンドエンドポイントのセットを作成し、オンプレミス ドメインへのリクエストをオンプレミスDNS リゾルバーに転送する Route 53 リゾルバー ルールを定義します。アプリケーションVPC のプライベート ホスト ゾーンを出力 VPand に関連付けます。

C. アプリケーション VPCごとにパブリックホストゾーンを構成し、必要なレコードを作成します。
出力 VPC にAmazon Route53リゾルバーのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。
Route 53 リゾルバー ルールを定義して、オンプレミス ドメインのリクエストをオンプレミスDNS リゾルバーに転送します。アプリケーション VPC のプライベートホストゾーンを出力VPC に関連付けます。AWS Resource Access Manager を使用して、Route 53 リゾルバールールをアプリケーション アカウントと共有します。クラウド ドメインを Route 53受信エンドポイントに転送するようにオンプレミス DNS サーバーを構成します。

解答

A

各アプリケーション VPC のプライベートホストゾーンの作成と必要なレコードの作成
これにより、リソースのエンドツーエンドのドメイン名解決が可能になります。
Amazon Route 53 リゾルバーの出力 VPC のインバウンドおよびアウトバウンドエンドポイントにより、
AWS と既存のオンプレミス環境の間の双方向 DNS 解決が可能。
オンプレミス ドメインへのリクエストをオンプレミス DNS リゾルバーに転送する Route 53 リゾルバー ルールを定義すると、AWS リソースからオンプレミスへの DNS クエリが有効になります。
アプリケーション VPC プライベートホストゾーンを出力 VPC に関連付け、AWS リソースを使用して Route 53 リゾルバー ルールをアプリケーション アカウントと共有するAccess Manager を使用すると、さまざまな VPC およびアカウント間での DNS クエリが可能になります。
クラウド ドメインを Route 53 に転送するようにオンプレミス DNS サーバーを構成する
インバウンドエンドポイントにより、オンプレミスリソースから AWS への DNS クエリが可能になります。

QUESTION NO: 16

details:::
ある企業は、NAT ゲートウェイを使用して、us-west-2 リージョンの VPC 内のプライベート サブネットへのインターネット接続を許可しています。セキュリティ監査の後、企業は NAT ゲートウェイを削除する必要があります。
プライベートサブネットには、統合された Amazon CloudWatch エージェントを使用するリソースがあります。ネットワーク エンジニアは、NAT ゲートウェイの削除後も統合 CloudWatch エージェントが動作し続けることを保証するソリューションを作成する必要があります。 これらの要件を満たすために、ネットワーク エンジニアはどの手順を組み合わせる必要がありますか? (3つお選びください。)
:::

選択肢

A.enableDnsHostnames VPC 属性とenableDnsSupport VPC 属性を true に設定して、プライベート DNS が VPC 上で有効になっていることを検証します。

B. ポート 443 で TCP プロトコルを使用して宛先 0.0.0.0/0 への送信トラフィックを許可するエントリを含む新しいセキュリティグループを作成します。

C. プライベート サブネットの IP プレフィックスからポート 443 で TCP
プロトコルを使用する受信トラフィックを許可するエントリを含む新しいセキュリティ グループを作成します。

D. VPC 内に次のインターフェイス VPC エンドポイントを作成します: com.amazonaws.us-west-2.logs および com.amazonaws.us-west-2.monitoring。新しいセキュリティグループをエンドポイント ネットワークインターフェイスに関連付けます。

E. VPC 内にインターフェイス VPC エンドポイントを作成します: com.amazonaws.us-west- 2.cloudwatch。新しいセキュリティ グループをエンドポイントネットワークインターフェイスに関連付けます。

F. VPC エンドポイント (複数可) をプライベート サブネットが使用するルートテーブルに関連付けます。

解答

B,D,F

QUESTION NO: Q17.

Q17

Web サーバーを実行する Amazon EC2 インスタンスを VPC 内のサブネットにデプロイします。
インターネット ゲートウェイが接続されており、メイン ルート テーブルには、インターネット ゲートウェイのターゲットで構成されたデフォルト ルート (0.0.0.0/0) があります。インスタンスには、次のように許可するように構成されたセキュリティグループがあります。

  • プロトコル: TCPポート: 受信 80、送信なし
    サブネットのネットワーク ACL は、次のように許可するように構成されています。
  • プロトコル: TCPポート: 受信 80、送信なし
    Web サーバーを参照しようとすると、応答がありません。
    正常な応答を受け取るには、さらにどの手順を実行する必要がありますか?

選択肢

A. プロトコル: TCP、ポート範囲: 80 のセキュリティ グループの送信ルールにエントリを追加します。
B. プロトコル: TCP、ポート範囲: 1024-65535 のセキュリティ グループの送信ルールにエントリを追加します。
C. プロトコル: TCP、ポート範囲: 80 のネットワーク ACL アウトバウンド ルールにエントリを追加します。
D. プロトコル: TCP、ポート範囲: 1024-65535 のネットワーク ACL アウトバウンド ルールにエントリを追加します。

解答

D

インスタンス上で実行されているサービスへの接続を有効にするには、関連するネットワーク ACL で、サービスがリッスンしているポートでの受信トラフィックと、一時ポートからの送信トラフィックの両方を許可する必要があります。クライアントがサーバーに接続すると、一時ポート範囲 (1024 ~ 65535) からのランダムなポートがクライアントの送信元ポートになります。指定された一時ポートは、サービスからの戻りトラフィックの宛先ポートになるため、一時ポートからのアウトバウンド トラフィックはネットワーク ACL で許可される必要があります。

QUESTION NO: 18

Q18

ある企業は、重要なワークロードをオンプレミスのデータセンターから Amazon EC2 インスタンスに移行することを計画しています。
このプランには、オンプレミスのデータセンターからトランジットゲートウェイに接続されたVPCへの新しい10 Gbps AWS Direct Connect 専用接続が含まれています。
移行は、オンプレミスのデータセンターと AWS クラウド間の暗号化されたパスを介して実行する必要があります。
最高のスループットを提供しながらこれらの要件を満たせるソリューションはどれですか?

選択肢

A. Direct Connect 接続でパブリック VIF を構成します。トランジット ゲートウェイへの AWS サイト間 VPN 接続を VPN アタッチメントとして設定します。

B. Direct Connect 接続でトランジット VIF を構成します。サードパーティの VPN ソフトウェアを実行している EC2 インスタンスへの IPsec VPN 接続を構成します。

C. Direct Connect 接続用の MACsec を設定します。トランジット ゲートウェイに関連付けられている Direct Connect ゲートウェイにトランジット VIF を構成します。

D. Direct Connect 接続でパブリック VIF を構成します。トランジットゲートウェイへの 2 つの AWS Site-to-Site VPN 接続を構成します。等コスト マルチパス (ECMP) ルーティングを有効にします。

解答

QUESTION NO: 19

Q19

ある企業は Amazon S3を使用して財務データをアーカイブすることを計画しています
現在、データはオンプレミスのデータセンターに保存されています。
同社は、オンプレミスデータセンターに接続するために、Direct Connectゲートウェイとトランジットゲートウェイを備えた AWS Direct Connect を使用しています。
データは公共のインターネット上で転送することはできないため、転送中に暗号化する必要があります。
これらの要件を満たすソリューションはどれですか?

選択肢

A. Direct Connect パブリック VIF を作成します。Amazon S3 にアクセスするには、パブリック VIF 経由で IPsec VPN 接続をセットアップします。通信にはHTTPSを使用します。

B. トランジット VIF 経由で IPsec VPN接続を作成します。VPCを作成し、そのVPCをトランジット ゲートウェイにアタッチします。VPCで、Amazon S3のインターフェイスVPCエンドポイントをプロビジョニングします。通信にはHTTPSを使用します。

C. VPC を作成し、VPC をトランジットゲートウェイにアタッチします。VPC で、Amazon S3 のインターフェイス VPC エンドポイントをプロビジョニングします。通信にはHTTPSを使用します。

D. Direct Connect パブリック VIF を作成します。パブリック VIF 経由でトランジット ゲートウェイへの IPsec VPN 接続をセットアップします。Amazon S3のアタッチメントを作成します。通信にはHTTPSを使用します。

解答

B

https://docs.aws.amazon.com/vpn/latest/s2svpn/private-ip-dx.html
トランジット VIF を介した IPsec VPN 接続では、パブリック IP アドレスやインターネットを使用せずに、オンプレミス ネットワークと AWS 間のトラフィックを暗号化できます。
Amazon S3のVPCエンドポイントにより、同じリージョン内の S3 バケットへのプライベートアクセスが可能になります。 HTTPSは、通信に追加の暗号化を提供できます。

QUESTION NO: 20

Q20

ある企業は、転送中に暗号化を必要とするサービスの作成を計画しています。
クライアントとサービスのバックエンドの間でトラフィックを復号化してはなりません。
同社は、TCP ポート 443 経由で gRPC プロトコルを使用してサービスを実装します。
このサービスは、数千の同時接続までスケールアップされます。
サービスのバックエンドは、Kubernetes Cluster Autoscaler と horizontal Pod Autoscaler が設定された Amazon Elastic Kubernetes Service (Amazon EKS) クラスターでホストされます。
会社は、クライアントとバックエンド間の双方向認証に相互 TLS を使用する必要があります。
これらの要件を満たすソリューションはどれですか?

選択肢

A. Kubernetes 用の AWS Load Balancer Controllerをインストールします。
そのコントローラーを使用して、ポート 443 上の TCP リスナーを使用して Network Load Balancer を構成し、バックエンド サービス ポッドの IP アドレスにトラフィックを転送します。

B. Kubernetes 用の AWS ロード バランサー コントローラーをインストールします。
そのコントローラーを使用して、バックエンド サービス ポッドの IP アドレスにトラフィックを転送するように、ポート 443 上の HTTPS リスナーを備えた Application Load Balancer を構成します。

C. ターゲットグループを作成します。EKS 管理対象ノード グループの Auto Scaling グループをターゲットとして追加します。 ポート 443 に HTTPS リスナーを備えた Application Load Balancer を作成して、トラフィックをターゲット グループに転送します。

D. ターゲットグループを作成します。EKS 管理対象ノード グループの Auto Scaling グループをターゲットとして追加します。ポート 443 に TLS リスナーを備えたネットワークロードバランサーを作成し、トラフィックをターゲット グループに転送します。

解答

B

QUESTION NO: 21

Q21

ある銀行会社は、パブリックモバイルバンキングスタックを AWS 上で正常に運用しています。
モバイルバンキングスタックは、プライベート サブネットとパブリックサブネットを含むVPCにデプロイされます。同社は IPv4 ネットワークを使用していますが、環境内で IPv6を導入またはサポートしていません。
同社はサードパーティ サービス プロバイダーの API を採用することを決定し、その API を既存の環境に統合する必要があります。
サービス プロバイダーの API では IPv6 を使用する必要があります。
ネットワーク エンジニアは、プライベート サブネットにデプロイされている既存のワークロードに対して IPv6 接続をオンにする必要があります。
同社は、公共のインターネットからの IPv6 トラフィックを許可したくなく、会社のサーバーがすべてのIPv6 接続を開始する必要があると義務付けています。
ネットワーク エンジニアは、VPC とプライベート サブネットで IPv6 を有効にします。
これらの要件を満たすソリューションはどれですか?

選択肢

A. VPC にインターネットゲートウェイと NAT ゲートウェイを作成します。既存のサブネット ルート テーブルにルートを追加して、IPv6 トラフィックを NAT ゲートウェイに向けます。

B. VPC にインターネットゲートウェイと NAT インスタンスを作成します。既存のサブネット ルート テーブルにルートを追加して、IPv6 トラフィックを NAT インスタンスに向けます。

C. VPC に出力専用インターネットゲートウェイを作成します。
既存のサブネットルートテーブルにルートを追加して、IPv6 トラフィックが出力専用インターネット ゲートウェイを指すようにします。

D. VPC にEgress専用のインターネットゲートウェイを作成します。
すべての受信トラフィックを拒否するセキュリティグループを構成します。
セキュリティグループを出力専用インターネット ゲートウェイに関連付けます。

解答

C

QUESTION NO: 22

Q22

ある企業は、トラフィック検査と NAT 機能のために VPC にサードパーティのファイアウォール アプライアンスをデプロイしています。
VPC はプライベートサブネットとパブリックサブネットで構成されます。
会社は、ロード バランサの背後にファイアウォールアプライアンスを展開する必要があります。
これらの要件を最もコスト効率よく満たすアーキテクチャはどれでしょうか?

選択肢

A. ファイアウォール アプライアンスをターゲットとしてゲートウェイ ロードバランサーを展開します。プライベート サブネット内の単一のネットワーク インターフェイスを使用してファイアウォール アプライアンスを構成します。NAT ゲートウェイを使用して、検査後にトラフィックをインターネットに送信します。

B. ファイアウォール アプライアンスをターゲットとしてゲートウェイ ロードバランサーを展開します。ファイアウォール アプライアンスを 2 つのネットワーク インターフェイスで構成します。1 つのネットワーク インターフェイスはプライベート サブネットに、もう 1 つのネットワーク インターフェイスはパブリック サブネットにあります。ファイアウォール アプライアンスの NAT 機能を使用して、検査後にトラフィックをインターネットに送信します。

C. ファイアウォール アプライアンスをターゲットとしてネットワーク ロードバランサーを展開します。プライベート サブネット内の単一のネットワーク インターフェイスを使用してファイアウォール アプライアンスを構成します。NAT ゲートウェイを使用して、検査後にトラフィックをインターネットに送信します。

D. ファイアウォール アプライアンスをターゲットとしてネットワーク ロードバランサーを展開します。ファイアウォール アプライアンスを 2 つのネットワーク インターフェイスで構成します。1 つのネットワーク インターフェイスはプライベート サブネットに、もう 1 つのネットワーク インターフェイスはパブリック サブネットにあります。ファイアウォール アプライアンスの NAT 機能を使用して、検査後にトラフィックをインターネットに送信します。

解答

B

QUESTION NO: 23

Q23

ある企業は、ネットワーク ロード バランサー (NLB) の背後にある Amazon EC2 インスタンスでアプリケーションをホストしています。
ソリューションアーキテクトは、アプリケーションの可用性を向上させるために、2番目のアベイラビリティーゾーンに EC2 インスタンスを追加しました。ソリューション アーキテクトは、インスタンスを NLB ターゲット グループに追加しました。
会社の運用チームは、トラフィックが最初のアベイラビリティーゾーン内のインスタンスに のみルーティングされていることに気づきました。 この問題を解決する最も運用効率の高いソリューションは何ですか?

選択肢

A. NLB で新しいアベイラビリティーゾーンを有効にします。
B. 2 番目のアベイラビリティーゾーンのインスタンスに新しいNLBを作成します。
C. NLBでプロキシプロトコルを有効にする
D. 両方のアベイラビリティーゾーンのインスタンスを含む新しいターゲットグループを作成します。

解答

A

新しいアベイラビリティーゾーンのインスタンスを既存のネットワークロードバランサー (NLB) に追加する場合は、新しいアベイラビリティーゾーンが NLB で有効になっていることを確認することが重要です。これにより、トラフィックが両方のアベイラビリティーゾーンのインスタンスにルーティングされるようになります。これを行うには、NLB の設定を編集し、使用可能なゾーンのリストから新しいアベイラビリティ ゾーンを選択します。

QUESTION NO: 24

Q24

10.0.0.0/16 VPC 内のすべてのIPアドレスは、2 つのアベイラビリティーゾーンにわたるアプリケーションサーバーで完全に利用されます。
アプリケーションサーバーは、インターネット上の単一の中央認証サーバーに頻繁にUDPプローブを送信して、最新のパッケージが実行されていることを確認する必要があります。
このネットワークは、アプリケーションサーバーが内部アクセスに単一のNAT ゲートウェイを使用するように設計されています。
テストの結果、いくつかのサーバーが認証サーバーと通信できないことが判明しました。

選択肢

A. NAT ゲートウェイは UDPトラフィックをサポートしていません。
B. 認証サーバーはトラフィックを受け入れていません。
C. NAT ゲートウェイはこれ以上のポートを割り当てることができません。
D. NAT ゲートウェイはプライベート サブネットで起動されます。

解答

C

参照: https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html
「NAT ゲートウェイは、一意の宛先ごとに最大 55,000 の同時接続をサポートできます。この制限は、1 つの宛先に 1 秒あたり約 900 の接続 (1 分あたり約 55,000 の接続) を作成する場合にも適用されます。宛先 IP アドレス、宛先ポート、またはプロトコル (TCP/UDP/ICMP) が変更された場合は、さらに 55,000 の接続を作成できます。55,000 を超える接続では、ポート割り当てエラーによる接続エラーの可能性が高くなります。これらのエラーは、ErrorPortAllocation CloudWatch を表示することで監視できます。 NAT ゲートウェイのメトリクス。詳細については、「Amazon CloudWatch を使用した NAT ゲートウェイのモニタリング」を参照してください。

QUESTION NO: 25

Q25

政府の請負業者は、顧客向けに複数の VPC を備えたマルチアカウント環境を設計しています。
ネットワークセキュリティポリシーでは、2つのVPC間のすべてのトラフィックがサードパーティアプライアンスによって透過的に検査されることが必要です。
顧客は、AWS Transit Gateway を備えたソリューションを望んでいます。セットアップは複数のアベイラビリティーゾーン にわたって高可用性である必要があり、ソリューションは自動フェイルオーバーをサポートする必要があります。
さらに、非対称ルーティングは検査アプライアンスではサポートされていません。
これらの要件を満たすソリューションの一部となる手順の組み合わせはどれですか? (2つお選びください。)

選択肢

A. 指定された検査 VPC 内の複数のアベイラビリティーゾーンにまたがる複数のアプライアンスで構成される 2 つのクラスターをデプロイします。
VPCアタッチメントを使用して、検査 VPC をトランジット ゲートウェイに接続します。
ターゲット グループを作成し、アプライアンスをターゲット グループに登録します。
ネットワーク ロード バランサー (NLB) を作成し、新しく作成したターゲットグループに転送するように設定します。インスペクションVPCトランジットゲートウェイサブネットに NLBへのデフォルトルートを設定します。

B. 指定された検査 VPC 内の複数のアベイラビリティーゾーンにまたがる複数のアプライアンスで構成される 2 つのクラスターをデプロイします。
VPCアタッチメントを使用して、検査VPCをトランジット ゲートウェイに接続します。
ターゲット グループを作成し、アプライアンスをターゲットグループに登録します。
ゲートウェイロードバランサーを作成し、新しく作成したターゲットグループに転送するように設定します。
インスペクションVPCのトランジット ゲートウェイサブネットに、ゲートウェイロードバランサーエンドポイントに向かうデフォルト ルートを設定します。

C. トランジットゲートウェイ上に2つのルートテーブルを設定します。
1つのルートテーブルをアプリケーションVPCのすべてのアタッチメントに関連付けます。
他のルートテーブルを検査VPCのアタッチメントに関連付けます。
すべてのVPCアタッチメントを検査ルートテーブルに伝播します。
アプリケーションルートテーブルに静的デフォルトルートを定義します。
検査VPCに接続するアタッチメントでアプライアンスモードを有効にします。

D. トランジットゲートウェイ上に2つのルートテーブルを設定します。
1つのルートテーブルをアプリケーションVPCのすべてのアタッチメントに関連付けます。
他のルートテーブルを検査VPCアタッチメントに関連付けます。
すべてのVPCアタッチメントをアプリケーションルートテーブルに伝播します。
検査ルートテーブルにスタティックデフォルトルートを定義します。
検査VPCに接続するアタッチメントでアプライアンスモードを有効にします。

E. トランジットゲートウェイ上にルートテーブルを 1 つ設定します。ルートテーブルをすべての VPC に関連付けます。すべての VPC アタッチメントをルート テーブルに伝播します。ルートテーブルに静的デフォルトルートを定義します。

解答

B,C

QUESTION NO: 26

Q26

ネットワーク エンジニアは、AWS サービスとのプライベート通信のためのインターフェイス VPC エンドポイントを一元管理および管理するための企業のアプローチを標準化する必要があります。
同社は、ハブアンドスポーク モデルによる AWS アカウント間の VPC 間接続に AWS Transit Gateway を使用しています。
会社のネットワーク サービスチームは、共有サービスの AWS アカウント内のすべての Amazon Route 53 ゾーンとインターフェイス エンドポイントを管理する必要があります。
同社は、この一元化モデルを使用して、パブリックインターネット経由でトラフィックを送信せずに AWS リソースに AWS Key Management Service (AWS KMS) へのアクセスを提供したいと考えています。
これらの要件を満たすためにネットワーク エンジニアは何をすべきでしょうか?

選択肢

A. 共有サービス アカウントで、AWS KMSのインターフェイスエンドポイントを作成します。
プライベート DNS名を無効にして、インターフェイスエンドポイントを変更します。
インターフェイスエンドポイントを指すエイリアス レコードを使用して、共有サービスアカウントにプライベートホストゾーンを作成します。
各AWSアカウントのプライベートホストゾーンをスポークVPCに関連付けます。

B. 共有サービス アカウントで、AWS KMS のインターフェイスエンドポイントを作成します。プライベート DNS 名を無効にして、インターフェイス エンドポイントを変更します。
インターフェイスエンドポイントを指すエイリアスレコード を使用して、各スポーク AWSアカウントにプライベートホストゾーンを作成します。
各プライベートホストゾーンを共有サービスの AWS アカウントに関連付けます。

C. 各スポーク AWS アカウントで、AWS KMS のインターフェイスエンドポイントを作成します。
プライベート DNS名を無効にして、各インターフェイスのエンドポイントを変更します。
各インターフェイス エンドポイントを指すエイリアス レコードを使用して、各スポーク AWS アカウントにプライベート ホスト ゾーンを作成します。
各プライベートホストゾーンを共有サービスの AWS アカウントに関連付けます。

D. 各スポーク AWS アカウントで、AWS KMSのインターフェイスエンドポイントを作成します。
プライベート DNS 名を無効にして、各インターフェイスのエンドポイントを変更します。
各インターフェイス エンドポイントを指すエイリアス レコードを使用して、共有サービス アカウントにプライベート ホスト ゾーンを作成します。
各 AWS アカウントのプライベートホストゾーンをスポーク VPC に関連付けます。

解答

A

QUESTION NO: 27

Q27

ある企業は、AWS Direct Connect を使用して、企業ネットワークを同じ AWS アカウントおよび同じ AWS リージョン内の複数の VPC に接続します。
各VPC は、Direct Connect 接続上で独自のプライベート VIF と独自の仮想 LAN を使用します。
会社は成長しており、まもなく接続ごとの VPC とプライベート VIF の制限を超えます。
オンプレミス接続で VPC を追加する最もスケーラブルな方法は何ですか?

選択肢

A. 追加の VPC を処理するために、新しい Direct Connect 接続をプロビジョニングします。新しい接続を使用して追加の VPC を接続します。

B. サービス クォータを超過している VPC ごとに仮想プライベート ゲートウェイを作成します。AWS Site-to-Site VPN を使用して、仮想プライベート ゲートウェイを企業ネットワークに接続します。

C. Direct Connect ゲートウェイを作成し、仮想プライベート ゲートウェイの関連付けを VPC に追加します。
企業ネットワークに接続するためにプライベート VIF を構成します。

D. トランジットゲートウェイを作成し、VPC をアタッチします。
Direct Connect ゲートウェイを作成し、それをトランジットゲートウェイに関連付けます。
Direct Connect ゲートウェイへのトランジット VIF を作成します。

解答

D

QUESTION NO: 28

Q28

国際企業が津波に関する早期警報を提供しています。
同社は、IoT デバイスを使用して世界中の海の波を監視することを計画しています。
IoT デバイスによって収集されたデータは、できるだけ早く AWS 上の企業のインフラストラクチャに到達する必要があります。
同社は世界中で3つのオペレーション センターを使用しています。
各オペレーション センターは、独自の AWS Direct Connect 接続を通じて AWS に接続されます。
各オペレーション センターは、少なくとも 2 つの上流インターネット サービス プロバイダーを通じてインターネットに接続されています。
同社は独自のプロバイダーに依存しない (PI) アドレス空間を持っています。
IoTデバイスは、収集したデータを確実に送信するために TCP プロトコルを使用します。
IoT デバイスは、固定電話とモバイルの両方のインターネット接続を備えています。
インフラス トラクチャとソリューションは複数の AWS リージョンにデプロイされます。
同社は、DNS サービスに Amazon Route 53 を使用します。
ネットワーク エンジニアは、IoT デバイスと AWS クラウドで実行されるサービスの間の接続を設計する必要があります。
これらの要件を最高の可用性で満たすソリューションはどれですか?

選択肢

A. オリジンフェイルオーバーを使用して Amazon CloudFront ディストリビューションをセットアップします。ソリューションがデプロイされるリージョンごとに起点グループを作成します。

B. Route 53 レイテンシーベースのルーティングを設定します。レイテンシのエイリアス レコードを追加します。レイテンシ エイリアス レコードの場合、[ターゲットの健全性の評価] の値を [はい] に設定します。

C. AWS Global Accelerator でアクセラレータをセットアップします。
地域のエンドポイントグループとヘルスチェックを構成します。

D. Bring Your Own IP (BYOIP) アドレスを設定します。ソリューションがデプロイされている各リージョンに同じ PI アドレスを使用します。

解答

B

QUESTION NO: 29

Q29

ある企業には 2 つの AWS アカウントがあり、1 つは本番用、もう 1 つは接続用です。
ネットワーク エンジニアは、実稼働アカウント VPC を接続アカウントのトランジット ゲートウェイに接続する必要があります。
共有添付ファイルを自動的に受け入れる機能は、 トランジットゲートウェイでは有効になっていません。
これらの要件を満たすために、ネットワーク エンジニアは各 AWS アカウントでどの一連の手順に従う必要がありますか?

選択肢

A.

  1. 本番アカウントの場合: AWS Resource Access Manager でトランジット ゲートウェイのリソース共有を作成します。接続アカウント ID を指定します。外部アカウントを許可する機能を有効にする
  2. 接続アカウントで: リソースを受け入れます。
  3. 接続アカウントで: VPC サブネットへのアタッチメントを作成します。
  4. Production アカウントの場合: 添付ファイルを受け入れます。ルート テーブルをアタッチメントに関連付けます。

B.

  1. 本番アカウントの場合: AWS Resource Access Manager VPC サブネットのリソース共有を作成します。接続アカウント ID を指定します。外部アカウントを許可する機能を有効にします。
  2. 接続アカウントで: リソースを受け入れます。
  3. 運用アカウントで: VPC サブネットへのトランジット ゲートウェイ上にアタッチメントを作成します。
  4. 接続アカウントで: 添付ファイルを受け入れます。ルートテーブルをアタッチメントに関連付けます。

C.

  1. 接続アカウントで: AWS Resource Access Manager で VPCサブネットのリソース共有を作成します。実稼働アカウント ID を指定します。
  2. 外部アカウントを許可する機能を有効にします。
  3. 運用アカウントの場合: リソースを受け入れます。
  4. 接続アカウントで: VPC サブネットへのトランジット ゲートウェイ上にアタッチメントを作成します。
  5. Production アカウントの場合: 添付ファイルを受け入れます。ルート テーブルをアタッチメントに関連付けます。

D.

  1. 接続アカウントで: AWS Resource Access Manager でトランジット ゲートウェイのリソース共有を作成します。運用アカウント ID を指定します。 外部アカウントを許可する機能を有効にします。
  2. 運用アカウントの場合: リソースを受け入れます。
  3. Production アカウントで: VPC サブネットへのアタッチメントを作成します。
  4. 接続アカウントで: 添付ファイルを受け入れます。ルート テーブルをアタッチメントに関連付けます。
解答

A

QUESTION NO: 30

Q30

ある企業は、アプリケーション間の通信に時代遅れのアプリケーション層プロトコルを使用 しています。
同社はこのプロトコルを今後使用しないことを決定し、新しいプロトコルをサポートするためにすべてのアプリケーションを移行する必要があります。
古いプロトコルと 新しいプロトコルはTCP ベースですが、使用するポート番号が異なります。
数か月の作業を経て、同社は Amazon EC2 インスタンスおよびコンテナ内で実行される数十のアプリケーションを移行しました。
同社はすべてのアプリケーションが移行されたと考えていますが、この考えを検証したいと考えています。
ネットワーク エンジニアは、古いプロトコルをまだ使用しているアプリケーションがないことを確認する 必要があります。
ダウンタイムを発生させずにこれらの要件を満たすソリューションはどれですか?

選択肢

A. Amazon Inspector とそのネットワーク到達可能性ルール パッケージを使用します。分析の実行が完了するまで待って、どの EC2 インスタンスがまだ古いポートをリッスンしているかを確認します。

B. Amazon GuardDutyを有効にします。グラフィカルな視覚エフェクトを使用して、古いプロトコルのポートを使 用するトラフィックをフィルタリングします。すべてのインターネット トラフィックを除外して、同じポートが一時ポートとして使用される機会を除外します。

C. VPC フローログが Amazon S3 バケットに配信されるように設定します。
Amazon Athena を使用してデータをクエリし、古いプロトコルで使用されているポート番号をフィルタリン グします。

D. アプリケーションをホストする EC2 インスタンスに割り当てられているすべてのセキュリティ グループを検査します。古いプロトコルのポートが許可されたポートのリストに含まれている場合は、そのポートを削除します。ポートがセキュリティ グループから削除された後、アプリケーションが適切に動作していることを確認します。

解答

C

QUESTION NO: 31

Q31

ある e コマース会社は、継続的に変化する顧客の需要に対応するために、Amazon EC2 インスタンスで Web アプリケーションをホストしています。
EC2 インスタンスは Auto Scaling グループの一部です。同社は、顧客からのトラフィックを EC2 インスタンスに分散するソリューションを実装したいと考えています。
企業は、顧客とアプリケーション サーバー間のすべての段階ですべてのトラフィックを暗号化する必要があります。中間点での復号化は許可されません。
これらの要件を満たすソリューションはどれですか?

選択肢

A. Application Load Balancer (ALB) を作成します。HTTPS リスナーを ALBに追加します。
ALB のターゲット グループにインスタンスを登録するように Auto Scaling グループを設定します。

B. Amazon CloudFront ディストリビューションを作成します。カスタム SSL/TLS 証明書を使用してディストリビューションを構成します。Auto Scaling グループをディストリビューションの起点として設定します。

C. ネットワーク ロード バランサー (NLB) を作成します。TCP リスナーを NLB に追加します。NLB のターゲット グループにインスタンスを登録するように Auto Scaling グループを構成します。

D. ゲートウェイ ロード バランサー (GLB) を作成します。Auto Scaling グループを設定して、GLB のターゲット グループにインスタンスを登録します。

解答

C

QUESTION NO: 32

Q32

ある企業は、Application Load Balancer の背後にある Amazon EC2 インスタンスでアプリケーションをホストしています。
インスタンスは Amazon EC2 Auto Scaling グループにあります。
セキュリティ グループが最近変更されたため、外部ユーザーはアプリケーションにアクセスできません。
ネットワークエンジニアは、このダウンタイムが再び発生しないようにする必要があります。
ネットワークエンジニアは、セキュリティ グループに対する非準拠の変更を修正するソリューションを実装する必要があります。
これらの要件を満たすソリューションはどれですか?

選択肢

A. 必要なセキュリティ グループ設定と現在のセキュリティ グループ設定の間の不一致を検出するように Amazon GuardDuty を設定します。AWS Systems Manager Automation Runbook を作成して、非準拠のセキュリティ グループを修復します。

B. AWS Config ルールを設定して、目的のセキュリティ グループ設定と現在のセキュリティ グループ設定の間の不一致を検出します。非準拠のセキュリティグループを修復するように AWS OpsWorks for Chef を設定します。

C. 必要なセキュリティ グループ設定と現在のセキュリティ グループ設定の間の不一致を検出するように Amazon GuardDuty を設定します。非準拠のセキュリティグループを修復するように AWS OpsWorks for Chef を設定します。

D. AWS Config ルールを設定して、目的のセキュリティ グループ設定と現在のセキュリティ グループ設定の間の不一致を検出します。AWS Systems Manager Automation Runbook を作成して、非準拠のセキュリティ グループを修復します。

解答

D

QUESTION NO: 33

Q33

ある企業は、AWS 環境を単一の AWS リージョンにデプロイしました。
この環境は、数百のアプリケーション VPC、共有サービス VPC、および会社のオンプレミス環境への VPN 接続で構成されています。
ネットワーク エンジニアは、次の要件を満たすトランジット ゲートウェイを実装する必要があります。

  • アプリケーション VPC は相互に分離されている必要があります。
  • アプリケーション VPC とオンプレミスネットワークの間で双方向通信が許可されている必要があります。
  • アプリケーション VPC と共有サービス VPC の間で双方向通信が許可される必要があります。
    ネットワークエンジニアは、デフォルト ルート テーブルの関連付けとデフォルトルートテーブルの伝達のオプションを無効にしたトランジットゲートウェイを作成します。
    ネットワーク エンジニアは、オンプレミス ネットワークの VPN アタッチメントも作成し、アプリケーション VPC および共有サービス VPC の VPC アタッチメントも作成します。
    ネットワーク エンジニアは、トランジット ゲートウェイのルート テーブルの数を最小限に抑えるソリューションを設計することで、トランジット ゲートウェイのすべての要件を満たす必要があります。 この目標を達成するには、ネットワーク エンジニアはどのアクションの組み合わせを実行する必要がありますか? (2つお選びください。)

選択肢

A. オンプレミス用に別のトランジットゲートウェイルートテーブルを構成します。
VPN アタッチメントをこのトランジット ゲートウェイ ルート テーブルに関連付けます。
すべてのアプリケーション VPC アタッチメントをこのトランジット ゲートウェイ ルート テーブルに伝播します。

B. アプリケーション VPC ごとに個別のトランジット ゲートウェイ ルート テーブルを構成します。
各アプリケーション VPC アタッチメントをそれぞれのトランジット ゲートウェイ ルート テーブルに関連付けます。
共有サービス VPC アタッチメントと VPN アタッチメントをこのトランジット ゲートウェイ ルート テーブルに伝播します。

C. すべてのアプリケーション VPC に対して個別のトランジット ゲートウェイ ルート テーブルを設定します。すべてのアプリケーション VPC をこのトランジット ゲートウェイ ルート テーブルに関連付けます。
共有サービス VPC アタッチメントと VPN アタッチメントをこのトランジット ゲートウェイ ルート テーブルに伝播します。

D. 共有サービス VPC 用に別のトランジット ゲートウェイ ルート テーブルを構成します。
共有サービス VPC アタッチメントをこのトランジット ゲートウェイ ルート テーブルに関連付けます。
すべてのアプリケーション VPC アタッチメントをこのトランジット ゲートウェイ ルート テーブルに伝播します。

E. オンプレミスと共有サービス VPC 用に別のトランジット ゲートウェイ ルート テーブルを構成します。
VPN アタッチメントと共有サービス VPC アタッチメントをこのトランジット ゲートウェイ ルート テーブルに関連付けます。
すべてのアプリケーション VPC アタッチメントをこのトランジット ゲートウェイ ルート テーブルに伝播します。

解答

B,D

QUESTION NO: 34

Q34

ある企業は、AWS Network Firewall をVPCにデプロイしました。
ネットワークエンジニアは、ネットワークファイアウォールのフローログを会社の Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターにできるだけ短い時間で配信するソリューションを実装する必要があります。 これらの要件を満たすソリューションはどれですか?

選択肢

A. Amazon S3 バケットを作成します。ログを Amazon OpenSearch Service (AmazonElasticsearch Service) クラスターにロードするための AWS Lambda 関数を作成します。S3 バケットで Amazon Simple Notice Service (Amazon SNS) 通知を有効にして、Lambda 関数を呼び出します。ファイアウォールのフローログを構成します。S3 バケットを宛先として設定します。

B.宛先としてAmazon OpenSearch Service (Amazon on Elasticsearch Service) クラスターを含む Amazon Kinesis Data Firehose 配信ストリームを作成します。
ファイアウォールのフローログの設定 Kinesis Data Firehose 配信ストリームを Network Firewall フローログの宛先として設定します。

C. ファイアウォールのフロー ログを設定します。Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターをネットワーク ファイアウォール フロー ログの宛先として設定します。

D. Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターを宛先として含む Amazon Kinesis データストリームを作成します。ファイアウォールのフロー ログを構成します。Kinesis データ ストリームをネットワーク ファイアウォール フロー ログの宛先として設定します。

解答

B

QUESTION NO: 35

Q35

ある企業が AWS に新しいアプリケーションをデプロイしています。
アプリケーションは動的マルチキャスト を使用します。
同社には 5 つの VPC があり、それらはすべてトランジットゲートウェイに接続されています。
各 VPC の Amazon EC2 インスタンスは、マルチキャスト送信を受信するために動的に登録できる必要があります。
これらの要件を満たすために、ネットワーク エンジニアは AWS リソースをどのように構成すればよいでしょうか?

選択肢

A. トランジット ゲートウェイ内に静的なソース マルチキャスト ドメインを作成します。
VPC および該当するサブネットをマルチキャスト ドメインに関連付けます。
マルチキャスト送信者のネットワーク インターフェイスをマルチキャスト ドメインに登録します。
ネットワーク ACL を調整して、送信元からすべての受信者への UDP トラフィックを許可し、マルチキャスト グループ アドレスに送信される UDP トラフィックを許可します。

B. トランジット ゲートウェイ内に静的なソース マルチキャスト ドメインを作成します。
VPC および該当するサブネットをマルチキャスト ドメインに関連付けます。マルチキャスト送信者のネットワーク インターフェイスをマルチキャスト ドメインに登録します。ネットワーク ACL を調整して、送信元からすべての受信者への TCP トラフィックを許可し、マルチキャスト グループ アドレスに送信される TCP トラフィックを許可します。

C. トランジット ゲートウェイ内にインターネット グループ管理プロトコル (IGMP) マルチキャスト ドメインを作成します。VPC および該当するサブネットをマルチキャスト ドメインに関連付けます。マルチキャスト送信者のネットワーク インターフェイスをマルチキャスト ドメインに登録します。ネットワーク ACL を調整して、送信元からすべての受信者への UDP トラフィックを許可し、マルチキャストグループ アドレスに送信される UDP トラフィックを許可します。

D. トランジット ゲートウェイ内にインターネット グループ管理プロトコル (IGMP)
マルチキャスト ドメインを作成します。VPC および該当するサブネットをマルチキャスト ドメインに関連付けます。マルチキャスト送信者のネットワーク インターフェイスをマルチキャスト ドメインに登録します。ネットワーク ACL を調整して、送信元からすべての受信者への TCP トラフィックを許可し、マルチキャスト グループ アドレスに送信される TCP トラフィックを許可します。

解答

C

QUESTION NO: 36

Q36

ある企業は、VPC で Amazon Route 53 リゾルバー DNS ファイアウォールを使用して、承認リストにあるドメインを除くすべてのドメインをブロックしています。
同社は、DNS ファイアウォールが応答しない場合、ネットワークが DNS クエリを解決できない場合に VPC 内のリソースが影響を受ける可能性があることを懸念しています。
アプリケーションのサ ビス レベル アグリーメントを維持するには、Route 53 リゾルバーが DNS ファイアウォールから応答を受信しない場合でも、引き続き解決できるように DNS クエリを必要とします。
これらの要件を満たすために、ネットワーク エンジニアはどの変更を実装する必要がありますか?

選択肢

A. DNS ファイアウォール VPC 構成を更新して、VPC のフェールオープンを無効にします。
B. DNS ファイアウォール VPC 構成を更新して、VPC のフェールオープンを有効にします。
C. dns_firewall_fail_open=false パラメータを使用して新しい DHCP オプション セットを作成します。新しい DHCP オプション セットを VPC に関連付けます。
D. パラメータ dns_firewall_fail_open=true を使用して新しい DHCP オプション セットを作成します。新しい DHCP オプション セットを VPC に関連付けます。

解答

B

Discussion