すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

更新されたANS-C01練習問題でAWS試験に簡単に合格する

成功のためにカスタマイズされた包括的な試験問題集を使って、SPOTO Fortinet AWS ANS-C01試験を効果的に準備しましょう。弊社の試験問題は、AWS Certified Advanced Networking - Specialty認定に不可欠な主要トピックをカバーしており、試験当日の徹底的な準備と自信を保証します。AWSサービスのネットワークアーキテクチャの理解を深めるためにデザインされた貴重な試験リソースと学習教材にアクセスして、試験で優れた力を発揮できるようにします。 当社の専門的な模擬試験で、試験環境をシミュレートしてスキルを磨き、改善すべき点を特定します。私たちの焦点は、あなたが成功裏に合格し、あなたの認定目標を達成するために必要な知識と自信を身につけることです。SPOTO Fortinet AWS ANS-C01試験準備コンテンツで、ただ合格を目指すだけでなく、卓越した成績を目指しましょう。
他のオンライン試験を受ける

質問 #1
あるグローバル企業では、us-east-1 リージョンの VPC 内でビジネスアプリケーションを実行している。ロンドンにあるこの会社の地域オフィスの 1 つは、仮想プライベートゲートウェイを使用して、VPC との間で AWS Site-to-Site VPN 接続を行っています。同社はトランジットゲートウェイを設定し、VPCと社内のさまざまな部署が使用する他のVPCとの間でピアリングを設定しています。ロンドンオフィスの従業員は、ビジネスアプリケーションに接続する際に待ち時間の問題を経験しています。
A. 新しいSite-to-Site VPN接続を作成する。トランジットゲートウェイをターゲットゲートウェイとして設定する。新しいSite-to-Site VPN接続でアクセラレーションを有効にする。ロンドンオフィスのVPNデバイスを新しい接続の詳細で更新する。
B. トランジットゲートウェイをターゲットゲートウェイに設定して、既存のSite-to-Site VPN接続を変更する。既存の Site-to-Site VPN 接続でアクセラレーションを有効にする。
C. C
D. Site-to-Site VPN 接続のエンドポイントを持つ新しい AWS Global Accelerator 標準アクセラレータを作成します。ロンドンオフィスの VPN デバイスを新しい接続の詳細で更新します。
回答を見る
正解: A
質問 #2
ある企業が、オンプレミスのデータセンターからAmazon EC2インスタンスへの重要なワークロードの移行を計画している。この計画には、オンプレミスのデータセンターからトランジットゲートウェイに接続されたVPCへの新しい10GbpsのAWS Direct Connect専用接続が含まれています。移行は、オンプレミスのデータセンターとAWSクラウド間の暗号化された経路で行わなければなりません。どのソリューションが、最も高いスループットを提供しながら、これらの要件を満たすでしょうか。
A. Direct Connect接続にパブリックVIFを構成する。トランジットゲートウェイへのAWS Site-to-Site VPN接続をVPNアタッチメントとして構成する。
B. Direct Connect接続にトランジットVIFを構成する。サードパーティのVPNソフトウェアを実行しているEC2インスタンスにIPsec VPN接続を構成する。
C. Direct Connect接続にMACsecを設定します。トランジットゲートウェイに関連付けられたダイレクトコネクトゲートウェイにトランジットVIFを構成する。
D. Direct Connect接続にパブリックVIFを構成する。トランジットゲートウェイに2つのAWS Site-to-Site VPN接続を構成する。等コストマルチパス(ECMP)ルーティングを有効にする。
回答を見る
正解: D
質問 #3
ある保険会社が、オンプレミスのデータセンターからAWSクラウドへのワークロードの移行を計画している。同社はエンドツーエンドのドメイン名解決を必要としている。AWSと既存のオンプレミス環境の間で双方向のDNS解決を確立する必要がある。ワークロードは複数のVPCに移行される。ワークロードは互いに依存関係があり、すべてのワークロードが同時に移行されるわけではありません。
A. 各アプリケーションVPCにプライベートホストゾーンを構成し、必要なレコードを作成します。イグレスVPCにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスのドメインのリクエストをオンプレミスのDNSリゾルバに転送するRoute 53 Resolverルールを定義します。アプリケーション VPC のプライベートホストゾーンを egress VPC に関連付け、Route 53 Resolver のルールを AWS Resource Access Manager を使用してアプリケーションアカウントと共有します。クラウドドメインを Route 53 インバウンドエンドポイントに転送するように、オンプレミスの DNS サーバを構成します。
B. 各アプリケーションVPCにパブリックホストゾーンを構成し、必要なレコードを作成します。イグレスVPCにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミスDNSリゾルバに転送するRoute 53 Resolverルールを定義します。アプリケーション VPC のプライベートホストゾーンを egress VPC に関連付け、AWS Resource Access Manager を使用して Route 53 Resolver のルールをアプリケーションアカウントと共有します。クラウドドメインを Route 53 インバウンドエンドポイントに転送するように、オンプレミスの DNS サーバを構成します。
C. 各アプリケーションVPCにプライベートホストゾーンを構成し、必要なレコードを作成します。イグレスVPにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成し、オンプレミスドメインのリクエストをオンプレミスのDNSリゾルバに転送するRoute 53 Resolverルールを定義します。AWS Resource Access Managerを使用して、アプリケーションVPCのプライベートホストゾーンをegress VPに関連付け、Route 53 Resolverルールをアプリケーションアカウントと共有します。クラウドドメインをRoute 53アウトバウンドエンドポイントに転送するように、オンプレミスのDNSサーバを設定します。
D. 各アプリケーションVPCにプライベートホストゾーンを構成し、必要なレコードを作成します。イグレスVPCにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミスDNSリゾルバに転送するRoute 53 Resolverルールを定義します。Route 53のアウトバウンドルールをアプリケーションVPCに関連付け、AWS Resource Access Managerを使用してプライベートホストゾーンをアプリケーションアカウントと共有します。クラウドドメインをRoute 53インバウンドエンドポイントに転送するように、オンプレミスのDNSサーバを構成します。
回答を見る
正解: A
質問 #4
津波の早期警報を提供する国際企業。同社は、IoTデバイスを使用して世界中の海の波を監視することを計画している。IoTデバイスが収集したデータは、AWS上の同社のインフラにできるだけ早く到達しなければならない。同社は世界各地にある3つのオペレーションセンターを利用している。各オペレーションセンターは、独自のAWS Direct Connect接続を通じてAWSに接続されている。各オペレーションセンターは、少なくとも2つのアップストリームインターネットサービスプロバイダを介してインターネットに接続されている。
A. オリジンフェイルオーバー機能付きのAmazon CloudFrontディストリビューションをセットアップする。ソリューションがデプロイされるリージョンごとにオリジングループを作成する。
B. Route 53のレイテンシベースルーティングを設定する。レイテンシエイリアスレコードを追加する。レイテンシエイリアスレコードで、Evaluate Target Healthの値をYesに設定します。
C. AWS Global Acceleratorでアクセラレータを設定する。リージョナルエンドポイントグループとヘルスチェックを設定する。
D. BYOIP(Bring Your Own IP)アドレスを設定する。ソリューションが展開される各地域で同じ PI アドレスを使用する。
回答を見る
正解: C
質問 #5
ある企業のAWSアーキテクチャは複数のVPCで構成されている。VPCには、共有サービスVPCと複数のアプリケーションVPCが含まれます。同社は、すべてのVPCからオンプレミスのDNSサーバーへのネットワーク接続を確立しています。アプリケーションVPCにデプロイされるアプリケーションは、オンプレミスで内部ホストされているドメインのDNSを解決できなければなりません。アプリケーションVPCにデプロイされるアプリケーションは、構内でホストされているドメインのDNSを解決できなければなりません。アプリケーションはまた、ローカルVPCドメイン名とAmazon Route 53プライベートホストゾーンでホストされているドメインを解決できなければなりません。
A. 共有サービスVPCに新しいRoute 53 Resolverインバウンドエンドポイントを作成します。オンプレミスでホストされているドメインの転送ルールを作成します。ルールを新しいリゾルバのエンドポイントと各アプリケーションVPCに関連付けます。各アプリケーションVPCのDHCP設定を更新して、DNS解決を新しいResolverエンドポイントに向けるようにします。
B. 共有サービスVPCに新しいRoute 53 Resolverアウトバウンドエンドポイントを作成します。オンプレミスでホストされているドメインの転送ルールを作成します。ルールを新しいResolverエンドポイントと各アプリケーションVPCに関連付けます。
C. 共有サービスVPCに新しいRoute 53 Resolverアウトバウンドエンドポイントを作成する。オンプレミスでホストされているドメインの転送ルールを作成する。ルールを新しいリゾルバのエンドポイントと各アプリケーションVPCに関連付けます。DNS解決を新しいリゾルバのエンドポイントに向けるように、各アプリケーションVPCのDHCP構成を更新します。
D. 共有サービスVPCに新しいRoute 53 Resolverインバウンドエンドポイントを作成します。オンプレミスでホストされているドメインの転送ルールを作成します。ルールを新しいResolverエンドポイントと各アプリケーションVPCに関連付けます。
回答を見る
正解: A
質問 #6
ある企業は、VPCにトラフィック検査とNAT機能のためにサードパーティのファイアウォール・アプライアンスを導入している。VPCはプライベートサブネットとパブリックサブネットで構成されています。この企業は、ファイアウォールアプライアンスをロードバランサーの背後に配備する必要があります。これらの要件を最もコスト効率よく満たすアーキテクチャはどれですか。
A. ファイアウォールアプライアンスをターゲットとしてゲートウェイロードバランサーを導入する。ファイアウォールアプライアンスをプライベートサブネット内の単一のネットワークインターフェイスで構成する。NATゲートウェイを使用して、検査後にトラフィックをインターネットに送信する。
B. ファイアウォールアプライアンスをターゲットとしてゲートウェイロードバランサーを展開する。ファイアウォールアプライアンスに2つのネットワークインターフェイス(プライベートサブネットの1つのネットワークインターフェイスとパブリックサブネットのもう1つのネットワークインターフェイス)を設定する。ファイアウォール・アプライアンスのNAT機能を使用して、検査後にトラフィックをインターネットに送信する。
C. ファイアウォールアプライアンスをターゲットとしてネットワークロードバランサーを展開する。ファイアウォールアプライアンスをプライベートサブネット内の単一のネットワークインターフェイスで構成する。NATゲートウェイを使用して、検査後にトラフィックをインターネットに送信する。
D. ファイアウォールアプライアンスをターゲットとしてネットワークロードバランサーを展開します。ファイアウォールアプライアンスに2つのネットワークインターフェイス(プライベートサブネットの1つのネットワークインターフェイスとパブリックサブネットのもう1つのネットワークインターフェイス)を設定する。ファイアウォールアプライアンスのNAT機能を使用して、検査後にトラフィックをインターネットに送信します。
回答を見る
正解: D
質問 #7
ある企業は最近、セキュリティ・コンプライアンスの要件を満たすために、Amazon EC2インスタンスをVPCプライベート・サブネットに移行した。EC2インスタンスは現在、インターネットアクセスにNATゲートウェイを使用している。移行後、プライベートEC2インスタンスから一般にアクセス可能なサードパーティデータベースへの長期にわたるデータベースクエリが応答しなくなった。データベースのクエリログを見ると、クエリは7分後に正常に完了しているが、クライアントEC2インスタンスは応答を受け取っていない。
A. NATゲートウェイのタイムアウトを設定し、最大600秒間接続を許可する。
B. クライアントEC2インスタンスで拡張ネットワークを有効にする。
C. クライアントEC2インスタンスでTCPキープアライブを300秒未満で有効にする。
D. NAT ゲートウェイを経由するアイドル状態の TCP 接続を閉じます。
回答を見る
正解: C
質問 #8
ある企業が、オンプレミスのデータセンターからAWSクラウドの仮想プライベートゲートウェイへのAWS Site-to-Site VPN接続を使用しています。トラフィックがAWSに到達する前にインターネットを横断するため、混雑のために可用性とパフォーマンスの問題が発生しています。ネットワークエンジニアは、最小限の管理工数で、接続に関するこれらの問題をできるだけ早く解決しなければなりません。
A. アクセラレーションを有効にして、既存のSite-to-Site VPN接続を編集する。新しい設定を有効にするために、顧客のゲートウェイでVPNサービスを停止し、開始する。
B. 既存の仮想プライベートゲートウェイと同じAWSリージョンにトランジットゲートウェイを構成する。新しい加速 Site-to-Site VPN 接続を作成する。VPN アタッチメントを使用して、新しい接続をトランジットゲートウェイに接続します。顧客のゲートウェイデバイスを更新して、新しい Site-to-Site VPN 接続を使用するようにします。既存の Site-to-Site VPN 接続を削除します。
C. 新しい加速Site-to-Site VPN接続を作成する。新しいSite-to-Site VPN接続を既存の仮想プライベートゲートウェイに接続する。新しいSite-to-Site VPN接続を使用するように、顧客のゲートウェイデバイスを更新する。既存の Site-to-Site VPN 接続を削除する。
D. オンプレミスのデータセンターとAWSクラウドの間にプライベートVIFで新しいAWS Direct Connect接続を作成する。新しいDirect Connect接続を使用するように、顧客のゲートウェイデバイスを更新する。既存のSite-to-Site VPN接続を削除します。
回答を見る
正解: B
質問 #9
ある企業は、VPCにトラフィック検査とNAT機能のためにサードパーティのファイアウォール・アプライアンスを導入している。VPCはプライベートサブネットとパブリックサブネットで構成されています。この企業は、ファイアウォールアプライアンスをロードバランサーの背後に配備する必要があります。これらの要件を最もコスト効率よく満たすアーキテクチャはどれですか。
A. ファイアウォールアプライアンスをターゲットとしてゲートウェイロードバランサーを導入する。ファイアウォールアプライアンスをプライベートサブネット内の単一のネットワークインターフェイスで構成する。NATゲートウェイを使用して、検査後にトラフィックをインターネットに送信する。
B. ファイアウォールアプライアンスをターゲットとしてゲートウェイロードバランサーを展開する。ファイアウォールアプライアンスに2つのネットワークインターフェイス(プライベートサブネットの1つのネットワークインターフェイスとパブリックサブネットのもう1つのネットワークインターフェイス)を設定する。ファイアウォール・アプライアンスのNAT機能を使用して、検査後にトラフィックをインターネットに送信する。
C. ファイアウォールアプライアンスをターゲットとしてネットワークロードバランサーを展開する。ファイアウォールアプライアンスをプライベートサブネット内の単一のネットワークインターフェイスで構成する。NATゲートウェイを使用して、検査後にトラフィックをインターネットに送信する。
D. ファイアウォールアプライアンスをターゲットとしてネットワークロードバランサーを展開します。ファイアウォールアプライアンスに2つのネットワークインターフェイス(プライベートサブネットの1つのネットワークインターフェイスとパブリックサブネットのもう1つのネットワークインターフェイス)を設定する。ファイアウォールアプライアンスのNAT機能を使用して、検査後にトラフィックをインターネットに送信します。
回答を見る
正解: D
質問 #10
ある企業が、アプリケーション・ロード・バランサーの背後にあるAmazon EC2インスタンス群に、重要なアプリケーションをデプロイした。このアプリケーションは、パブリックインターネットからポート443で常にアクセス可能でなければならない。ネットワークエンジニアは、セキュリティグループに変更が加えられるたびに、パブリックインターネットとEC2インスタンス間のネットワーク接続を検証する方法を自動化する必要がある。また、このソリューションは
A. 各EC2インスタンスのエラスティック・ネットワーク・インターフェースでVPC Flow Logsを有効にして、443番ポートのREJECTトラフィックをキャプチャする。フローログレコードをAmazon CloudWatch Logsのロググループにパブリッシュする。拒否されたトラフィックのロググループのCloudWatch Logsメトリックフィルターを作成する。ネットワークエンジニアに通知するアラームを作成する。
B. 各EC2インスタンスのエラスティック・ネットワーク・インターフェースでVPC Flow Logsを有効にして、ポート443上のすべてのトラフィックをキャプチャする。フローログレコードをAmazon CloudWatch Logsのロググループにパブリッシュする。すべてのトラフィックについて、ロググループのCloudWatch Logsメトリックフィルターを作成する。ネットワークエンジニアに通知するアラームを作成する。
C. 443番ポートにVPC到達性分析パスを作成します。ソースとしてセキュリティグループを指定する。デスティネーションとしてEC2インスタンスを指定する。Amazon Simple Notification Service(Amazon SNS)トピックを作成し、セキュリティグループの変更が接続に影響したときにネットワークエンジニアに通知する。AWSのLambda関数を作成し、Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックにメッセージを発行する。 Amazon EventBridge(Amazon CloudWatch Events)ルールを作成し、セキュリティグループに変更が発生した場合にLambda関数を起動する。
D. 443番ポートにVPC到達性アナライザー・パスを作成します。ソースとしてVPCのインターネットゲートウェイを指定する。デスティネーションとしてEC2インスタンスを指定します。Amazon Simple Notification Service(Amazon SNS)トピックを作成し、セキュリティグループの変更が接続に影響したときにネットワークエンジニアに通知します。AWS Lambda関数を作成し、Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックにメッセージをパブリッシュする。Amazon EventBridge(Amazon CloudWatch Events)ルールを作成し、セキュリティグループの変更が発生したときにLambda関数を呼び出します。
回答を見る
正解: D
質問 #11
ある企業は、既存のVPCとオンプレミスネットワークの間にAWS Site-to-Site VPN接続を持っています。デフォルトのDHCPオプションセットは、VPCに関連付けられています。この企業には、VPC内のAmazon Linux 2 Amazon EC2インスタンスで実行されているアプリケーションがあります。このアプリケーションは、プライベートVPCエンドポイントを介してAWS Secrets Managerに格納されているAmazon RDSデータベースシークレットを取得する必要があります。オンプレミスのアプリケーションは、URL (https://api.example.internal) でアクセスできる内部 RESTful API サービスを提供している。Tw
A. 更新が必要なすべてのIPアドレス範囲とセキュリティグループを管理するために、Amazon DynamoDBテーブルを作成します。会社が新しいパートナーを追加したときに、新しいIPアドレス範囲でDynamoDBテーブルを更新する。AWS Lambda関数を呼び出して、DynamoDBテーブルから新しいIPアドレス範囲とセキュリティグループを読み取り、セキュリティグループを更新する。このソリューションをすべてのアカウントにデプロイする。
B. 新しいプレフィックスリストを作成する。すべての許可されたIPアドレス範囲をプレフィックスリストに追加する。Amazon EventBridge(Amazon CloudWatch Events)ルールを使用してAWS Lambda関数を呼び出し、新しいIPアドレス範囲がプレフィックスリストに追加されるたびにセキュリティグループを更新する。このソリューションをすべてのアカウントにデプロイする。
C. 新しいプレフィックスリストを作成する。プレフィックスリストにすべての許可された IP アドレス範囲を追加します。AWS Resource Access Manager(AWS RAM)を使用して、異なるアカウント間でプレフィックスリストを共有する。セキュリティグループを更新して、パートナー IP アドレス範囲の代わりにプレフィックスリストを使用する。企業が新しいパートナーを追加したときに、新しい IP アドレス範囲でプレフィックスリストを更新する。
D. 更新が必要なすべてのIPアドレス範囲とセキュリティグループを管理するために、Amazon S3バケットを作成します。会社が新しいパートナーを追加したときに、新しいIPアドレス範囲でS3バケットを更新する。AWS Lambda関数を呼び出して、S3バケットから新しいIPアドレス範囲とセキュリティグループを読み取り、セキュリティグループを更新する。このソリューションをすべてのアカウントにデプロイする。
回答を見る
正解: B
質問 #12
ある企業がeコマースサイトの新機能を作成中だ。これらの機能は、異なる経路でアクセスされる複数のマイクロサービスを使用する。マイクロサービスはAmazon Elastic Container Service(Amazon ECS)上で実行される。同社はすべての公開ウェブサイトでHTTPSの使用を要求している。ネットワークエンジニアは、これらの要件を満たすロードバランシング戦略を実装する必要があります。
A. トランジットゲートウェイを作成します。各VPCをトランジットゲートウェイにピアリングします。サービスVPCのNLBにはゾーンDNS名を使用し、イングレスVPCからサービスVPCへのクロスAZトラフィックを最小限に抑えます。
B. イングレスVPCの各可用性ゾーンにAWS PrivateLinkエンドポイントを作成します。各PrivateLinkエンドポイントは、サービスVPC内のNLBのゾーンDNSエントリーを指す。
C. イングレスVPCと10個の各サービスVPCの間にVPCピアリング接続を作成します。サービスVPCのNLBにはゾーンDNS名を使用して、イングレスVPCからサービスVPCへのクロスAZトラフィックを最小限に抑えます。
D. トランジットゲートウェイを作成します。各VPCをトランジットゲートウェイにピアリングします。トランジットゲートウェイのクロスAZロードバランシングをオフにします。サービスVPCのNLBに地域DNS名を使用します。
回答を見る
正解: BE
質問 #13
ある企業が、インターネットへのアウトバウンド・トラフィックに NAT ゲートウェイを使用する VPC にアプリケーションをデプロイしました。あるネットワーク・エンジニアは、VPCからインターネット経由で、拒否リストに含まれているIPアドレスに大量の不審なネットワーク・トラフィックが流れていることに気づきました。ネットワークエンジニアは、疑わしいトラフィックを生成している AWS リソースを特定するソリューションを実装する必要があります。ソリューションは、コストと管理オーバーヘッドを最小限に抑える必要があります。これらの要件を満たすソリューションはどれですか?
A. VPCでAmazon EC2インスタンスを起動する。NATゲートウェイをソースに、EC2インスタンスをデスティネーションに指定して、トラフィックミラーリングを使用する。オープンソースのツールを使用してキャプチャしたトラフィックを分析し、疑わしいトラフィックを生成しているAWSリソースを特定する。
B. VPCのフロー・ログを使用する。VPCでセキュリティ情報とイベント管理(SIEM)ソリューションを起動します。VPCのフローログを取り込むようにSIEMソリューションを設定します。SIEMソリューションでクエリーを実行し、疑わしいトラフィックを生成しているAWSリソースを特定します。
C. VPCフローログを使用する。Amazon CloudWatch Logsのロググループにフローログをパブリッシュする。CloudWatch Logs Insightsを使用してフローログをクエリし、疑わしいトラフィックを生成しているAWSリソースを特定する。
D. ネットワークトラフィックをAmazon Kinesisデータストリームに直接ストリーミングするようにVPCを構成する。KinesisデータストリームからAmazon Kinesis Data Firehoseデリバリーストリームにデータを送信し、Amazon S3にデータを保存します。Amazon Athenaを使用してデータを照会し、疑わしいトラフィックを生成しているAWSリソースを特定する。
回答を見る
正解: C
質問 #14
ある企業がAWS上に新しいアプリケーションをデプロイしている。このアプリケーションは動的マルチキャストを使用する。この会社には、トランジットゲートウェイに接続された5つのVPCがあります。各VPCのAmazon EC2インスタンスは、マルチキャスト伝送を受信するために動的に登録できる必要があります。これらの要件を満たすために、ネットワークエンジニアはどのようにAWSリソースを構成する必要がありますか?
A. トランジットゲートウェイ内に静的ソースマルチキャストドメインを作成します。VPCと該当するサブネットをマルチキャストドメインに関連付けます。マルチキャスト送信者のネットワークインタフェースをマルチキャストドメインに登録します。ネットワークACLを調整して、送信元からすべての受信元へのUDPトラフィックを許可し、マルチキャストグループアドレスに送信されるUDPトラフィックを許可する。
B. トランジットゲートウェイ内に静的ソースマルチキャストドメインを作成します。VPCと該当するサブネットをマルチキャストドメインに関連付けます。マルチキャスト送信者のネットワークインタフェースをマルチキャストドメインに登録します。ネットワークACLを調整して、送信元からすべての受信元へのTCPトラフィックを許可し、マルチキャストグループアドレスに送信されるTCPトラフィックを許可する。
C. トランジットゲートウェイ内にインターネットグループ管理プロトコル(IGMP)マルチキャストドメインを作成します。VPCと該当するサブネットをマルチキャストドメインに関連付けます。マルチキャスト送信者のネットワークインタフェースをマルチキャストドメインに登録します。ネットワークACLを調整して、送信元からすべての受信元へのUDPトラフィックを許可し、マルチキャストグループアドレスに送信されるUDPトラフィックを許可する。
D. トランジットゲートウェイ内にインターネットグループ管理プロトコル(IGMP)マルチキャストドメインを作成します。VPCと該当するサブネットをマルチキャストドメインに関連付けます。マルチキャスト送信者のネットワークインターフェイスをマルチキャストドメインに登録します。ネットワークACLを調整して、送信元からすべての受信元へのTCPトラフィックを許可し、マルチキャストグループアドレスに送信されるTCPトラフィックを許可する。
回答を見る
正解: C
質問 #15
ある企業が、アプリケーションロードバランサー(ALB)の背後にあるAmazon EC2インスタンスに、新しいWebアプリケーションをデプロイした。インスタンスはAmazon EC2 Auto Scalingグループにある。世界中の企業顧客がこのアプリケーションを使用する。これらの企業顧客の従業員は、オフィスからHTTPSでアプリケーションに接続する。同社は、承認されたIPアドレスのみにアウトバウンドトラフィックを許可するようにファイアウォールを構成する必要がある。企業顧客の従業員は、アプリケーションにアクセスできなければなりません。
A. 新しいネットワークロードバランサー(NLB)を作成する。ALBをNLBのターゲットとして追加します。
B. 新しいAmazon CloudFrontディストリビューションを作成します。ディストリビューションのオリジンとしてALBを設定する。
C. AWS Global Acceleratorで新しいアクセラレータを作成する。ALBをアクセラレーターエンドポイントとして追加します。
D. 新しいAmazon Route 53ホストゾーンを作成します。ALBにトラフィックをルーティングするための新しいレコードを作成します。
回答を見る
正解: C
質問 #16
ある企業がAWS Direct Connectを使用して、企業ネットワークを同じAWSアカウントおよび同じAWSリージョン内の複数のVPCに接続している。各 VPC は、Direct Connect 接続で独自のプライベート VIF と独自の仮想 LAN を使用しています。オンプレミス接続でVPCを追加する最もスケーラブルな方法は何ですか?
A. 追加のVPCを処理するために新しいDirect Connect接続をプロビジョニングします。新しい接続を使用して、追加のVPCを接続します。
B. サービスクォータを超えているVPCごとに仮想プライベートゲートウェイを作成する。AWS Site-to-Site VPNを使用して、仮想プライベートゲートウェイを企業ネットワークに接続する。
C. Direct Connectゲートウェイを作成し、VPCに仮想プライベートゲートウェイアソシエーションを追加する。企業ネットワークに接続するためにプライベートVIFを構成する。
D. トランジットゲートウェイを作成し、VPCをアタッチする。ダイレクトコネクトゲートウェイを作成し、トランジットゲートウェイに関連付ける。ダイレクトコネクトゲートウェイにトランジットVIFを作成する。
回答を見る
正解: D
質問 #17
あるセキュリティチームが、ある企業の AWS デプロイメントの監査を行っている。セキュリティチームは、2つのアプリケーションが、ネットワークACLとセキュリティグループによってブロックされるべきリソースにアクセスしている可能性があることを懸念しています。アプリケーションは、Kubernetes用のAmazon VPC Container Network Interface(CNI)プラグインを使用する2つのAmazon Elastic Kubernetes Service(Amazon EKS)クラスタにわたってデプロイされています。これらのクラスタは、同じVPC内の別々のサブネットにあり、クラスタオートスケーラが設定されています。
A. VPCのフローログをデフォルトのフォーマットで作成します。EKSノードからのみフローログを収集するフィルタを作成します。フローログにsrcaddrフィールドとdstaddrフィールドを含める。
B. カスタムフォーマットでVPCフローログを作成する。リソースとしてEKSノードを設定する。 フローログにpkt-srcaddrフィールドとpkt-dstaddrフィールドを含める。
C. カスタムフォーマットでVPCフローログを作成する。アプリケーションサブネットをリソースとして設定します。フローログに pkt-srcaddr フィールドと pkt-dstaddr フィールドを含めます。
D. VPCフローログをカスタムフォーマットで作成する。EKSノードからのみフローログを収集するフィルタを作成します。フローログにpkt-srcaddrフィールドとpkt-dstaddrフィールドを含める。
回答を見る
正解: D
質問 #18
ある会社のネットワークエンジニアは、トラブルシューティングとネットワーク異常の検出に役立つ新しいソリューションを設計する必要があります。ネットワークエンジニアはトラフィックミラーリングを設定した。しかし、ミラーリングされたトラフィックは、トラフィックミラーのターゲットであるAmazon EC2インスタンスを圧倒している。EC2インスタンスは、会社のセキュリティチームがトラフィックの解析に使用するツールをホストしている。ネットワーク・エンジニアは、ミラーリングされたトラフィックの需要に合わせて拡張できる、可用性の高いソリューションを設計する必要があります。
A. トラフィックのミラーターゲットとしてネットワークロードバランサー(NLB)をデプロイする。NLBの背後に、Auto ScalingグループにEC2インスタンスのフリートをデプロイする。必要に応じてトラフィックミラーリングを使用する。
B. トラフィックのミラーターゲットとして、アプリケーションロードバランサー(ALB)をデプロイする。ALBの背後に、Auto ScalingグループにEC2インスタンス群を配置する。営業時間外にのみトラフィックミラーリングを使用する。
C. トラフィックのミラーターゲットとしてゲートウェイロードバランサー(GLB)を配置する。GLBの背後に、Auto ScalingグループにEC2インスタンスのフリートをデプロイする。必要に応じてトラフィックミラーリングを使用する。
D. トラフィックのミラーターゲットとしてHTTPSリスナーを持つアプリケーションロードバランサー(ALB)をデプロイする。ALBの背後に、Auto ScalingグループにEC2インスタンスのフリートをデプロイする。アクティブなイベントまたは営業時間中のみトラフィックミラーリングを使用する。
回答を見る
正解: A
質問 #19
ある企業は、複数のAWSアカウントによるハイブリッド・アーキテクチャを利用して、AWSクラウドにネットワークを拡張した。同社は、オンプレミスのデータセンターと社内オフィスへの接続用に共有AWSアカウントを設定した。ワークロードは、社内用のプライベートなWebベースのサービスで構成されている。これらのサービスは、異なるAWSアカウントで実行される。オフィスベースの従業員は、example.internalという名前のオンプレミスDNSゾーン内のDNS名を使用して、これらのサービスを利用します。
A. クロス可用性ゾーンのロードバランシングを有効にして、共有サービスVPCのトランジットゲートウェイVPCアタッチメントを変更します。
B. アプライアンスモードのサポートを有効にして、共有サービスVPCのトランジットゲートウェイVPCアタッチメントを変更します。
C. VPNイコールコストマルチパス(ECMP)ルーティングサポートを選択して、トランジットゲートウェイを変更する。
D. マルチキャストサポートを選択してトランジットゲートウェイを変更します。
回答を見る
正解: CEF
質問 #20
ある企業がアプリケーションをデプロイしている。アプリケーションは、Amazon Elastic Container Service(Amazon ECS)クラスタ内の一連のコンテナに実装されている。同社はタスクにFargate起動タイプを使用する。コンテナは、SSL接続を介して開始される接続性を必要とするワークロードを実行する。トラフィックは、プライベート接続を介して他のAWSアカウントからアプリケーションに流れることができなければならない。アプリケーションは、より多くのコンシューマがアプリケーションを使用するにつれて、管理可能な方法でスケールしなければなりません。
A. WebサービスVPCと既存の本番環境VPCの間にVPCピアリング接続を作成します。既存の本番環境から192
B. ウェブサービスの開発チームに、ウェブサービスを本番VPCに再デプロイし、そこでシステムを統合するよう依頼する。
C. VPCエンドポイント・サービスを作成します。VPCエンドポイント・サービスをWebサービスのNLBに関連付けます。既存の本番 VP に、Web サービス用のインターフェイス VPC エンドポイントを作成します。
D. 既存の本番環境にトランジット・ゲートウェイを作成する。本番環境のVPCとWebサービスのVPCにアタッチメントを作成します。トランジットゲートウェイとVPCのルートテーブルに、192
回答を見る
正解: D
質問 #21
ある企業が、アプリケーションロードバランサー(ALB)の背後にあるAmazon EC2インスタンスに、新しいWebアプリケーションをデプロイした。インスタンスはAmazon EC2 Auto Scalingグループにある。世界中の企業顧客がこのアプリケーションを使用する。これらの企業顧客の従業員は、オフィスからHTTPSでアプリケーションに接続する。同社は、承認されたIPアドレスのみにアウトバウンドトラフィックを許可するようにファイアウォールを構成する必要がある。企業顧客の従業員は、アプリケーションにアクセスできなければなりません。
A. 新しいネットワークロードバランサー(NLB)を作成する。ALBをNLBのターゲットとして追加します。
B. 新しいAmazon CloudFrontディストリビューションを作成します。ディストリビューションのオリジンとしてALBを設定する。
C. AWS Global Acceleratorで新しいアクセラレータを作成する。ALBをアクセラレーターエンドポイントとして追加します。
D. 新しいAmazon Route 53ホストゾーンを作成します。ALBにトラフィックをルーティングするための新しいレコードを作成します。
回答を見る
正解: C
質問 #22
ある企業が複数のAWSリージョンのVPCにまたがってリソースを管理している。同社は、内部ドメイン名を使用してリソースに接続する必要があります。ネットワークエンジニアは、すべてのリソースにaws.example.com DNS接尾辞を適用する必要があります。この要件を満たすために、ネットワークエンジニアは何をしなければなりませんか?
A. リソースを持つ各リージョンに、aws
B. aws
C. example
D. aws
回答を見る
正解: D
質問 #23
ある会社のネットワークエンジニアは、トラブルシューティングとネットワーク異常の検出に役立つ新しいソリューションを設計する必要があります。ネットワークエンジニアはトラフィックミラーリングを設定した。しかし、ミラーリングされたトラフィックは、トラフィックミラーのターゲットであるAmazon EC2インスタンスを圧倒している。EC2インスタンスは、会社のセキュリティチームがトラフィックの解析に使用するツールをホストしている。ネットワーク・エンジニアは、ミラーリングされたトラフィックの需要に合わせて拡張できる、可用性の高いソリューションを設計する必要があります。
A. トラフィックのミラーターゲットとしてネットワークロードバランサー(NLB)をデプロイする。NLBの背後に、Auto ScalingグループにEC2インスタンスのフリートをデプロイする。必要に応じてトラフィックミラーリングを使用する。
B. トラフィックのミラーターゲットとして、アプリケーションロードバランサー(ALB)をデプロイする。ALBの背後に、Auto ScalingグループにEC2インスタンス群を配置する。営業時間外にのみトラフィックミラーリングを使用する。
C. トラフィックのミラーターゲットとしてゲートウェイロードバランサー(GLB)を配置する。GLBの背後に、Auto ScalingグループにEC2インスタンスのフリートをデプロイする。必要に応じてトラフィックミラーリングを使用する。
D. トラフィックのミラーターゲットとしてHTTPSリスナーを持つアプリケーションロードバランサー(ALB)をデプロイする。ALBの背後に、Auto ScalingグループにEC2インスタンスのフリートをデプロイする。アクティブなイベントまたは営業時間中のみトラフィックミラーリングを使用する。
回答を見る
正解: A
質問 #24
ある企業がAWS Direct Connectを使用して、企業ネットワークを同じAWSアカウントおよび同じAWSリージョン内の複数のVPCに接続している。各 VPC は、Direct Connect 接続で独自のプライベート VIF と独自の仮想 LAN を使用しています。オンプレミス接続でVPCを追加する最もスケーラブルな方法は何ですか?
A. 追加のVPCを処理するために新しいDirect Connect接続をプロビジョニングします。新しい接続を使用して、追加のVPCを接続します。
B. サービスクォータを超えているVPCごとに仮想プライベートゲートウェイを作成する。AWS Site-to-Site VPNを使用して、仮想プライベートゲートウェイを企業ネットワークに接続する。
C. Direct Connectゲートウェイを作成し、VPCに仮想プライベートゲートウェイアソシエーションを追加する。企業ネットワークに接続するためにプライベートVIFを構成する。
D. トランジットゲートウェイを作成し、VPCをアタッチする。ダイレクトコネクトゲートウェイを作成し、トランジットゲートウェイに関連付ける。ダイレクトコネクトゲートウェイにトランジットVIFを作成する。
回答を見る
正解: D
質問 #25
本番用VPC、非本番用VPC、共有サービス用VPCです。本番用VPCと非本番用VPCは、それぞれ共有サービスVPCと通信する必要があります。本番用VPCと非本番用VPCの間には通信があってはなりません。トランジットゲートウェイは、VPC間の通信を容易にするために導入されます。トランジットゲートウェイ上のどのルートテーブル構成がこれらの要件を満たすでしょうか。
A. 共有サービス VPC だけに伝播されたルートに関連付けられた、本番および非本番 VPC のアタッチメントを持つルートテーブルを構成します。本番用VPCと非本番用VPCから伝搬されたルートに関連付けられた共有サービスVPCアタッチメントのみを使用して、追加のルートテーブルを作成します。
B. 各VPCの伝搬経路に関連付けられた本番用VPCアタッチメントと非本番用VPCアタッチメントでルートテーブルを構成します。各VPCから伝搬されたルートに関連付けられた共有サービスVPCアタッチメントのみを持つ追加のルートテーブルを作成します。
C. 共有サービスVPCのみに伝播された経路に関連するすべてのVPCアタッチメントを持つルートテーブルを構成する 本番および非本番VPCから伝播された経路に関連する共有サービスVPCアタッチメントのみを持つ追加のルートテーブルを作成します。
D. 伝搬経路に関連付けられた本番用VPCと非本番用VPCのアタッチメントを無効にしたルートテーブルを構成します。本番用VPCおよび非本番用VPCからの伝搬経路に関連付けられた共有サービスVPCアタッチメントのみを使用して、追加のルートテーブルを作成します。
回答を見る
正解: A
質問 #26
ある会社がインターネット経由でアプリケーションを配信しています。Amazon Route 53のパブリックホスティングゾーンは、会社とそのインターネットアプリケーションの権威DNSサービスであり、すべて同じドメイン名から提供されている。あるネットワークエンジニアが、あるアプリケーションの新しいバージョンに取り組んでいます。アプリケーションのコンポーネントはすべてAWSクラウドでホストされています。アプリケーションは3層構造になっています。フロントエンドは、Elastic IPアドレスを持つパブリックサブネットにデプロイされたAmazon EC2インスタンスを通じて提供されます。
A. ECSサービスのロードバランサーのタイプとして、ゲートウェイロードバランサー(GLB)を選択する。スケーリングに対応するために、必要に応じてAmazon ECSからターゲットグループに新しいタスクを追加するライフサイクルフックを作成する。サービス定義でGLBを指定する。外部AWSアカウント用のVPCピアを作成します。AWSアカウントがGLBに到達できるようにルートテーブルを更新する。
B. ECSサービスのロードバランサーのタイプとして、アプリケーション・ロードバランサー(ALB)を選択する。パスベースのルーティングルールを作成し、アプリケーションがターゲットグループに登録されているコンテナをターゲットにできるようにする。サービス定義でALBを指定する。ALB用のVPCエンドポイントサービスを作成する VPCエンドポイントサービスを他のAWSアカウントと共有する。
C. ECSサービスのロードバランサーのタイプとして、アプリケーション・ロードバランサー(ALB)を選択する。パスベースのルーティングルールを作成し、アプリケーションがターゲットグループに登録されているコンテナをターゲットにできるようにする。サービス定義でALBを指定する。外部AWSアカウント用のVPCピアを作成する。AWSアカウントがALBに到達できるようにルートテーブルを更新する。
D. ECSサービスのロードバランサーのタイプとして、ネットワーク・ロードバランサー(NLB)を選択する。サービス定義でNLBを指定する。NLB用のVPCエンドポイントサービスを作成します。VPCエンドポイントサービスを他のAWSアカウントと共有する。
回答を見る
正解: BCD
質問 #27
ある銀行会社は、AWS上でパブリックモバイルバンキングスタックの運用に成功している。モバイルバンキングスタックは、プライベートサブネットとパブリックサブネットを含むVPCにデプロイされている。同社はIPv4ネットワーキングを使用しており、IPv6はこの環境ではデプロイもサポートもされていない。同社はサードパーティーのサービスプロバイダーのAPIを採用することを決定し、APIを既存の環境に統合する必要がある。サービスプロバイダのAPIはIPv6を使用する必要がある。
A. VPC内にインターネットゲートウェイとNATゲートウェイを作成します。既存のサブネットのルートテーブルに、IPv6トラフィックをNATゲートウェイに向けるルートを追加します。
B. VPC内にインターネットゲートウェイとNATインスタンスを作成します。既存のサブネットのルートテーブルに、IPv6トラフィックをNATインスタンスに向けるルートを追加します。
C. VPAにegress-onlyインターネットゲートウェイを作成し、既存のサブネットルートテーブルにルートを追加して、IPv6トラフィックをegress-onlyインターネットゲートウェイに向ける。
D. VPC内にイグレス専用のインターネットゲートウェイを作成します。すべてのインバウンドトラフィックを拒否するセキュリティグループを設定します。セキュリティグループをegress-onlyインターネットゲートウェイに関連付けます。
回答を見る
正解: C
質問 #28
ある企業のネットワークエンジニアが、2つのオンプレミスデータセンターからAWSへのアクティブパッシブ接続を設計している。同社は、オンプレミスのデータセンターとAWSの間にAWS Direct Connect接続を設定している。ネットワークエンジニアは、AWSからデータセンターへのトラフィックが最初にプライマリデータセンターにルーティングされるようにする必要があります。ネットワークエンジニアは、AWSからデータセンターへのトラフィックが最初にプライマリデータセンターにルーティングされるようにしなければなりません。
A. プライマリデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:7100に設定します。フェイルオーバーデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:7300に設定します。
B. プライマリデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:7300に設定します。フェイルオーバーデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:7100に設定します。
C. プライマリデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:9300に設定します。フェイルオーバーデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:9100に設定します。
D. プライマリデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:9100に設定します。フェイルオーバーデータセンターからのすべてのプレフィックスのBGPコミュニティタグを7224:9300に設定します。
回答を見る
正解: B
質問 #29
ある会社の開発チームが、新しい商品推奨ウェブサービスを作成した。このウェブサービスは、192.168.224.0/19のCIDRブロックを持つVPCでホストされている。同社は、Amazon EC2インスタンスにウェブサービスをデプロイし、ネットワークロードバランサー(NLB)のターゲットとしてAuto Scalingグループを構成した。この会社には大きな売上があります。
A. Direct ConnectのトランジットVIFを更新し、AWSに割り当てられたIPv6ピアリングアドレスでBGPピアリングを設定する。IPv6接続をサポートする新しいVPN接続を作成します。イグレス専用のインターネットゲートウェイを追加します。影響を受けるVPCセキュリティグループとルートテーブルを更新して、VPC内およびVPCとオンプレミスデバイス間の接続性を提供します。
B. ダイレクトコネクトのトランジットVIFを更新し、AWSに割り当てられたIPv6ピアリングアドレスでBGPピアリングを設定する。既存のVPN接続を更新し、IPv6接続をサポートします。イグレス専用のインターネットゲートウェイを追加します。影響を受けるVPCセキュリティグループとルートテーブルを更新して、VPC内およびVPCとオンプレミスデバイス間の接続性を提供します。
C. Direct ConnectトランジットVIFを作成し、AWSに割り当てられたIPv6ピアリングアドレスでBGPピアリングを設定する。IPv6接続をサポートする新しいVPN接続を作成します。イグレス専用のインターネットゲートウェイを追加します。影響を受けるVPCセキュリティグループとルートテーブルを更新して、VPC内およびVPCとオンプレミスデバイス間の接続性を提供します。
D. Direct ConnectのトランジットVIFを作成し、AWSに割り当てられたIPv6ピアリングアドレスでBGPピアリングを設定する。IPv6接続をサポートする新しいVPN接続を作成する。NATゲートウェイを追加する。影響を受けるVPCセキュリティグループとルートテーブルを更新して、VPC内およびVPCとオンプレミスデバイス間の接続性を提供します。
回答を見る
正解: C
質問 #30
ある企業が、オンプレミスのデータセンターからAmazon EC2インスタンスへの重要なワークロードの移行を計画している。この計画には、オンプレミスのデータセンターからトランジットゲートウェイに接続されたVPCへの新しい10GbpsのAWS Direct Connect専用接続が含まれています。移行は、オンプレミスのデータセンターとAWSクラウド間の暗号化された経路で行わなければなりません。どのソリューションが、最も高いスループットを提供しながら、これらの要件を満たすでしょうか。
A. Direct Connect接続にパブリックVIFを構成する。トランジットゲートウェイへのAWS Site-to-Site VPN接続をVPNアタッチメントとして構成する。
B. Direct Connect接続にトランジットVIFを構成する。サードパーティのVPNソフトウェアを実行しているEC2インスタンスにIPsec VPN接続を構成する。
C. Direct Connect接続にMACsecを設定します。トランジットゲートウェイに関連付けられたダイレクトコネクトゲートウェイにトランジットVIFを構成する。
D. Direct Connect接続にパブリックVIFを構成する。トランジットゲートウェイに2つのAWS Site-to-Site VPN接続を構成する。等コストマルチパス(ECMP)ルーティングを有効にする。
回答を見る
正解: D
質問 #31
あるメディア企業が、世界中の視聴者に向けたニュースウェブサイトを実装している。このウェブサイトは、コンテンツデリバリネットワークとしてAmazon CloudFrontを使用している。バックエンドは、アプリケーションロードバランサー(ALB)の背後にあるAmazon EC2 Windowsインスタンスで実行される。インスタンスはAuto Scalingグループの一部である。同社の顧客は、CloudFrontのカスタムドメイン名としてservice example comを使用してウェブサイトにアクセスする。CloudFrontのオリジンは、ドメイン名としてservice-alb.example.comを使用するALBを指す。
A. NLBで新しい可用性ゾーンを有効にします。
B. 2番目のアベイラビリティゾーンのインスタンス用に新しいNLBを作成します。
C. NLBでプロキシプロトコルを有効にする
D. 両方のアベイラビリティゾーンのインスタンスで新しいターゲットグループを作成します。
回答を見る
正解: BDE
質問 #32
ある企業のAWSアーキテクチャは複数のVPCで構成されている。VPCには、共有サービスVPCと複数のアプリケーションVPCが含まれます。同社は、すべてのVPCからオンプレミスのDNSサーバーへのネットワーク接続を確立しています。アプリケーションVPCにデプロイされるアプリケーションは、オンプレミスで内部ホストされているドメインのDNSを解決できなければなりません。アプリケーションVPCにデプロイされるアプリケーションは、構内でホストされているドメインのDNSを解決できなければなりません。アプリケーションはまた、ローカルVPCドメイン名とAmazon Route 53プライベートホストゾーンでホストされているドメインを解決できなければなりません。
A. 共有サービスVPCに新しいRoute 53 Resolverインバウンドエンドポイントを作成します。オンプレミスでホストされているドメインの転送ルールを作成します。ルールを新しいリゾルバのエンドポイントと各アプリケーションVPCに関連付けます。各アプリケーションVPCのDHCP設定を更新して、DNS解決を新しいResolverエンドポイントに向けるようにします。
B. 共有サービスVPCに新しいRoute 53 Resolverアウトバウンドエンドポイントを作成します。オンプレミスでホストされているドメインの転送ルールを作成します。ルールを新しいResolverエンドポイントと各アプリケーションVPCに関連付けます。
C. 共有サービスVPCに新しいRoute 53 Resolverアウトバウンドエンドポイントを作成する。オンプレミスでホストされているドメインの転送ルールを作成する。ルールを新しいリゾルバのエンドポイントと各アプリケーションVPCに関連付けます。DNS解決を新しいリゾルバのエンドポイントに向けるように、各アプリケーションVPCのDHCP構成を更新します。
D. 共有サービスVPCに新しいRoute 53 Resolverインバウンドエンドポイントを作成します。オンプレミスでホストされているドメインの転送ルールを作成します。ルールを新しいResolverエンドポイントと各アプリケーションVPCに関連付けます。
回答を見る
正解: A
質問 #33
ある企業がAWSクラウドに新しいアプリケーションをデプロイしようとしている。同社は、Elastic Load Balancerの後ろに配置される可用性の高いWebサーバーを望んでいる。ロードバランサーはリクエストの URL に基づいて複数のターゲットグループにリクエストをルーティングする。すべてのトラフィックはHTTPSを使わなければならない。TLS処理はロードバランサーにオフロードされなければならない。ウェブサーバーはユーザーのIPアドレスを知っている必要があり、セキュリティのために正確なログを残すことができる。
A. HTTPSリスナーを持つアプリケーションロードバランサーを導入する。パスベースのルーティングルールを使って、トラフィックを正しいターゲットグループに転送する。ターゲットへのトラフィックにX-Forwarded-Forリクエストヘッダを含める。
B. 各ドメインにHTTPSリスナーを持つアプリケーションロードバランサーを配置する。ホストベースのルーティングルールを使用して、各ドメインの正しいターゲットグループにトラフィックを転送する。ターゲットへのトラフィックにX-Forwarded-Forリクエストヘッダを含める。
C. TLSリスナー付きのネットワークロードバランサーを導入する。パスベースのルーティングルールを使って、トラフィックを正しいターゲットグループに転送する。ターゲットへのトラフィック用にクライアントIPアドレスの保存を設定する。
D. 各ドメインにTLSリスナーを持つネットワークロードバランサーを配置する。ホストベースのルーティングルールを使用して、各ドメインの正しいターゲットグループにトラフィックを転送する。ターゲットへのトラフィック用にクライアントIPアドレスの保存を構成する。
回答を見る
正解: B
質問 #34
ある企業がAWS環境の可視性を向上させたいと考えている。AWS環境は、トランジットゲートウェイに接続された複数のVPCで構成されている。トランジットゲートウェイは、AWS Direct Connectゲートウェイと、トランジットVIFを使用する冗長Direct Connect接続のペアを介して、オンプレミスのデータセンターに接続しています。新しいルートがオンプレミスからDirect Connect経由でAWSにアドバタイズされるたびに、会社は通知を受け取る必要があります。これらの要件を満たすために、ネットワークエンジニアは何をすべきでしょうか。
A. Direct ConnectでAmazon CloudWatchメトリクスを有効にして、受信したルートを追跡する。CloudWatchアラームを構成して、ルートが変更されたときに通知を送信する。
B. Amazon CloudWatch Logs InsightsにTransit Gateway Network Managerを搭載する。Amazon EventBridge (Amazon CloudWatch Events)を使って、ルート変更時に通知を送る。
C. AWS Lambda関数を構成して、Direct Connectゲートウェイのルートを定期的にチェックし、ルートが変更されたときに通知を送信します。
D. トランジットVIFでAmazon CloudWatch Logsを有効にして、受信したルートを追跡する。メトリックフィルターを作成する フィルターにアラームを設定し、ルートが変更されたときに通知を送信する。
回答を見る
正解: B
質問 #35
あるグローバルな配送会社が、車両管理システムの近代化を進めている。同社には複数の事業部門がある。各ビジネスユニットは、同じAWSリージョン内の別々のアプリケーションVPCで、独自のAWSアカウントでホストされるアプリケーションを設計し、維持している。各事業部のアプリケーションは、中央の共有サービスVPCからデータを取得するように設計されている。同社は、ネットワーク接続アーキテクチャがきめ細かいセキュリティ制御を提供することを望んでいる。同社は、ネットワーク接続アーキテクチャがきめ細かいセキュリティ制御を提供することを望んでいる。
A. 中央トランジットゲートウェイを作成します。各アプリケーションVPCにVPCアタッチメントを作成します。トランジットゲートウェイを使用して、すべてのVPC間でフルメッシュ接続を提供します。
B. 中央の共有サービスVPCと各ビジネスユニットのAWSアカウント内の各アプリケーションVPCとの間にVPCピアリング接続を作成する。
C. 中央の共有サービスVPCにAWS PrivateLinkを利用したVPCエンドポイントサービスを作成する 各アプリケーションVPにVPCエンドポイントを作成する
D. AWS MarketplaceからVPNアプライアンスを使用して中央トランジットVPCを作成します。各VPCからトランジットVPCへのVPNアタッチメントを作成します。すべてのVPC間でフルメッシュ接続を提供する。
回答を見る
正解: C
質問 #36
ある企業がeコマースサイトの新機能を作成中だ。これらの機能は、異なる経路でアクセスされる複数のマイクロサービスを使用する。マイクロサービスはAmazon Elastic Container Service(Amazon ECS)上で実行される。同社はすべての公開ウェブサイトでHTTPSの使用を要求している。ネットワークエンジニアは、これらの要件を満たすロードバランシング戦略を実装する必要があります。
A. トランジットゲートウェイを作成します。各VPCをトランジットゲートウェイにピアリングします。サービスVPCのNLBにはゾーンDNS名を使用し、イングレスVPCからサービスVPCへのクロスAZトラフィックを最小限に抑えます。
B. イングレスVPCの各可用性ゾーンにAWS PrivateLinkエンドポイントを作成します。各PrivateLinkエンドポイントは、サービスVPC内のNLBのゾーンDNSエントリーを指す。
C. イングレスVPCと10個の各サービスVPCの間にVPCピアリング接続を作成します。サービスVPCのNLBにはゾーンDNS名を使用して、イングレスVPCからサービスVPCへのクロスAZトラフィックを最小限に抑えます。
D. トランジットゲートウェイを作成します。各VPCをトランジットゲートウェイにピアリングします。トランジットゲートウェイのクロスAZロードバランシングをオフにします。サービスVPCのNLBに地域DNS名を使用します。
回答を見る
正解: BE
質問 #37
ある企業が、IoTデバイスが測定値をAWSクラウドに報告するアプリケーションを開発している。このアプリケーションには数百万人のエンドユーザーが参加する予定です。同社は、IoTデバイスがDNS解決をサポートできないことを確認している。同社は、IoTデバイスがDNSを使用せずにアプリケーションエンドポイントに接続できるように、Amazon EC2 Auto Scalingソリューションを実装する必要があります。
A. アプリケーションロードバランサー(ALB)タイプのターゲットグループをネットワークロードバランサー(NLB)に使用する。EC2のAuto Scalingグループを作成する。Auto ScalingグループをALBにアタッチする。IoTデバイスがNLBのIPアドレスに接続するように設定する。
B. アプリケーションロードバランサー(ALB)エンドポイントを持つAWS Global Acceleratorアクセラレーターを使用する。EC2のAuto Scalingグループを作成する。AutoScalingグループをALSにアタッチし、IoTデバイスがアクセラレーターのIPアドレスに接続するように設定する。
C. ネットワークロードバランサー(NLB)を使用する。EC2のAuto Scalingグループを作成する。Auto ScalingグループをNLBにアタッチする。IoTデバイスがNLBのIPアドレスに接続するように設定する。
D. ネットワークロードバランサー(NLB)エンドポイントを持つAWS Global Acceleratorアクセラレーターを使用する。EC2のAuto Scalingグループを作成する。Auto ScalingグループをNLBにアタッチする。IoTデバイスがアクセラレーターのIPアドレスに接続するように設定する。
回答を見る
正解: C
質問 #38
ある企業がVPCでAmazon Route 53 Resolver DNS Firewallを使用し、承認リストにあるドメイン以外のすべてのドメインをブロックしています。同社は、DNSファイアウォールが応答しない場合、ネットワークがDNSクエリを解決できないと、VPC内のリソースに影響が及ぶ可能性があることを懸念しています。アプリケーションのサービスレベルアグリーメントを維持するために、Route 53 ResolverがDNS Firewallからの応答を受信しなくても、DNSクエリが解決され続ける必要があります。
A. DNSファイアウォールのVPC設定を更新して、VPCのフェイルオープンを無効にします。
B. DNSファイアウォールのVPC設定を更新して、VPCのフェイルオープンを有効にします。
C. パラメータdns_firewall_fail_open=falseで新しいDHCPオプション・セットを作成します。新しいDHCPオプション・セットをVPNに関連付けます。
D. パラメータdns_firewall_fail_open=trueを指定して、新しいDHCPオプション・セットを作成します。新しい DHCP オプション・セットを VPC に関連付けます。
回答を見る
正解: B
質問 #39
ある企業が、財務データのアーカイブにAmazon S3の利用を計画している。データは現在オンプレミスのデータセンターに保存されている。同社は、オンプレミスのデータセンターに接続するために、Direct Connectゲートウェイとトランジットゲートウェイを備えたAWS Direct Connectを使用しています。データは公共のインターネットで転送することはできず、転送中は暗号化する必要があります。これらの要件を満たすソリューションはどれでしょうか。
A. Direct ConnectのパブリックVIFを作成する。Amazon S3にアクセスするために、パブリックVIF上でIPsec VPN接続をセットアップする。通信にはHTTPSを使用する。
B. トランジットVIF上にIPsec VPN接続を作成する。VPCを作成し、VPCをトランジットゲートウェイにアタッチします。VPCで、Amazon S3用のインターフェイスVPCエンドポイントをプロビジョニングします。通信にはHTTPSを使用します。
C. VPCを作成し、トランジットゲートウェイにVPCをアタッチします。VPCで、Amazon S3用のインターフェイスVPCエンドポイントをプロビジョニングします。通信にはHTTPSを使用します。
D. ダイレクトコネクトのパブリックVIFを作成する。パブリックVIF経由でトランジットゲートウェイにIPsec VPN接続を設定します。Amazon S3用の添付ファイルを作成します。通信にHTTPSを使用する。
回答を見る
正解: B
質問 #40
ある会社には、オンプレミスのデータセンターが2カ所ある。各データセンターには会社が管理するルーターがある。各データセンターには、プライベート仮想インターフェイスを介してDirect Connectゲートウェイに接続する専用のAWS Direct Connect接続があります。最初のロケーションのルーターは、BGPを使用してDirect Connectゲートウェイに110ルートを広告しており、2番目のロケーションのルーターは、BGPを使用してDirect Connectゲートウェイに60ルートを広告しています。ダイレクトコネクトゲートウェイは、以下の方法で会社のVPCに接続されています。
A. ダイレクトコネクトゲートウェイを削除し、各社ルータからVPCの仮想プライベートゲートウェイへの新しいプライベート仮想インターフェイスを作成します。
B. 広告ルートを要約するようにルーターの設定を変更する。
C. VPCルートテーブルへの広告ルートのクォータを増やすためにサポートチケットを開いてください。
D. AWSトランジットゲートウェイを作成します。トランジットゲートウェイをVPCにアタッチし、Direct Connectゲートウェイをトランジットゲートウェイに接続します。
回答を見る
正解: D
質問 #41
ある企業がAWS上の単一VPCにウェブサイトを構築している。VPCには2つのAvailability Zoneにパブリックサブネットとプライベートサブネットがある。ウェブサイトには画像などの静的コンテンツがある。同社は、プライベートサブネットにWebサーバーとしてAmazon EC2インスタンスをデプロイしている。EC2インスタンスは、アプリケーションロードバランサーの背後にあるAuto Scalingグループにある。EC2インスタンスはトラフィックを提供し、ウェブページをレンダリングするためにS3バケットからコンテンツを引き出す必要がある。
A. Direct ConnectプライベートVIFを作成する。パブリックVIFからプライベートVIFにトラフィックを移行する。
B. 既存のパブリックVIF上にAWS Site-to-Site VPNトンネルを作成する。
C. Amazon S3用のインターフェイスVPCエンドポイントを実装します。VPCルートテーブルを更新します。
D. Amazon S3用のゲートウェイVPCエンドポイントを実装します。VPCルートテーブルを更新する。
回答を見る
正解: D
質問 #42
ある企業が、自動販売機の在庫レベルを追跡し、自動的に補充プロセスを開始するアプリケーションをAWS上で開発した。同社はこのアプリケーションを自動販売機と統合し、世界中のいくつかの市場に自動販売機を配備する予定である。このアプリケーションはus-east-1リージョンのVPCに常駐している。アプリケーションは、アプリケーション・ロード・バランサー(ALB)の背後にあるAmazon Elastic Container Service(Amazon ECS)クラスタで構成されている。自動販売機からの通信
A. VPCのプライベートサブネットにALBを設定します。サブネットのルートテーブルにインターネットゲートウェイを指すルートを追加せずに、インターネットゲートウェイをアタッチします。ALBエンドポイントを含むエンドポイントグループでアクセラレータを構成します。ALBのリスナーポートでインターネットからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを設定します。
B. VPCのプライベートサブネットにALBを構成します。ALBエンドポイントを含むエンドポイントグループでアクセラレータを構成します。ALB リスナーポートでインターネットからのインバウンドトラフィックのみを許可するように、ALB のセキュリティグループを構成します。
C. VPAのパブリックサブネットにALBを設定するインターネットゲートウェイを接続する。サブネットのルートテーブルにインターネットゲートウェイを指すルートを追加します。ALB エンドポイントを含むエンドポイントグループでアクセラレーターを構成します。ALBのリスナーポートでアクセラレータのIPアドレスからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを設定します。
D. VPCのプライベートサブネットにALBを設定する。インターネットゲートウェイをアタッチします。サブネットのルートテーブルにインターネットゲートウェイを指すルートを追加します。ALB エンドポイントを含むエンドポイントグループでアクセラレーターを構成します。ALBのリスナーポートでアクセラレータのIPアドレスからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを設定します。
回答を見る
正解: A
質問 #43
ある企業が、インターネットへのアウトバウンド・トラフィックに NAT ゲートウェイを使用する VPC にアプリケーションをデプロイしました。あるネットワーク・エンジニアは、VPCからインターネット経由で、拒否リストに含まれているIPアドレスに大量の不審なネットワーク・トラフィックが流れていることに気づきました。ネットワークエンジニアは、疑わしいトラフィックを生成している AWS リソースを特定するソリューションを実装する必要があります。ソリューションは、コストと管理オーバーヘッドを最小限に抑える必要があります。これらの要件を満たすソリューションはどれですか?
A. VPCでAmazon EC2インスタンスを起動する。NATゲートウェイをソースに、EC2インスタンスをデスティネーションに指定して、トラフィックミラーリングを使用する。オープンソースのツールを使用してキャプチャしたトラフィックを分析し、疑わしいトラフィックを生成しているAWSリソースを特定する。
B. VPCのフロー・ログを使用する。VPCでセキュリティ情報とイベント管理(SIEM)ソリューションを起動します。VPCのフローログを取り込むようにSIEMソリューションを設定します。SIEMソリューションでクエリーを実行し、疑わしいトラフィックを生成しているAWSリソースを特定します。
C. VPCフローログを使用する。Amazon CloudWatch Logsのロググループにフローログをパブリッシュする。CloudWatch Logs Insightsを使用してフローログをクエリし、疑わしいトラフィックを生成しているAWSリソースを特定する。
D. ネットワークトラフィックをAmazon Kinesisデータストリームに直接ストリーミングするようにVPCを構成する。KinesisデータストリームからAmazon Kinesis Data Firehoseデリバリーストリームにデータを送信し、Amazon S3にデータを保存します。Amazon Athenaを使用してデータを照会し、疑わしいトラフィックを生成しているAWSリソースを特定する。
回答を見る
正解: C
質問 #44
ある企業が、単一のAWSリージョン内の新しいVPCに2層のWebアプリケーションをデプロイする計画をしている。同社はインターネットゲートウェイと4つのサブネットでVPCを構成している。サブネットのうち2つはパブリックで、インターネットゲートウェイを指すデフォルトルートを持っています。アプリケーションは、外部のアプリケーションロードバランサーの背後に配置されるAmazon EC2インスタンスのセットで実行される。このEC2インスタンスは、外部のアプリケーションロードバランサーの背後に配置される。
A. 1
B. 1
C. 1
D. 1
回答を見る
正解: C
質問 #45
ある企業は、アプリケーション間の通信に時代遅れのアプリケーション層プロトコルを使用してきた。同社はこのプロトコルを使用しないことを決定し、すべてのアプリケーションを新しいプロトコルをサポートするように移行しなければならない。古いプロトコルと新しいプロトコルはTCPベースだが、プロトコルは異なるポート番号を使用する。数カ月にわたる作業の後、同社はAmazon EC2インスタンスとコンテナで実行される数十のアプリケーションを移行した。同社は、すべてのアプリケーションが移行されたと考えている。
A. Amazon InspectorとそのNetwork Reachabilityルールパッケージを使用する。分析の実行が終わるまで待ち、古いポートをまだリッスンしているEC2インスタンスを見つける。
B. Amazon GuardDutyを有効にします。グラフィカルな視覚化を使用して、古いプロトコルのポートを使用するトラフィックをフィルタリングします。すべてのインターネットトラフィックを除外して、同じポートがエフェメラルポートとして使用されている場合を除外します。
C. VPC フローログが Amazon S3 バケットに配信されるように設定します。Amazon Athenaを使用してデータを照会し、古いプロトコルで使用されているポート番号をフィルタリングします。
D. アプリケーションをホストするEC2インスタンスに割り当てられているすべてのセキュリティグループを検査する。古いプロトコルのポートが許可されている場合は、そのポートを削除する。セキュリティグループからポートを削除した後、アプリケーションが正常に動作していることを確認する。
回答を見る
正解: C
質問 #46
あるグローバル企業は、3つのAWSリージョン(eu-west-1、us-east-1、us-west-1)からすべての非本番環境を運用している。同社はすべての本番ワークロードを2つのオンプレミスデータセンターでホストしている。同社は60のAWSアカウントを持っており、各アカウントは各リージョンに2つのVPCを持っている。各VPCには仮想プライベートゲートウェイがあり、2つのVPN接続がデータセンターへの弾力的な接続のために終端する。各データセンターへのVPNトンネルは360本あり、管理オーバーヘッドが大きい。合計VPN
A. 各データセンターから各リージョンのAWSへのAWS Direct Connect接続を設定する。プライベートVIFを作成し、単一のDirect Connectゲートウェイにアタッチする。Direct ConnectゲートウェイをすべてのVPCにアタッチする。仮想プライベートゲートウェイに直接接続されている既存のVPN接続を削除する。
B. 各データセンターからのVPN接続で単一のトランジットゲートウェイを作成する。AWS Resource Access Manager(AWS RAM)を使用して、各アカウントでトランジットゲートウェイを共有します。トランジットゲートウェイを各VPCにアタッチします。仮想プライベートゲートウェイに直接接続されている既存のVPN接続を削除します。
C. 各データセンターから新たに VPN 接続を開始した複数のトランジットゲートウェイを各リージョンに作成します。AWS Resource Access Manager(AWS RAM)を使用して、トランジットゲートウェイを各アカウントで共有する。各リージョンで、トランジットゲートウェイを各VPNにアタッチする。仮想プライベートゲートウェイに直接アタッチされている既存のVPN接続を削除する。
D. 各リージョンのすべてのVPCを、集中トランジットVPCとして機能する各リージョンの新しいVPCにピアリングします。各データセンターからトランジットVPCへの新しいVPN接続を作成します。すべての元のVPCに接続されている元のVPN接続を終了します。各リージョンの新しいトランジットVPCへの新しいVPN接続を保持する。
回答を見る
正解: A
質問 #47
ネットワークエンジニアは、仮想プライベートゲートウェイ、カスタマーゲートウェイ、VPN 接続、およびルートテーブル内のスタティックルートを作成できる AWS CloudFormation テンプレートを開発する必要があります。テンプレートのテスト中に、ネットワークエンジニアはCloudFormationテンプレートがエラーに遭遇し、ロールバックしていることに気づきました。
A. CloudFormationテンプレートのリソース作成順序を変更する。
B. 仮想プライベートゲートウェイのリソース宣言に DependsOn 属性を追加します。ルートテーブルエントリリソースを指定します。
C. 仮想プライベートゲートウェイの作成を待機するための待機条件をテンプレートに追加する。
D. ルートテーブルエントリーのリソース宣言にDependsOn属性を追加します。仮想プライベートゲートウェイリソースを指定します。
回答を見る
正解: D
質問 #48
ある会社はAWS上に数百のVPCを持っている。全てのVPCはNATゲートウェイを通してAmazon S3とAWS Systems Managerのパブリックエンドポイントにアクセスします。VPCからAmazon S3とSystems ManagerへのトラフィックはすべてNATゲートウェイを経由します。会社のネットワークエンジニアは、これらのサービスへのアクセスを一元化する必要があり、パブリックエンドポイントを使用する必要性を排除する必要があります。どのソリューションが、最も少ない運用オーバーヘッドでこれらの要件を満たすことができますか?
A. プライベートNATゲートウェイを持つ中央egress VPCを作成します。AWS Transit Gatewayを使用して、すべてのVPCを中央のegress VPCに接続します。プライベートNATゲートウェイを使用して、プライベートIPアドレスを使用してAmazon S3とSystems Managerに接続します。
B. 中央共有サービスVPCを作成します。中央共有サービスVPCで、Amazon S3とSystems ManagerがアクセスするためのインターフェイスVPCエンドポイントを作成します。プライベートDNSがオフになっていることを確認します。AWS Transit Gatewayを使用して、すべてのVPCを中央共有サービスVPCに接続します。各インターフェイスVPCエンドポイントにAmazon Route 53転送ルールを作成します。転送ルールをすべてのVPCに関連付けます。共有サービスVPCのインターフェイスVPCエンドポイントにDNSクエリを転送します。
C. 中央共有サービスVPCを作成中央共有サービスVPCで、Amazon S3とSystems ManagerがアクセスするためのインターフェイスVPCエンドポイントを作成します。プライベートDNSがオフになっていることを確認します。AWS Transit Gatewayを使用して、すべてのVPCを中央共有サービスVPCに接続します。Amazon S3とSystems Managerの完全なサービスエンドポイント名で、Amazon Route 53のプライベートホストゾーンを作成します。プライベートホストゾーンをすべてのVPCに関連付けます。各プライベートホストゾーンに、共有サービスVPCのインターフェイスVPCエンドポイントを指すフルAWSサービスエンドポイントを持つエイリアスレコードを作成します。
D. 中央共有サービスVPCを作成します。中央共有サービスVPCに、Amazon S3とSystems ManagerがアクセスするためのインターフェイスVPCエンドポイントを作成します。AWS Transit Gatewayを使用して、すべてのVPCを中央共有サービスVPCに接続します。インターフェイスVPCエンドポイントのプライベートDNSがオンになっていることと、トランジットゲートウェイがDNSサポートをオンにして作成されていることを確認します。
回答を見る
正解: B
質問 #49
ある企業がAWS上にWebアプリケーションをデプロイした。このウェブアプリケーションは、複数のアベイラビリティゾーンにまたがるアプリケーションロードバランサー(ALB)を使用している。ALBのターゲットはAWS Lambdaファンクションです。Webアプリケーションは、監視のためにAmazon CloudWatchメトリクスも使用しています。ユーザは、Webアプリケーションの一部が適切にロードされないと報告します。ネットワークエンジニアは問題をトラブルシューティングする必要がある。ネットワークエンジニアは、ALB のアクセスロギングを有効にします。
A. Amazon CloudWatch Logsにログを送信する。CloudWatch InsightsでALBのログを確認し、ALBが受信しているエラーメッセージを特定する。
B. Amazon S3 バケットのデスティネーションを設定します。Amazon Athenaを使用して、ALBが受信しているエラーメッセージを特定する。
C. Amazon S3バケットの保存先を設定する。Amazon CloudWatch LogsがALBのログをS3バケットから自動的にプルした後、CloudWatch Logsでログを確認し、ALBがどのエラーメッセージを受信しているかを判断する。
D. Amazon CloudWatch Logsにログを送信する。Amazon Athena CloudWatch Connectorを使用して、ALBが受信しているエラーメッセージを特定する。
回答を見る
正解: B
質問 #50
ネットワークエンジニアは、仮想プライベートゲートウェイ、カスタマーゲートウェイ、VPN 接続、およびルートテーブル内のスタティックルートを作成できる AWS CloudFormation テンプレートを開発する必要があります。テンプレートのテスト中に、ネットワークエンジニアはCloudFormationテンプレートがエラーに遭遇し、ロールバックしていることに気づきました。
A. CloudFormationテンプレートのリソース作成順序を変更する。
B. 仮想プライベートゲートウェイのリソース宣言に DependsOn 属性を追加します。ルートテーブルエントリリソースを指定します。
C. 仮想プライベートゲートウェイの作成を待機するための待機条件をテンプレートに追加する。
D. ルートテーブルエントリーのリソース宣言にDependsOn属性を追加します。仮想プライベートゲートウェイリソースを指定します。
回答を見る
正解: D
質問 #51
ある企業は、リンクアグリゲーショングループ(LAG)バンドルを使用した4GbpsのAWS Direct Connect専用接続を使用して、us-east-1リージョンに展開されている5つのVPCに接続しています。各VPCは異なるビジネスユニットを対象としており、オンプレミス環境への接続には独自のプライベートVIFを使用しています。ネットワークエンジニアは、スループットが突然増加し、Direct Connect接続が同じタイミングで飽和することを発見しました。
A. VirtualInterfaceBpsEgressとVirtualInterfaceBpsIngressのAmazon CloudWatchメトリクスを確認し、遅さが観察された期間中にどのVIFが最も高いスループットを送信しているかを判断します。新しい 10 Gbps 専用接続を作成します。既存の専用接続から新しい専用接続にトラフィックをシフトします。
B. Amazon CloudWatchのVirtualInterfaceBpsEgressとVirtualInterfaceBpsIngressのメトリクスを確認し、速度低下が観察された期間中にどのVIFが最も高いスループットを送信しているかを特定する。既存の専用接続の帯域幅を10 Gbpsにアップグレードします。
C. ConnectionBpsIngressとConnectionPpsEgressのAmazon CloudWatchメトリクスを確認し、速度低下が観察された期間中に、どのVIFが最も高いスループットを送信しているかを判断します。既存の専用接続を5 Gbpsのホスト接続にアップグレードします。
D. ConnectionBpsIngressとConnectionPpsEgressのAmazon CloudWatchメトリクスを確認して、遅さが観察された期間中にどのVIFが最も高いスループットを送信しているかを判断します。新しい10 Gbps専用接続を作成します。既存の専用接続から新しい専用接続にトラフィックをシフトします。
回答を見る
正解: A
質問 #52
ある会社の開発チームが、新しい商品推奨ウェブサービスを作成した。このウェブサービスは、192.168.224.0/19のCIDRブロックを持つVPCでホストされている。同社は、Amazon EC2インスタンスにウェブサービスをデプロイし、ネットワークロードバランサー(NLB)のターゲットとしてAuto Scalingグループを構成した。この会社には大きな売上があります。
A. Direct ConnectのトランジットVIFを更新し、AWSに割り当てられたIPv6ピアリングアドレスでBGPピアリングを設定する。IPv6接続をサポートする新しいVPN接続を作成します。イグレス専用のインターネットゲートウェイを追加します。影響を受けるVPCセキュリティグループとルートテーブルを更新して、VPC内およびVPCとオンプレミスデバイス間の接続性を提供します。
B. ダイレクトコネクトのトランジットVIFを更新し、AWSに割り当てられたIPv6ピアリングアドレスでBGPピアリングを設定する。既存のVPN接続を更新し、IPv6接続をサポートします。イグレス専用のインターネットゲートウェイを追加します。影響を受けるVPCセキュリティグループとルートテーブルを更新して、VPC内およびVPCとオンプレミスデバイス間の接続性を提供します。
C. Direct ConnectトランジットVIFを作成し、AWSに割り当てられたIPv6ピアリングアドレスでBGPピアリングを設定する。IPv6接続をサポートする新しいVPN接続を作成します。イグレス専用のインターネットゲートウェイを追加します。影響を受けるVPCセキュリティグループとルートテーブルを更新して、VPC内およびVPCとオンプレミスデバイス間の接続性を提供します。
D. Direct ConnectのトランジットVIFを作成し、AWSに割り当てられたIPv6ピアリングアドレスでBGPピアリングを設定する。IPv6接続をサポートする新しいVPN接続を作成する。NATゲートウェイを追加する。影響を受けるVPCセキュリティグループとルートテーブルを更新して、VPC内およびVPCとオンプレミスデバイス間の接続性を提供します。
回答を見る
正解: C
質問 #53
ある企業が AWS Network Firewall ファイアウォールを VPC にデプロイしました。ネットワークエンジニアは、Network Firewallのフローログを会社のAmazon OpenSearch Service(Amazon Elasticsearch Service)クラスタに最短時間で配信するソリューションを実装する必要があります。
A. Amazon S3バケットを作成する。Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスタにログをロードするための AWS Lambda 関数を作成します。Lambda関数を呼び出すために、S3バケットでAmazon Simple Notification Service (Amazon SNS)通知を有効にする。ファイアウォールのフローログを設定する。S3バケットをデスティネーションに設定します。
B. Amazon OpenSearch Service(Amazon Elasticsearch Service)クラスタを配信先とするAmazon Kinesis Data Firehose配信ストリームを作成する。ファイアウォールのフローログを設定する Kinesis Data Firehose配信ストリームをNetwork Firewallフローログの宛先として設定します。
C. ファイアウォールのフローログを設定する。Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターを Network Firewall のフローログの宛先として設定します。
D. Amazon OpenSearch Service(Amazon Elasticsearch Service)クラスタをデスティネーションとして含むAmazon Kinesisデータストリームを作成する。ファイアウォールのフローログを設定する。Kinesis データストリームを Network Firewall フローログの宛先として設定します。
回答を見る
正解: B
質問 #54
ある企業は、1GbpsのAWS Direct Connect接続を使用して、AWS環境とオンプレミスのデータセンターを接続しています。この接続により、従業員はAWS上でホストされているアプリケーションVPCにアクセスできる。多くのリモート従業員は、会社提供の VPN を使用してデータセンターに接続しています。これらの従業員は、業務時間中にアプリケーションにアクセスした際に、遅さを報告しています。オンプレミスのユーザーも、オフィスにいる間に同様の遅さを報告し始めました。
A. リモート従業員と追加アプリケーションからの追加トラフィック負荷に対応するために、新しい1 Gbps Direct Connect専用接続を設定します。リンクアグリゲーショングループ(LAG)を作成します。
B. アプリケーションVPCにAWS Site-to-Site VPN接続をデプロイする。リモート従業員が Site-to-Site VPN 接続に接続できるように、オンプレミスのルーティングを構成する。
C. Amazon WorkspacesをアプリケーションにデプロイするVPリモート従業員にWorkspacesに接続するように指示する。
D. 既存の1 Gbps Direct Connect接続を、2つの新しい2 Gbps Direct Connectホスト接続に置き換える。アプリケーションVPCにAWSクライアントVPNエンドポイントを作成する。リモート従業員にクライアントVPNエンドポイントに接続するように指示する。
回答を見る
正解: B
質問 #55
ある企業は、VPCの名前解決にBINDを実行するカスタムDNSサーバーを使用しています。VPCは、AWS Organizationsの同じ組織に属する複数のAWSアカウントにデプロイされている。すべてのVPCはトランジットゲートウェイに接続されています。BINDサーバーは中央のVPCで実行され、オンプレミスのDNSドメインのすべてのクエリをオンプレミスのデータセンターでホストされているDNSサーバーに転送するように構成されています。すべてのVPCがカスタムDNSサーバーを使用するようにするため、ネットワークエンジニアは次のように設定しました。
A. アプリケーションロードバランサー(ALB)を作成する。ALBにHTTPSリスナーを追加する。ALBのターゲットグループにインスタンスを登録するようにAuto Scalingグループを設定する。
B. Amazon CloudFrontディストリビューションを作成する。カスタムSSL/TLS証明書でディストリビューションを構成する。ディストリビューションのオリジンとしてAuto Scalingグループを設定する。
C. ネットワーク・ロード・バランサー(NLB)を作成する。NLBにTCPリスナーを追加します。NLBのターゲットグループにインスタンスを登録するようにAuto Scalingグループを構成する。
D. ゲートウェイロードバランサー(GLB)を作成する。GLBのターゲットグループにインスタンスを登録するようにAuto Scalingグループを設定する。
回答を見る
正解: BE
質問 #56
ある企業が、財務データのアーカイブにAmazon S3の利用を計画している。データは現在オンプレミスのデータセンターに保存されている。同社は、オンプレミスのデータセンターに接続するために、Direct Connectゲートウェイとトランジットゲートウェイを備えたAWS Direct Connectを使用しています。データは公共のインターネットで転送することはできず、転送中は暗号化する必要があります。これらの要件を満たすソリューションはどれでしょうか。
A. Direct ConnectのパブリックVIFを作成する。Amazon S3にアクセスするために、パブリックVIF上でIPsec VPN接続をセットアップする。通信にはHTTPSを使用する。
B. トランジットVIF上にIPsec VPN接続を作成する。VPCを作成し、VPCをトランジットゲートウェイにアタッチします。VPCで、Amazon S3用のインターフェイスVPCエンドポイントをプロビジョニングします。通信にはHTTPSを使用します。
C. VPCを作成し、トランジットゲートウェイにVPCをアタッチします。VPCで、Amazon S3用のインターフェイスVPCエンドポイントをプロビジョニングします。通信にはHTTPSを使用します。
D. ダイレクトコネクトのパブリックVIFを作成する。パブリックVIF経由でトランジットゲートウェイにIPsec VPN接続を設定します。Amazon S3用の添付ファイルを作成します。通信にHTTPSを使用する。
回答を見る
正解: B
質問 #57
あるIoT企業が、MQTTメッセージング・プロトコルを通じて温度、湿度、圧力、位置データを定期的に送信するハードウェア・センサー・モジュールを販売している。ハードウェアセンサーモジュールは、ロードバランサーの背後にあるLinuxサーバー上で動作する同社のオンプレミスMQTTブローカーにこのデータを送信する。ハードウェアセンサーモジュールは、ブローカーに到達するためのパブリックIPアドレスをハードコードされている。同社は成長し、世界中の顧客を獲得している。既存のソリューションではもはや拡張できないため、次のようなソリューションを導入しました。
A. EC2インスタンスをネットワークロードバランサー(NLB)の後ろに配置する。TCPリスナーを設定する。NLBでオンプレミスネットワークからBYOIP(Bring Your Own IP)を使用する。
B. EC2インスタンスをネットワーク・ロード・バランサー(NLB)の背後に配置する。TCPリスナーを設定する。NLBの前にAWS Global Acceleratorアクセラレーターを作成する。Global Acceleratorを使用して、オンプレミスネットワークからBYOIP(Bring Your Own IP)を使用する。
C. EC2インスタンスをアプリケーション・ロード・バランサー(ALB)の背後に配置する。TCPリスナーを構成する。ALBの前にAWS Global Acceleratorアクセラレーターを作成する。Global AcceleratorでオンプレミスのネットワークからBYOIP(Bring Your Own IP)を使用する。
D. EC2インスタンスをAmazon CloudFrontディストリビューションの背後に配置する。CloudFrontでオンプレミスのネットワークからBYOIP(Bring Your Own IP)を使用する。
回答を見る
正解: B
質問 #58
あるセキュリティチームが、ある企業の AWS デプロイメントの監査を行っている。セキュリティチームは、2つのアプリケーションが、ネットワークACLとセキュリティグループによってブロックされるべきリソースにアクセスしている可能性があることを懸念しています。アプリケーションは、Kubernetes用のAmazon VPC Container Network Interface(CNI)プラグインを使用する2つのAmazon Elastic Kubernetes Service(Amazon EKS)クラスタにわたってデプロイされています。これらのクラスタは、同じVPC内の別々のサブネットにあり、クラスタオートスケーラが設定されています。
A. VPCのフローログをデフォルトのフォーマットで作成します。EKSノードからのみフローログを収集するフィルタを作成します。フローログにsrcaddrフィールドとdstaddrフィールドを含める。
B. カスタムフォーマットでVPCフローログを作成する。リソースとしてEKSノードを設定する。 フローログにpkt-srcaddrフィールドとpkt-dstaddrフィールドを含める。
C. カスタムフォーマットでVPCフローログを作成する。アプリケーションサブネットをリソースとして設定します。フローログに pkt-srcaddr フィールドと pkt-dstaddr フィールドを含めます。
D. VPCフローログをカスタムフォーマットで作成する。EKSノードからのみフローログを収集するフィルタを作成します。フローログにpkt-srcaddrフィールドとpkt-dstaddrフィールドを含める。
回答を見る
正解: D
質問 #59
ある企業は、VPCにトラフィック検査とNAT機能のためにサードパーティのファイアウォール・アプライアンスを導入している。VPCはプライベートサブネットとパブリックサブネットで構成されています。この企業は、ファイアウォールアプライアンスをロードバランサーの背後に配備する必要があります。これらの要件を最もコスト効率よく満たすアーキテクチャはどれですか。
A. ファイアウォールアプライアンスをターゲットとしてゲートウェイロードバランサーを導入する。ファイアウォールアプライアンスをプライベートサブネットに単一のネットワークインターフェイスで構成する。NATゲートウェイを使用して、検査後にトラフィックをインターネットに送信する。
B. ファイアウォールアプライアンスをターゲットとしてゲートウェイロードバランサーを導入する。ファイアウォールアプライアンスに2つのネットワークインターフェイスを設定します。1つのネットワークインターフェイスはプライベートサブネットに、もう1つのネットワークインターフェイスはパブリックサブネットに設定します。ファイアウォールアプライアンスのNAT機能を使用して、検査後にトラフィックをインターネットに送信します。
C. ファイアウォールアプライアンスをターゲットとしてネットワークロードバランサーを展開する。ファイアウォールアプライアンスをプライベートサブネット内の単一のネットワークインターフェイスで構成する。NATゲートウェイを使用して、検査後にトラフィックをインターネットに送信する。
D. ファイアウォールアプライアンスをターゲットとしてネットワークロードバランサーをデプロイします。ファイアウォールアプライアンスに2つのネットワークインターフェイスを設定します。1つのネットワークインターフェイスはプライベートサブネットに、もう1つのネットワークインターフェイスはパブリックサブネットに設定します。ファイアウォールアプライアンスのNAT機能を使用して、検査後にトラフィックをインターネットに送信します。
回答を見る
正解: B
質問 #60
ある企業が、トランジットで暗号化を必要とするサービスの構築を計画している。クライアントとサービスのバックエンドの間でトラフィックが復号化されてはならない。同社は、TCPポート443上でgRPCプロトコルを使用してサービスを実装する予定である。サービスは数千の同時接続までスケールアップする。サービスのバックエンドは、Kubernetes Cluster AutoscalerとHorizontal Pod Autoscalerが設定されたAmazon Elastic Kubernetes Service(Amazon EKS)ダスター上でホストされる。このサービスでは
A. AWS Load Balancer Controller for Kubernetesをインストールする。そのコントローラーを使用して、バックエンドのサービスPodのIPアドレスにトラフィックを転送するために、ポート443上のTCPリスナーを持つネットワークロードバランサーを設定します。
B. AWS Load Balancer Controller for Kubernetesをインストールする。そのコントローラを使用して、バックエンドサービスPodのIPアドレスにトラフィックを転送するために、ポート443上のHTTPSリスナーを持つアプリケーションロードバランサーを構成します。
C. ターゲットグループを作成する。EKS管理ノードグループのAuto Scalingグループをターゲットとして追加する。 ターゲットグループにトラフィックを転送するために、ポート443にHTTPSリスナーを持つアプリケーションロードバランサーを作成する。
D. ターゲットグループを作成します。EKS管理ノードグループのAuto Scalingグループをターゲットとして追加します。ターゲットグループにトラフィックを転送するために、ポート443上のTLSリスナーを持つネットワークロードバランサーを作成します。
回答を見る
正解: D
質問 #61
ある不動産会社が、不動産業者が様々な物件の写真や動画をアップロードできるように、社内アプリケーションを構築している。このアプリケーションは、これらの写真や動画をオブジェクトとしてAmazon S3バケットに保存し、対応するメタデータを保存するためにAmazon DynamoDBを使用します。S3バケットは、新しいオブジェクトのアップロードに対するすべてのPUTイベントをAmazon Simple Queue Service(Amazon SQS)キューに公開するように構成される。Amazon EC2インスタンスのコンピュートクラスタは、新しくアップロードされたオブジェクトを見つけるためにSQSキューをポーリングする。
A. EC2インスタンスをパブリックサブネットに配置する。EC2インスタンスを起動する際、Auto-assign Public IPオプションを無効にする。インターネットゲートウェイを作成する。インターネットゲートウェイをVPCに接続する。パブリックサブネットのルートテーブルに、インターネットゲートウェイを指すデフォルトルートを追加する。
B. EC2インスタンスをプライベートサブネットに配置する。同じアベイラビリティゾーン内のパブリックサブネットにNATゲートウェイを作成する。インターネットゲートウェイを作成する。インターネットゲートウェイをVPCに接続する。パブリックサブネットのルートテーブルに、インターネットゲートウェイを指すデフォルトルートを追加する。
C. EC2インスタンスをプライベートサブネットに配置する。Amazon SQS用のインターフェイスVPCエンドポイントを作成する。Amazon S3とDynamoDBのゲートウェイVPCエンドポイントを作成する。
D. EC2インスタンスをプライベートサブネットに配置する。Amazon SQS用のゲートウェイVPCエンドポイントを作成する。Amazon S3とDynamoDB用のインターフェイスVPCエンドポイントを作成する。
回答を見る
正解: C
質問 #62
ある企業は、米国(US)のオンプレミスデータセンターとus-east-1リージョンのワークロードの間にAWS Direct Connect接続を持っている。この接続は、トランジットVIFを使用して、データセンターをus-east-1リージョンのトランジットゲートウェイに接続します。同社は、英国に新しいオンプレミスデータセンターを持つ新しいオフィスをヨーロッパに開設しています。Direct Connect接続は、新しいデータセンターとeu-west-2リージョンの単一VPCで実行されているいくつかのワークロードを接続します。同社は、米国データセンターと欧州データセンターを接続する必要がある。
A. Direct ConnectゲートウェイとプライベートVIFを使用して、eu-west-2のVPCとヨーロッパデータセンターを接続します。us-east-1のトランジットゲートウェイを同じDirect Connectゲートウェイに関連付けます。トランジットVIFとプライベートVIFのSiteLinkを有効にします。
B. eu-west-2のVPCを新しいトランジットゲートウェイに接続する。Direct Connectゲートウェイと新しいトランジットVIFを使用して、ヨーロッパデータセンターを新しいトランジットゲートウェイに接続します。us-east-1のトランジットゲートウェイを同じDirect Connectゲートウェイに関連付けます。両方のトランジットVIFでSiteLinkを有効にします。2つのトランジットゲートウェイをピアリングする。
C. eu-west-2のVPCを新しいトランジットゲートウェイに接続する。Direct Connectゲートウェイと新しいトランジットVIFを使用して、ヨーロッパデータセンターを新しいトランジットゲートウェイに接続します。新しいダイレクトコネクトゲートウェイを作成します。us-east-1のトランジットゲートウェイを新しいDirect Connectゲートウェイに関連付けます。両方のトランジットVIFでSiteLinkを有効にします。2つのトランジットゲートウェイをピアリングします。
D. Direct ConnectゲートウェイとプライベートVIFを使用して、eu-west-2のVPCとヨーロッパデータセンターを接続します。新しいDirect Connectゲートウェイを作成します。us-east-1のトランジットゲートウェイを新しいDirect Connectゲートウェイに関連付けます。トランジットVIFとプライベートVIFのSiteLinkを有効にします。
回答を見る
正解: B
質問 #63
ある企業は、AWS環境を単一のAWSリージョンに展開している。この環境は、数百のアプリケーションVPC、共有サービスVPC、および会社のオンプレミス環境へのVPN接続で構成されています。ネットワークエンジニアは、以下の要件を満たすトランジットゲートウェイを実装する必要があります。
A. オンプレミスのWindows DNSサーバを指定する新しいDHCPオプション・セットを作成します。新しいDHCPオプションセットを既存のVPCに関連付ける。Amazon Linux 2 EC2インスタンスを再起動する。
B. Amazon Route 53 Resolverルールを作成します。ルールをVPCに関連付けます。ドメイン名がexample
C. VPMapのAmazon Linux 2 EC2インスタンスのローカルホストファイルを変更し、サービスドメイン名(api
D. VPC内のAmazon Linux 2 EC2インスタンスのローカル/etc/resolv
回答を見る
正解: CE
質問 #64
ある企業がAWSクラウドに新しいアプリケーションをデプロイしようとしている。同社は、Elastic Load Balancerの後ろに配置される可用性の高いWebサーバーを望んでいる。ロードバランサーはリクエストの URL に基づいて複数のターゲットグループにリクエストをルーティングする。すべてのトラフィックはHTTPSを使わなければならない。TLS処理はロードバランサーにオフロードされなければならない。ウェブサーバーはユーザーのIPアドレスを知っている必要があり、セキュリティのために正確なログを残すことができる。
A. HTTPSリスナーを持つアプリケーションロードバランサーを導入する。パスベースのルーティングルールを使って、トラフィックを正しいターゲットグループに転送する。ターゲットへのトラフィックにX-Forwarded-Forリクエストヘッダを含める。
B. 各ドメインにHTTPSリスナーを持つアプリケーションロードバランサーを配置する。ホストベースのルーティングルールを使用して、各ドメインの正しいターゲットグループにトラフィックを転送する。ターゲットへのトラフィックにX-Forwarded-Forリクエストヘッダを含める。
C. TLSリスナー付きのネットワークロードバランサーを導入する。パスベースのルーティングルールを使って、トラフィックを正しいターゲットグループに転送する。ターゲットへのトラフィック用にクライアントIPアドレスの保存を設定する。
D. 各ドメインにTLSリスナーを持つネットワークロードバランサーを配置する。ホストベースのルーティングルールを使用して、各ドメインの正しいターゲットグループにトラフィックを転送する。ターゲットへのトラフィック用にクライアントIPアドレスの保存を構成する。
回答を見る
正解: B
質問 #65
あるソフトウェア会社は、AWSクラウドでホストされているSaaS(Software-as-a-Service)会計アプリケーションを提供している。同社は、アプリケーションの需要の増加に対応するために、AWSとオンプレミスネットワークの間に2つの冗長化された10GBのAWS Direct Connect接続を持っています。AWSとオンプレミスネットワークのエッジルーター間のトラフィックを暗号化する必要があります。
A. 既存のDirect Connect接続に暗号化付きの新しいパブリックVIFを導入する。新しいパブリックVIFを介してトラフィックを再ルーティングします。
B. 仮想プライベートゲートウェイを作成する オンプレミスから仮想プライベートゲートウェイに新しいAWS Site-to-Site VPN接続を展開する ダイレクトコネクトプライベートVIFから新しいVPNにトラフィックを再ルーティングする。
C. MACsecを使用して、10 GBのダイレクトコネクト接続の新しいペアを展開します。エッジルーターにMACsecを設定します。トラフィックを新しいダイレクトコネクト接続に再ルーティングします。元のダイレクトコネクト接続を廃止する。
D. MACsecを使用した10 GBのDirect Connect接続の新しいペアを展開します。新しいパブリックVIFを新しいDirect Connect接続上にデプロイします。新しいパブリックVIFの上に、2つのAWS Site-to-Site VPN接続を展開する。既存のプライベートVIFから新しいSite-to-Site接続にトラフィックを再ルーティングする。元のDirect Connect接続を廃止する。
回答を見る
正解: C
質問 #66
オーストラリアのあるeコマース企業は、すべてのサービスをAWSクラウドでホストしており、顧客ベースを米国(US)に拡大したいと考えている。同社の既存のAWSアーキテクチャは、ap-southeast-2リージョンにデプロイされた複数のVPCを持つ4つのAWSアカウントで構成されている。すべてのVPCはap-southeast-2リージョンのトランジットゲートウェイに接続されている。各アプリケーションサービス専用のVPCがある。のような集中型セキュリティ機能用のVPCもある。
A. 2つのトランジットゲートウェイ間でVPNアタッチメントを作成する。2つのトランジットゲートウェイ間でBGPルーティングを使用するようにVPNアタッチメントを設定する。
B. 各リージョンのトランジットゲートウェイをピアリングする。各リージョンのIPアドレスに対して、2つのトランジットゲートウェイ間のルーティングを設定する。
C. 各リージョンのVPCにVPNサーバを作成する。ルーティングを更新して、代替リージョンのIPアドレスのVPNサーバーを指すようにします。
D. us-west-1のVPCをap-southeast-2のトランジットゲートウェイにアタッチします。
回答を見る
正解: B
質問 #67
ある企業がアプリケーションをデプロイしている。アプリケーションは、Amazon Elastic Container Service(Amazon ECS)クラスタ内の一連のコンテナに実装されている。同社はタスクにFargate起動タイプを使用する。コンテナは、SSL接続を介して開始される接続性を必要とするワークロードを実行する。トラフィックは、プライベート接続を介して他のAWSアカウントからアプリケーションに流れることができなければならない。アプリケーションは、より多くのコンシューマがアプリケーションを使用するにつれて、管理可能な方法でスケールしなければなりません。
A. WebサービスVPCと既存の本番環境VPCの間にVPCピアリング接続を作成します。既存の本番環境から192
B. ウェブサービスの開発チームに、ウェブサービスを本番VPCに再デプロイし、そこでシステムを統合するよう依頼する。
C. VPCエンドポイント・サービスを作成します。VPCエンドポイント・サービスをWebサービスのNLBに関連付けます。既存の本番 VP に、Web サービス用のインターフェイス VPC エンドポイントを作成します。
D. 既存の本番環境にトランジット・ゲートウェイを作成する。本番環境のVPCとWebサービスのVPCにアタッチメントを作成します。トランジットゲートウェイとVPCのルートテーブルに、192
回答を見る
正解: D
質問 #68
ある企業は、AWS環境を単一のAWSリージョンに展開している。この環境は、数百のアプリケーションVPC、共有サービスVPC、および会社のオンプレミス環境へのVPN接続で構成されています。ネットワークエンジニアは、以下の要件を満たすトランジットゲートウェイを実装する必要があります。
A. オンプレミスのWindows DNSサーバを指定する新しいDHCPオプション・セットを作成します。新しいDHCPオプションセットを既存のVPCに関連付ける。Amazon Linux 2 EC2インスタンスを再起動する。
B. Amazon Route 53 Resolverルールを作成します。ルールをVPCに関連付けます。ドメイン名がexample
C. VPMapのAmazon Linux 2 EC2インスタンスのローカルホストファイルを変更し、サービスドメイン名(api
D. VPC内のAmazon Linux 2 EC2インスタンスのローカル/etc/resolv
回答を見る
正解: CE
質問 #69
あるネットワークエンジニアが、自社のデータセンターと2つのAWSリージョン(us-east-1とeu-west-1)間で1GbpsのAWS Direct Connect接続を使用するハイブリッドアーキテクチャを設計しています。us-east-1のVPCはトランジットゲートウェイで接続され、複数のオンプレミスデータベースにアクセスする必要があります。会社のポリシーにより、eu-west-1のVPCは1つのオンプレミスサーバーにしか接続できない。オンプレミスのネットワークは、データベースとサーバー間のトラフィックをセグメント化します。
A. ホスト接続を1つ作成する。トランジットVIFを使用して、us-east-1のトランジットゲートウェイに接続します。プライベートVIFを使用して、eu-west-1のVPCに接続します。ダイレクトを1つ使用します。両方のVIFに1つのDirect
B. ホスト接続を1つ作成する。トランジットVIFを使用して、us-east-1のトランジットゲートウェイに接続します。プライベートVIFを使用して、eu-west-1のVPCに接続します。2つのDirect Connectゲートウェイ(各VIFに1つずつ)を使用して、Direct Connectロケーションから対応するAWSリージョンに、最もレイテンシーの低い経路でルーティングします。
C. 専用接続を1つ作成する。トランジットVIFを使用して、us-east-1のトランジットゲートウェイに接続します。プライベートVIFを使用して、eu-west-1のVPCに接続します。両方のVIFに1つのDirect Connectゲートウェイを使用し、Direct Connectロケーションから対応するAWSリージョンに、最もレイテンシーの低い経路でルーティングする。
D. 専用接続を1つ作成する。トランジットVIFを使用して、us-east-1のトランジットゲートウェイに接続します。プライベートVIFを使用して、eu-west-1のVPCに接続します。2つのDirect Connectゲートウェイ(各VIFに1つずつ)を使用して、Direct Connectロケーションから対応するAWSリージョンに、最もレイテンシーの低い経路でルーティングします。
回答を見る
正解: D
質問 #70
ある企業がハイブリッドクラウド環境を構築している。この企業のデータセンターは、AWS Direct Connect接続によってAWSクラウドに接続されている。AWS環境には、トランジットゲートウェイによってハブアンドスポークモデルで接続されたVPCが含まれる。AWS環境には、オンプレミス接続用のDirect Connectゲートウェイを備えたトランジットVIFがある。同社はハイブリッドDNSモデルを採用している。同社はハイブリッドDNSモデルを採用しており、ハブVPCにAmazon Route 53 Resolverエンドポイントを設定し、双方向のDNSトラフィックフローを可能にしている。同社は
A. カスタムパターンでAmazon EventBridge(Amazon CloudWatch Events)ルールを作成し、アカウントの変更を監視する。ルールを構成して、AWS Lambda関数を呼び出して、コンプライアンス違反のリソースを特定します。特定された変更でAmazon DynamoDBテーブルを更新する。
B. Amazon CloudWatchのログからカスタムメトリクスを作成する。メトリクスを使用してAWS Lambda関数を呼び出し、コンプライアンス違反のリソースを特定する。特定された変更でAmazon DynamoDBテーブルを更新する。
C. AWS Configを使用して、ネットワークリソースの現在の状態を記録する。必要な構成設定を反映したルールを作成する。非準拠リソースに対する修復を設定する。
D. AWS Systems Manager Inventoryを使用して、ネットワークリソースの現在の状態を記録する。Systems Manager State Manager を使用して、必要な構成設定を実施し、コンプライアンスに準拠していないリソースの修復を実行する。
回答を見る
正解: ADF
質問 #71
ある企業が、多くのソフトウェア定義WAN(SD-WAN)サイトの導入を計画している。同社は AWS Transit Gateway を使用しており、必要な AWS リージョンにトランジットゲートウェイをデプロイしている。ネットワークエンジニアは、トランジットゲートウェイに接続されている VPC に SD-WAN ハブ仮想アプライアンスをデプロイする必要があります。ソリューションは、SD-WANハブ仮想アプライアンスからトランジットゲートウェイに接続されている他のVPCへの少なくとも5 Gbpsのスループットをサポートする必要があります。
A. SD-WANハブ仮想アプライアンス用に新しいVPCを作成します。SD-WANハブ仮想アプライアンスとトランジットゲートウェイの間に2つのIPsec VPN接続を作成します。IPsec VPN接続上でBGPを設定します。
B. トランジットゲートウェイに新しいCIDRブロックを割り当てます。SD-WANハブ仮想アプライアンス用に新しいVPCを作成します。新しいVPCをVPCアタッチメントでトランジットゲートウェイにアタッチします。トランジットゲートウェイのConnectアタッチメントを追加します。Connectピアを作成し、GREとBGPパラメータを指定します。SD-WANハブ仮想アプライアンスの適切なVPCにトランジットゲートウェイへのルートを作成します。
C. SD-WANハブ仮想アプライアンス用に新しいVPCを作成します。新しいVPCをVPCアタッチメントでトランジットゲートウェイにアタッチします。SD-WANハブ仮想アプライアンスとトランジットゲートウェイの間に2つのIPsec VPN接続を作成します。IPsec VPN接続上でBGPを設定します。
D. トランジットゲートウェイに新しいCIDRブロックを割り当てます。SD-WANハブ仮想アプライアンス用に新しいVPCを作成します。新しいVPCをVPCアタッチメントでトランジットゲートウェイにアタッチします。トランジットゲートウェイのConnectアタッチメントを追加します。Connectピアを作成し、VXLANとBGPパラメータを指定します。SD-WANハブ仮想アプライアンスの適切なVPCにトランジットゲートウェイへのルートを作成します。
回答を見る
正解: B
質問 #72
ある会社には、オンプレミスのデータセンターが2カ所ある。各データセンターには会社が管理するルーターがある。各データセンターには、プライベート仮想インターフェイスを介してDirect Connectゲートウェイに接続する専用のAWS Direct Connect接続があります。最初のロケーションのルーターは、BGPを使用してDirect Connectゲートウェイに110ルートを広告しており、2番目のロケーションのルーターは、BGPを使用してDirect Connectゲートウェイに60ルートを広告しています。ダイレクトコネクトゲートウェイは、以下の方法で会社のVPCに接続されています。
A. ダイレクトコネクトゲートウェイを削除し、各社ルータからVPCの仮想プライベートゲートウェイへの新しいプライベート仮想インターフェイスを作成します。
B. 広告ルートを要約するようにルーターの設定を変更する。
C. VPCルートテーブルへの広告ルートのクォータを増やすためにサポートチケットを開いてください。
D. AWSトランジットゲートウェイを作成します。トランジットゲートウェイをVPCにアタッチし、Direct Connectゲートウェイをトランジットゲートウェイに接続します。
回答を見る
正解: D
質問 #73
あるグローバル企業では、us-east-1 リージョンの VPC 内でビジネスアプリケーションを実行している。ロンドンにあるこの会社の地域オフィスの 1 つは、仮想プライベートゲートウェイを使用して、VPC との間で AWS Site-to-Site VPN 接続を行っています。同社はトランジットゲートウェイを設定し、VPCと社内のさまざまな部署が使用する他のVPCとの間でピアリングを設定しています。ロンドンオフィスの従業員は、ビジネスアプリケーションに接続する際に待ち時間の問題を経験しています。
A. 新しいSite-to-Site VPN接続を作成する。トランジットゲートウェイをターゲットゲートウェイとして設定する。新しいSite-to-Site VPN接続でアクセラレーションを有効にする。ロンドンオフィスのVPNデバイスを新しい接続の詳細で更新する。
B. トランジットゲートウェイをターゲットゲートウェイに設定して、既存のSite-to-Site VPN接続を変更する。既存の Site-to-Site VPN 接続でアクセラレーションを有効にする。
C. C
D. Site-to-Site VPN 接続のエンドポイントを持つ新しい AWS Global Accelerator 標準アクセラレータを作成します。ロンドンオフィスの VPN デバイスを新しい接続の詳細で更新します。
回答を見る
正解: A
質問 #74
ある企業が、アプリケーション・ロード・バランサーの背後にあるAmazon EC2インスタンス群に、重要なアプリケーションをデプロイした。このアプリケーションは、パブリックインターネットからポート443で常にアクセス可能でなければならない。ネットワークエンジニアは、セキュリティグループに変更が加えられるたびに、パブリックインターネットとEC2インスタンス間のネットワーク接続を検証する方法を自動化する必要がある。また、このソリューションは
A. 各EC2インスタンスのエラスティック・ネットワーク・インターフェースでVPC Flow Logsを有効にして、443番ポートのREJECTトラフィックをキャプチャする。フローログレコードをAmazon CloudWatch Logsのロググループにパブリッシュする。拒否されたトラフィックのロググループのCloudWatch Logsメトリックフィルターを作成する。ネットワークエンジニアに通知するアラームを作成する。
B. 各EC2インスタンスのエラスティック・ネットワーク・インターフェースでVPC Flow Logsを有効にして、ポート443上のすべてのトラフィックをキャプチャする。フローログレコードをAmazon CloudWatch Logsのロググループにパブリッシュする。すべてのトラフィックに対して、ロググループのCloudWatch Logsメトリックフィルターを作成する。ネットワークエンジニアに通知するアラームを作成する。
C. 443番ポートにVPC到達性分析パスを作成します。ソースとしてセキュリティグループを指定する。デスティネーションとしてEC2インスタンスを指定する。Amazon Simple Notification Service(Amazon SNS)トピックを作成し、セキュリティグループの変更が接続に影響したときにネットワークエンジニアに通知する。AWSのLambda関数を作成し、Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックにメッセージを発行する。 Amazon EventBridge(Amazon CloudWatch Events)ルールを作成し、セキュリティグループに変更が発生した場合にLambda関数を起動する。
D. 443番ポートにVPC到達性アナライザー・パスを作成します。ソースとしてVPCのインターネットゲートウェイを指定する。デスティネーションとしてEC2インスタンスを指定します。Amazon Simple Notification Service(Amazon SNS)トピックを作成し、セキュリティグループの変更が接続に影響したときにネットワークエンジニアに通知します。AWS Lambda関数を作成し、Reachability Analyzerを起動し、分析が失敗した場合にSNSトピックにメッセージをパブリッシュする。Amazon EventBridge(Amazon CloudWatch Events)ルールを作成し、セキュリティグループの変更が発生したときにLambda関数を呼び出します。
回答を見る
正解: D
質問 #75
ある企業が、トランジットで暗号化を必要とするサービスの構築を計画している。クライアントとサービスのバックエンドの間でトラフィックが復号化されてはならない。同社は、TCPポート443上でgRPCプロトコルを使用してサービスを実装する予定である。サービスは数千の同時接続までスケールアップする。サービスのバックエンドは、Kubernetes Cluster AutoscalerとHorizontal Pod Autoscalerが設定されたAmazon Elastic Kubernetes Service(Amazon EKS)ダスター上でホストされる。このサービスでは
A. AWS Load Balancer Controller for Kubernetesをインストールする。そのコントローラーを使用して、バックエンドのサービスPodのIPアドレスにトラフィックを転送するために、ポート443上のTCPリスナーを持つネットワークロードバランサーを設定します。
B. AWS Load Balancer Controller for Kubernetesをインストールする。そのコントローラを使用して、バックエンドサービスPodのIPアドレスにトラフィックを転送するために、ポート443上のHTTPSリスナーを持つアプリケーションロードバランサーを構成します。
C. ターゲットグループを作成する。EKS管理ノードグループのAuto Scalingグループをターゲットとして追加する。 ターゲットグループにトラフィックを転送するために、ポート443にHTTPSリスナーを持つアプリケーションロードバランサーを作成する。
D. ターゲットグループを作成します。EKS管理ノードグループのAuto Scalingグループをターゲットとして追加します。ターゲットグループにトラフィックを転送するために、ポート443上のTLSリスナーを持つネットワークロードバランサーを作成します。
回答を見る
正解: D
質問 #76
ある企業が、ネットワークロードバランサー(NLB)の背後にあるAmazon EC2インスタンスでアプリケーションをホスティングしている。ソリューションアーキテクトは、アプリケーションの可用性を向上させるため、EC2インスタンスを2つ目のアベイラビリティゾーンに追加した。ソリューションアーキテクトは、インスタンスをNLBのターゲットグループに追加しました。会社の運用チームは、トラフィックが最初のアベイラビリティゾーンのインスタンスにのみルーティングされていることに気づきました。この問題を解決するための、運用上最も効率的なソリューションは何ですか。
A. 起動テンプレートに2つのネットワークインターフェイスを設定します。プライベートサブネットの1つにプライマリネットワークインターフェースを作成します。2番目のネットワーク・インターフェースには、パブリック・サブネットの1つを選択します。パブリックIPアドレスのソースとしてBYOIPプールIDを選択します。
B. 起動テンプレートのプライベートサブネットにプライマリネットワークインターフェースを構成します。ユーザーデータオプションを使用して、ブート後にcloud-initスクリプトを実行し、パブリックIPアドレスの自動割り当てが有効になっているサブネットから2番目のネットワークインターフェイスをアタッチします。
C. インスタンス起動時に Auto Scaling グループのライフサイクルフックとして実行する AWS Lambda 関数を作成します。Lambda 関数で、ネットワークインターフェイスを AWS Global Accelerator エンドポイントに割り当てます。
D. Auto Scalingグループの作成時に、プライマリ・ネットワーク・インターフェイスのサブネットを選択します。ユーザーデータオプションを使用して、クラウドイニットスクリプトを実行し、2番目のネットワークインターフェイスを割り当て、BYOIPプールからElastic IPアドレスを関連付けます。
回答を見る
正解: A
質問 #77
ある不動産会社が、不動産業者が様々な物件の写真や動画をアップロードできるように、社内アプリケーションを構築している。このアプリケーションは、これらの写真や動画をオブジェクトとしてAmazon S3バケットに保存し、対応するメタデータを保存するためにAmazon DynamoDBを使用します。S3バケットは、新しいオブジェクトのアップロードに対するすべてのPUTイベントをAmazon Simple Queue Service(Amazon SQS)キューに公開するように構成される。Amazon EC2インスタンスのコンピュートクラスタは、新しくアップロードされたオブジェクトを見つけるためにSQSキューをポーリングする。
A. EC2インスタンスをパブリックサブネットに配置する。EC2インスタンスを起動する際、Auto-assign Public IPオプションを無効にする。インターネットゲートウェイを作成する。インターネットゲートウェイをVPCに接続する。パブリックサブネットのルートテーブルに、インターネットゲートウェイを指すデフォルトルートを追加する。
B. EC2インスタンスをプライベートサブネットに配置する。同じアベイラビリティゾーン内のパブリックサブネットにNATゲートウェイを作成する。インターネットゲートウェイを作成する。インターネットゲートウェイをVPCに接続する。パブリックサブネットのルートテーブルに、インターネットゲートウェイを指すデフォルトルートを追加する。
C. EC2インスタンスをプライベートサブネットに配置する。Amazon SQS用のインターフェイスVPCエンドポイントを作成する。Amazon S3とDynamoDBのゲートウェイVPCエンドポイントを作成する。
D. EC2インスタンスをプライベートサブネットに配置する。Amazon SQS用のゲートウェイVPCエンドポイントを作成する。Amazon S3とDynamoDB用のインターフェイスVPCエンドポイントを作成する。
回答を見る
正解: C
質問 #78
ある企業が、自動販売機の在庫レベルを追跡し、自動的に補充プロセスを開始するアプリケーションをAWS上で開発した。同社はこのアプリケーションを自動販売機と統合し、世界中のいくつかの市場に自動販売機を配備する予定である。このアプリケーションはus-east-1リージョンのVPCに常駐している。アプリケーションは、アプリケーション・ロード・バランサー(ALB)の背後にあるAmazon Elastic Container Service(Amazon ECS)クラスタで構成されている。自動販売機からの通信
A. VPCのプライベートサブネットにALBを設定します。サブネットのルートテーブルにインターネットゲートウェイを指すルートを追加せずに、インターネットゲートウェイをアタッチします。ALBエンドポイントを含むエンドポイントグループでアクセラレータを構成します。ALBのリスナーポートでインターネットからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを設定します。
B. VPCのプライベートサブネットにALBを構成します。ALBエンドポイントを含むエンドポイントグループでアクセラレータを構成します。ALB リスナーポートでインターネットからのインバウンドトラフィックのみを許可するように、ALB のセキュリティグループを構成します。
C. VPAのパブリックサブネットにALBを設定するインターネットゲートウェイを接続する。サブネットのルートテーブルにインターネットゲートウェイを指すルートを追加します。ALB エンドポイントを含むエンドポイントグループでアクセラレーターを構成します。ALBのリスナーポートでアクセラレータのIPアドレスからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを設定します。
D. VPCのプライベートサブネットにALBを設定する。インターネットゲートウェイをアタッチします。サブネットのルートテーブルにインターネットゲートウェイを指すルートを追加します。ALB エンドポイントを含むエンドポイントグループでアクセラレーターを構成します。ALBのリスナーポートでアクセラレータのIPアドレスからのインバウンドトラフィックのみを許可するように、ALBのセキュリティグループを設定します。
回答を見る
正解: A

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: