AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題2

AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題2

質問

原文

2) Your application server instances reside in the private subnet of your VPC. These instances need to access a Git repository on the Internet. You create a NAT gateway in the public subnet of your VPC. The NAT gateway can reach the Git repository, but instances in the private subnet cannot. You confirm that a default route in the private subnet route table points to the NAT gateway. The security group for your application server instances permits all traffic to the NAT gateway.

What configuration change should you make to ensure that these instances can reach the patch server?

    A) Assign public IP addresses to the instances and route 0.0.0.0/0 to the Internet gateway. 
    B) Configure an outbound rule on the application server instance security group for the Git repository. 
    C) Configure inbound network access control lists (network ACLs) to allow traffic from the Git repository to the public subnet. 
    D) Configure an inbound rule on the application server instance security group for the Git repository.

googleで日本語翻訳

2)アプリケーションサーバーインスタンスは、VPCのプライベートサブネットに存在します。これらのインスタンスは、インターネット上のGitリポジトリにアクセスする必要があります。 VPCのパブリックサブネットにNATゲートウェイを作成します。 NATゲートウェイはGitリポジトリに到達できますが、プライベートサブネット内のインスタンスはGitリポジトリにアクセスできません。プライベートサブネットルートテーブルのデフォルトルートがNATゲートウェイを指していることを確認します。アプリケーションサーバーインスタンスのセキュリティグループは、NATゲートウェイへのすべてのトラフィックを許可します。

これらのインスタンスがパッチ・サーバーに到達できるように構成を変更する必要がありますか。

    A)インスタンスにパブリックIPアドレスを割り当て、0.0.0.0/0をインターネットゲートウェイにルーティングします。
    B)Gitリポジトリのアプリケーションサーバインスタンスセキュリティグループにアウトバウンドルールを設定します。
    C)インバウンドネットワークアクセスコントロールリスト(ネットワークACL)を設定して、Gitリポジトリからパブリックサブネットへのトラフィックを許可します。
    D)Gitリポジトリのアプリケーションサーバーインスタンスセキュリティグループにインバウンドルールを設定します。

bingで日本語翻訳

2) アプリケーションサーバーインスタンスは、vpc のプライベートサブネットに存在します。これらのインスタンスは、インターネット上の git リポジトリにアクセスする必要があります。vpc のパブリックサブネットに nat ゲートウェイを作成します。nat ゲートウェイは git リポジトリに到達できますが、プライベートサブネット内のインスタンスはできません。プライベートサブネットルートテーブルの既定のルートが nat ゲートウェイを指していることを確認します。アプリケーションサーバーインスタンスのセキュリティグループは、nat ゲートウェイへのすべてのトラフィックを許可します。

これらのインスタンスが修正プログラムサーバーに到達できるようにするには、どのような構成変更を行う必要がありますか。

a) パブリック ip アドレスをインスタンスに割り当て、0.0.0.0/0 をインターネットゲートウェイにルーティングします。
b) git リポジトリのアプリケーションサーバインスタンスセキュリティグループに送信ルールを設定します。
c) git リポジトリからパブリックサブネットへのトラフィックを許可するように、受信ネットワークアクセス制御リスト (ネットワーク acl) を構成します。
d) git リポジトリのアプリケーションサーバインスタンスセキュリティグループに受信ルールを設定します。

解答

原文

2) B - The traffic leaves the instance destined for the Git repository; at this point, the security group must allow it through. The route then directs that traffic (based on the IP) to the NAT gateway. 
A is wrong because it removes the private aspect of the subnet and would
have no effect on the blocked traffic anyway.
C is wrong because the problem is that outgoing traffic is not getting to the NAT gateway.
D is wrong because to allow outgoing traffic to the Git repository requires an outgoing security group rule.

googleで日本語翻訳

2)B - トラフィックは、インスタンスをGitリポジトリに向けたままにします。 この時点で、セキュリティグループはそれを許可する必要があります。 ルートは、そのトラフィックを(IPに基づいて)NATゲートウェイに送信します。
Aは、サブネットのプライベートな側面を削除し、
とにかくブロックされたトラフィックに影響を与えません。
問題は、発信トラフィックがNATゲートウェイに到達していないためです。
Gitリポジトリへの発信トラフィックを許可するには、発信セキュリティグループルールが必要であるため、Dは間違っています。

bingで日本語翻訳

2) b-トラフィックは、git リポジトリ宛てのインスタンスを残します。この時点で、セキュリティグループはそれを許可する必要があります。ルートは、そのトラフィック (ip に基づく) を nat ゲートウェイに指示します。
それは、サブネットのプライベートな側面を削除するため、a は間違っている
とにかくブロックされたトラフィックには影響しません。
問題は、発信トラフィックが nat ゲートウェイになっていないことであるため、c は間違っています。
d が間違っているため、git リポジトリへの送信トラフィックを許可するには、送信セキュリティグループルールが必要です。