AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題10
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

10) Your customer’s internal security teams receive requests to allow Amazon S3 access from inside the corporate network. All external traffic must be explicitly whitelisted through your corporate firewalls.

How can your security team grant this access?

    A) Obtain the list of IP prefixes from AWS Forum announcements, and use those prefixes in firewall rules.
    B) Obtain the list of IP prefixes from ip-ranges.json, and use those prefixes in firewall rules.
    C) Obtain the list of IP prefixes by performing a DNS lookup on Amazon S3 endpoints, and use those prefixes in firewall rules.
    D) Connect your data center to a VPC via Direct Connect. Create routes that forward traffic from your data center to an S3 private endpoint.

googleで日本語翻訳

10)お客様の内部セキュリティチームは、企業ネットワーク内からAmazon S3へのアクセスを許可する要求を受け取ります。 すべての外部トラフィックは、企業のファイアウォールを使用して明示的にホワイトリストに登録する必要があります。

あなたのセキュリティチームはこのアクセスをどのように認めることができますか?

     A)AWS ForumアナウンスからIPプレフィックスのリストを取得し、そのプレフィックスをファイアウォールルールに使用します。
     B)ip-ranges.jsonからIPプレフィックスのリストを取得し、そのプレフィックスをファイアウォールルールに使用します。
     C)Amazon S3エンドポイントでDNSルックアップを実行してIPプレフィックスのリストを取得し、そのプレフィックスをファイアウォールルールに使用します。
     D)Direct Connect経由でVPCにデータセンターを接続します。 データセンターからS3プライベートエンドポイントにトラフィックを転送するルートを作成します。

bingで日本語翻訳

10) お客様の社内セキュリティチームは、企業ネットワーク内部からの amazon s3 アクセスを許可する要求を受け取ります。すべての外部トラフィックは、企業のファイアウォールを通じて明示的にホワイトする必要があります。

セキュリティチームはどのようにしてこのアクセス権を付与できますか。

a) aws フォーラムアナウンスから ip プレフィックスのリストを取得し、それらのプレフィックスをファイアウォールルールで使用します。
b) ip アドレス範囲の json から ip プレフィックスのリストを取得し、それらのプレフィックスをファイアウォール規則で使用します。
c) amazon s3 エンドポイントで dns ルックアップを実行して ip プレフィックスのリストを取得し、それらのプレフィックスをファイアウォールルールで使用します。
d) ダイレクトコネクトを使用して、データセンターを vpc に接続します。データセンターから s3 プライベートエンドポイントにトラフィックを転送するルートを作成します。

解答

原文

10) B - ip-ranges.json contains the latest list of IP addresses used by AWS. AWS no longer posts IP prefixes in Forum announcements. DNS lookups would not provide an exhaustive list of possible IP prefixes. 
D would require transitive routing, which is not possible.

googleで日本語翻訳

10)B - ip-ranges.jsonには、AWSが使用する最新のIPアドレスのリストが含まれています。 AWSはフォーラムのアナウンスにIPプレフィックスを投稿しなくなりました。 DNSルックアップは、可能なIPプレフィックスの網羅的なリストを提供しない。
Dは推移的ルーティングを必要とするが、これは不可能である。

bingで日本語翻訳

10) b-ip-範囲。 json には、aws が使用する ip アドレスの最新のリストが含まれています。aws は、もはやフォーラムアナウンスの ip プレフィックスを投稿しません。dns ルックアップは、可能な ip プレフィックスの完全なリストを提供しません。
d は推移性のルーティングを必要としますが、これは不可能です。
AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題9
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

9) You are architecting an HPC solution in AWS. The system consists of a cluster of EC2 instances that require low-latency communications between them.

Which method should you use to set up a cluster to meet these requirements?

    A) Create a VPC with one subnet in a single Availability Zone. Keep the size of the subnet equal to the number of instances required in the cluster. Launch instances for the cluster in this small subnet to guarantee low-latency network performance.
    B) Create a placement group. Choose an EC2 instance type compatible with placement groups for the cluster. Launch instances for the cluster in the placement group.
    C) Launch Amazon EC2 instances with the largest available number of cores and RAM. Attach all instances to an Amazon EBS PIOPS volume. Implement a shared memory system across all instances in the cluster, using this shared EBS volume to minimize latency of communication.
    D) Choose an EC2 instance type that offers enhanced networking. Attach a 10-Gbps non-blocking elastic network interface to the instances. Configure the elastic network interface to optimize network performance to reduce latency.

googleで日本語翻訳

9)AWSでHPCソリューションを設計しています。このシステムは、低レイテンシの通信を必要とするEC2インスタンスのクラスタで構成されています。

これらの要件を満たすためにクラスタを設定するにはどの方法を使用する必要がありますか?

    A)単一の可用性ゾーンに1つのサブネットを持つVPCを作成します。サブネットのサイズは、クラスタに必要なインスタンスの数と同じにしてください。この小さなサブネットでクラスタのインスタンスを起動すると、低遅延のネットワークパフォーマンスが保証されます。
    B)プレースメントグループを作成します。クラスタのプレースメントグループと互換性のあるEC2インスタンスタイプを選択します。プレースメントグループ内のクラスタのインスタンスを起動します。
    C)使用可能なコア数とRAMが最大のAmazon EC2インスタンスを起動します。すべてのインスタンスをAmazon EBS PIOPSボリュームに接続します。この共有EBSボリュームを使用して、通信の待ち時間を最小限に抑えるために、クラスタ内のすべてのインスタンスにわたって共有メモリシステムを実装します。
    D)拡張ネットワークを提供するEC2インスタンスタイプを選択します。 10 Gbpsの非ブロッキング弾性ネットワークインターフェイスをインスタンスに接続します。エラスティックネットワークインターフェイスを設定してネットワークパフォーマンスを最適化し、レイテンシを削減します。

bingで日本語翻訳

9) は、aws で hpc ソリューションを設計しています。システムは、それらの間の低遅延通信を必要とする ec2 インスタンスのクラスタで構成されます。

これらの要件を満たすためにクラスタを設定するには、どの方法を使用する必要がありますか。

a) 単一のアベイラビリティーゾーンに1つのサブネットを持つ vpc を作成します。サブネットのサイズは、クラスタに必要なインスタンスの数と等しくしてください。この小さなサブネット内のクラスターのインスタンスを起動して、遅延の少ないネットワークパフォーマンスを保証します。
b) 配置グループを作成します。クラスタの配置グループと互換性のある ec2 インスタンスタイプを選択します。配置グループ内のクラスターのインスタンスを起動します。
c) コアと ram の最大の利用可能な数で amazon ec2 インスタンスを起動します。すべてのインスタンスを amazon ebs piops ボリュームにアタッチします。この共有 ebs ボリュームを使用して、クラスタ内のすべてのインスタンスにわたって共有メモリシステムを実装し、通信の待ち時間を最小化します。
d) 拡張ネットワーキングを提供する ec2 インスタンスタイプを選択します。10 gbps の非ブロッキング弾性ネットワークインタフェースをインスタンスに接続します。ネットワークパフォーマンスを最適化して待ち時間を短縮するために、エラスティックネットワークインターフェイスを構成します。

解答

原文

9) B - Placement groups are recommended for applications that benefit from low network latency, high network throughput, or both. 
A is incorrect because the size of a subnet has no impact on network performance. 
C is incorrect because an EBS volume cannot be shared between EC2 instances. 
D is only half the solution because the enhanced networking affects the network behavior of an EC2 instance but not the network infrastructure between instances.

googleで日本語翻訳

9)B - 低ネットワーク遅延、高ネットワークスループット、またはその両方を享受するアプリケーションには、配置グループが推奨されます。
サブネットのサイズがネットワークのパフォーマンスに影響を与えないため、Aが正しくありません。
EC2インスタンス間でEBSボリュームを共有できないため、Cが正しくありません。
強化されたネットワーキングはEC2インスタンスのネットワーク動作に影響を与えますが、インスタンス間のネットワークインフラストラクチャには影響しないため、ソリューションの半分に過ぎません。

bingで日本語翻訳

9) b-配置グループは、低ネットワーク待ち時間、高いネットワークスループット、またはその両方から恩恵を受けるアプリケーションに推奨されます。
サブネットのサイズがネットワークのパフォーマンスに影響を与えないため、a は正しくありません。
c は、ec2 インスタンス間で ebs ボリュームを共有できないため、正しくありません。
拡張ネットワーキングは ec2 インスタンスのネットワーク動作に影響しますが、インスタンス間のネットワークインフラストラクチャではないので、d はソリューションの半分にすぎません。
AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題8
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

8) You are deploying a web application in a VPC that requires SSL mutual authentication with a client-side, smartcard-stored certificate. The ELB Classic Load Balancer listener must support mutual authentication between the client and the application.

Which load balancer protocol should you selectfor this application?

    A) HTTP 
    B) HTTPS 
    C) SSL 
    D) TCP

googleで日本語翻訳

8)クライアント側のスマートカードに保存された証明書とのSSL相互認証を必要とするVPCにWebアプリケーションを導入しています。 ELBクラシック・ロード・バランサ・リスナーは、クライアントとアプリケーション間の相互認証をサポートする必要があります。

このアプリケーションでは、どのロードバランサプロトコルを選択する必要がありますか?

     A)HTTP
     B)HTTPS
     C)SSL
     D)TCP

bingで日本語翻訳

8) クライアント側のスマートカードに保存された証明書を使用して ssl 相互認証を必要とする vpc に web アプリケーションをデプロイする場合。elb クラシックロードバランサーリスナは、クライアントとアプリケーション間の相互認証をサポートする必要があります。

このアプリケーションを selectfor するには、どのロードバランサープロトコルを使用しますか?

a) http
b) https
c) ssl
d) tcp

解答

原文

8) D - An ELB Classic Load Balancer cannot validate a client side certificate, so it must be passed through as standard TCP on port 443 to let the EC2 instance handle the validation.

googleで日本語翻訳

8)D - ELBクラシック・ロード・バランサはクライアント側の証明書を検証できないため、ポート443で標準TCPとして渡され、EC2インスタンスが検証を処理する必要があります。

bingで日本語翻訳

8) d-elb クラシックロードバランサーは、クライアント側の証明書を検証できないため、ec2 インスタンスが検証を処理できるように、ポート443の標準の tcp として渡される必要があります。
AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題7
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

7) You have an application that is processing confidential data. The data is currently stored in your data center. You are moving workloads to AWS, and you need to ensure confidentiality and integrity of the data in transit to your VPC. Your company has an existing AWS Direct Connect connection. 

What combination of steps should you perform to set up the most cost-effective connection between your on-premises data center and AWS? (Choose 3)

    A) Set up a VPC with a virtual private gateway. 
    B) Set up a VPC with an Internet gateway. 
    C) Configure a public virtual interface on your Direct Connect connection.
    D) Configure a private virtual interface to the virtual private gateway. 
    E) Set up an IPsec tunnel between your customer gateway and a software VPN on Amazon EC2 in the VPC. 
    F) Set up an IPsec tunnel between your customer gateway appliance and the virtual private gateway.

googleで日本語翻訳

7)機密データを処理しているアプリケーションがあります。 データは現在、データセンターに保存されています。 ワークロードをAWSに移行する際には、VPCへの移行中にデータの機密性と整合性を確保する必要があります。 会社には既存のAWS Direct Connect接続があります。

オンプレミスデータセンターとAWSの間で最もコスト効率の高い接続を設定するには、どのような手順を実行する必要がありますか? (選択3)

     A)仮想プライベートゲートウェイを使用してVPCを設定します。
     B)インターネットゲートウェイを使用してVPCをセットアップします。
     C)ダイレクトコネクト接続でパブリック仮想インターフェイスを設定します。
     D)仮想プライベートゲートウェイにプライベート仮想インターフェイスを設定します。
     E)VPC内のAmazon EC2上のカスタマーゲートウェイとソフトウェアVPNの間にIPsecトンネルを設定します。
     F)カスタマーゲートウェイアプライアンスと仮想プライベートゲートウェイの間にIPsecトンネルを設定します。

bingで日本語翻訳

7) 機密データを処理しているアプリケーションがあります。データは現在データセンターに格納されています。ワークロードを aws に移動しており、vpc への転送中のデータの機密性と完全性を確保する必要があります。会社には、既存の aws ダイレクトコネクト接続があります。

オンプレミスのデータセンターと aws との間で最も費用対効果の高い接続を設定するには、どのような手順を実行する必要がありますか。(3 を選択)

a) 仮想プライベートゲートウェイを持つ vpc を設定します。
b) インターネットゲートウェイを使用して vpc を設定します。
c) 直接接続接続でパブリック仮想インターフェイスを構成します。
d) 仮想プライベートゲートウェイにプライベート仮想インターフェイスを構成します。
e) vpc の amazon ec2 で、カスタマーゲートウェイとソフトウェア vpn の間に ipsec トンネルをセットアップします。
f) カスタマーゲートウェイアプライアンスと仮想プライベートゲートウェイの間に ipsec トンネルをセットアップします。

解答

原文

7) A, C, F - Setting up a VPN over your Direct Connect connection will secure the data in transit. The steps to do so are: adding a VGW to the VPC; setting up a public virtual interface; and creating the IPsec tunnel between your data center and the VGW via the public virtual interface. 
B would send traffic over the public Internet. 
D is not possible because a public virtual interface is needed to announce the VGW endpoint IPs. 
E would not take advantage of the already existing Direct Connect connection.

googleで日本語翻訳

7)A、C、F - ダイレクトコネクト接続でVPNを設定すると、転送中のデータが保護されます。 これを行う手順は次のとおりです。VGWをVPCに追加する。 パブリック仮想インターフェイスを設定する。 パブリック仮想インターフェイスを介してデータセンターとVGWとの間にIPsecトンネルを作成します。
Bは公共のインターネットを介してトラフィックを送信します。
VGWエンドポイントIPをアナウンスするためにパブリック仮想インターフェイスが必要であるため、Dは不可能です。
Eは、既存のダイレクトコネクト接続を利用しません。

bingで日本語翻訳

7) a、c、f-直接接続接続を介して vpn を設定すると、転送中のデータが保護されます。これを行うには、次の手順を実行します。 .vgw を vpc に追加します。パブリック仮想インターフェイスを設定する。、データセンターと .vgw の間にある ipsec トンネルをパブリック仮想インターフェイス経由で作成します。
b は公共のインターネット上のトラフィックを送信します。
.vgw エンドポイント ip をアナウンスするためにパブリック仮想インターフェイスが必要なため、d は使用できません。
e は、すでに既存の直接接続接続を利用しません。
AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題6
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

6) You are architecting your e-business application for PCI compliance. To meet the compliance requirements, you need to monitor web application logs to identify any malicious activity. You also need to monitor for remote attempts to change the network interface of web instances.

Which two AWS services will be helpful to achieve this goal?

    A) Amazon CloudWatch Logs and VPC Flow Logs 
    B) AWS CloudTrail and VPC Flow Logs 
    C) AWS CloudTrail and CloudWatch Logs 
    D) AWS CloudTrail and AWS Config

googleで日本語翻訳

6)PCIコンプライアンスのためのe-businessアプリケーションを設計しています。 コンプライアンス要件を満たすには、Webアプリケーションログを監視して悪意のあるアクティビティを特定する必要があります。 また、Webインスタンスのネットワークインタフェースを変更しようとするリモート試行を監視する必要があります。

どの2つのAWSサービスがこの目標を達成するのに役立つでしょうか?

     A)Amazon CloudWatchログとVPCフローログ
     B)AWS CloudTrailおよびVPCフローログ
     C)AWS CloudTrailとCloudWatchログ
     D)AWS CloudTrailおよびAWS Config

bingで日本語翻訳

6) あなたは、pci コンプライアンスのための e-ビジネスアプリケーションを設計しています。コンプライアンス要件を満たすには、web アプリケーションログを監視して、悪質なアクティビティを特定する必要があります。また、web インスタンスのネットワークインターフェイスを変更するリモート試行を監視する必要もあります。

この目標を達成するために役立つ2つの aws サービスはどれですか。

a) amazon cloudwatch ログと vpc フローログ
b) aws cloudtrail と vpc フローログ
c) aws cloudtrail と cloudwatch ログ
d) aws cloudtrail と aws 設定

解答

原文

6) C - Web application logs are internal to the operating system, so the only way to monitor them with an AWS service is to export them using CloudWatch Logs. 
AWS CloudTrail monitors the API activity and can be used to watch for particular API calls. The correct answer is the only one that references both these services.

googleで日本語翻訳

6)C - Webアプリケーションログはオペレーティングシステムの内部にあるため、AWSサービスで監視する唯一の方法は、CloudWatchログを使用してそれらをエクスポートすることです。
AWS CloudTrailはAPIアクティビティを監視し、特定のAPI呼び出しを監視するために使用できます。 両方のサービスを参照するのは、正解のみです。

bingで日本語翻訳

6) c-web アプリケーションのログは、オペレーティングシステムの内部にあるので、aws サービスでそれらを監視する唯一の方法は、cloudwatch ログを使用してそれらをエクスポートすることです。
aws cloudtrail は api アクティビティを監視し、特定の api 呼び出しを監視するために使用できます。正しい答えは、これらのサービスの両方を参照する唯一のものです。
AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題5
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

5) You have a web application (app.mycompany.com) running on an EC2 instance with a single elastic network interface in a subnet in a VPC. Because of a network redesign, you need to move the web application to a different subnet in the same Availability Zone. 

Which of the following migration strategies meets the requirements?

    A)Create an elastic network interface in the new subnet. Attach this interface to the instance, and detach the old interface. 
    B) Launch a new instance in the subnet via an AMI created from the instance, and redirect new connections to this new instance using DNS. Decommission the old instance. 
    C) Make an API call to change the subnet association of the elastic network interface. 
    D) Change the IP addresses manually to another subnet within the server operating system.

googleで日本語翻訳

5)VPCのサブネット内に1つのエラスティックネットワークインターフェイスを持つEC2インスタンス上で実行されているWebアプリケーション(app.mycompany.com)があります。 ネットワークの再設計のため、同じ可用性ゾーン内の異なるサブネットにWebアプリケーションを移動する必要があります。

次のどの移行戦略が要件を満たしていますか?

     A)新しいサブネットに弾性ネットワークインターフェイスを作成します。 このインタフェースをインスタンスに接続し、古いインタフェースをデタッチします。
     B)インスタンスから作成されたAMIを使用してサブネット内の新しいインスタンスを起動し、DNSを使用してこの新しいインスタンスに新しい接続をリダイレクトします。 古いインスタンスを廃止する。
     C)弾力性のあるネットワークインターフェイスのサブネット関連付けを変更するAPI呼び出しを行います。
     D)サーバーオペレーティングシステム内の別のサブネットに手動でIPアドレスを変更します。

bingで日本語翻訳

5) vpc 内のサブネットに単一のエラスティックネットワークインターフェイスを持つ ec2 インスタンスで実行されている web アプリケーション (app.mycompany.com) がある。ネットワークの再設計により、web アプリケーションを同じアベイラビリティーゾーン内の別のサブネットに移動する必要があります。

次の移行戦略のうち、どの要件を満たしているか。

a) 新しいサブネットにエラスティックネットワークインターフェイスを作成します。このインターフェイスをインスタンスにアタッチし、古いインターフェイスをデタッチします。
b) インスタンスから作成された ami を介してサブネット内の新しいインスタンスを起動し、dns を使用して新しい接続をこの新しいインスタンスにリダイレクトします。古いインスタンスを停止します。
c) エラスティックネットワークインターフェイスのサブネットの関連付けを変更するための api 呼び出しを行います。
d) サーバーオペレーティングシステム内の別のサブネットに ip アドレスを手動で変更します。

解答

原文

5) B - Instances cannot change subnets, so a new instance must be created (Response B). 
A is wrong because you cannot remove the original elastic network interface. 
C is not possible. 
D is wrong because the OS has no ability to affect the AWS assigned IP addresses.

googleで日本語翻訳

5)B - インスタンスはサブネットを変更できないため、新しいインスタンスを作成する必要があります(レスポンスB)。
オリジナルの弾性ネットワークインターフェイスを削除できないため、Aが間違っています。
Cはできません。
OSがAWSに割り当てられたIPアドレスに影響を与える能力がないため、Dが間違っています。

bingで日本語翻訳

5) b インスタンスはサブネットを変更できないため、新しいインスタンスを作成する必要があります (応答 b)。
元のエラスティックネットワークインターフェイスを削除できないため、a は間違っています。
c はありえません。
os が aws に割り当てられた ip アドレスに影響を与える能力がないので、d は間違っています。
AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題4
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

4) Your Amazon Kinesis application receives data streams from thousands of devices. The data is then stored in an on-premises Hadoop cluster. You are concerned about historical data that shows periods of sustained traffic between 1 Gbps and 2 Gbps during peaks. You must ensure that you have secure, fault-tolerant connectivity between Amazon Kinesis and your data center.

What should you implement to address these needs? 

    A) Deploy a single 1-Gbps Direct Connect connection with a VPN backup. 
    B) Deploy three 1-Gbps Direct Connect connections. 
    C) Deploy two 1-Gbps Direct Connect connections. 
    D) Set up an IPsec VPN connection over Direct Connect with two tunnels.

googleで日本語翻訳

4)Amazon Kinesisアプリケーションは、数千のデバイスからデータストリームを受信します。 その後、データはオンプレミスHadoopクラスタに格納されます。 ピーク時に1 Gbps〜2 Gbpsの間に持続するトラフィックの期間を示す履歴データが不安です。 Amazon Kinesisとデータセンターとの間に安全でフォールトトレラントな接続性を確保する必要があります。

あなたはこれらのニーズに対応するために何を実装すべきですか?

     A)VPNバックアップを使用して単一の1 Gbpsダイレクトコネクト接続を展開します。
     B)3つの1 Gbpsダイレクトコネクト接続を導入します。
     C)2つの1 Gbpsダイレクトコネクト接続を展開します。
     D)2つのトンネルを使用して、Direct Connect経由でIPsec VPN接続を設定します。

bingで日本語翻訳

4) amazon キネシスアプリケーションは、何千ものデバイスからデータストリームを受信します。データは、オンプレミスの hadoop クラスターに格納されます。ピーク時に 1 gbps と 2 gbps の間の持続的なトラフィックの期間を示す履歴データが懸念されます。amazon キネシスとデータセンターの間に、セキュリティで保護されたフォールトトレラントな接続性があることを確認する必要があります。

これらのニーズに対処するために実装する必要があるもの

a) vpn バックアップを使用して、単一の 1 gbps の直接接続接続を展開します。
b) 3 1-gbps の直接接続接続を展開します。
c) 2 1-gbps の直接接続接続を展開します。
d) 2 つのトンネルで直接接続して、ipsec vpn 接続をセットアップします。

解答

原文

4) B - Three connections are required to provide fault tolerance. All of the other options would 
be unable to handle the peak loads over 1 Gbps without exceeding the available bandwidth.

googleで日本語翻訳

4)B - フォールトトレランス機能を提供するには3つの接続が必要です。 その他のオプションはすべて
利用可能な帯域幅を超えないで1Gbpsを超えるピーク負荷を処理することはできません。

bingで日本語翻訳

4) b-3 の接続は、フォールトトレランスを提供するために必要です。他のオプションはすべて
使用可能な帯域幅を超えることなく、1 gbps 以上のピーク負荷を処理できません。
AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題3
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

3) Your company has installed an AWS Direct Connect connection in an ap-southeast-1 Direct Connect location. A public virtual interface is configured through a router to a dedicated firewall. You advertise your company's public /24 CIDR block to AWS with AS 65500. The company maintains a separate, corporate Internet firewall to map all outbound traffic to a single IP. This firewall maintains a BGP relationship with an upstream Internet provider that has delegated the public IP block your company uses. When the BGP session for the public virtual interface is up, corporate network users cannot access Amazon S3 resources in the ap-southeast-1 region.

Which step should you take to provide concurrent AWS and Internet access?

A) Configure AS-PATH prepending for the public virtual interface. 
B) Advertise a host route for the corporate firewall on the public virtual interface. 
C) Advertise a host route for the corporate firewall to the upstream Internet provider. 
D) NAT the traffic destined for AWS from the dedicated firewall using the public virtual interface.

googleで日本語翻訳

3)貴社では、東南アジアの1つの直接接続場所にAWS Direct Connect接続をインストールしています。パブリック仮想インターフェイスは、ルーターを介して専用のファイアウォールに構成されます。会社の公的/ 24CIDRブロックをAS 65500でAWSに宣伝します。同社は、すべての発信トラフィックを単一のIPにマッピングするための別個の企業インターネットファイアウォールを管理しています。このファイアウォールは、企業が使用するパブリックIPブロックを委任した上流のインターネットプロバイダとのBGP関係を維持します。パブリック仮想インターフェイスのBGPセッションが稼動している場合、企業ネットワークユーザーはap-southeast-1地域のAmazon S3リソースにアクセスできません。

AWSとインターネットの同時アクセスを提供するためにはどのステップを取るべきですか?

A)パブリック仮想インタフェースの前にAS-PATHを設定します。
B)パブリック仮想インターフェイス上の企業ファイアウォールのホストルートをアドバタイズします。
C)コーポレートファイアウォールのホストルートをアップストリームインターネットプロバイダにアドバタイズします。
D)パブリック仮想インターフェイスを使用して、専用ファイアウォールからAWS宛てのトラフィックをNATします。

bingで日本語翻訳

3) あなたの会社は、ap-南東-1 直接接続の場所に aws ダイレクトコネクト接続をインストールしています。パブリック仮想インターフェイスは、ルーターを介して専用のファイアウォールに構成されます。65500として、会社の公開/24 cidr ブロックを aws にアドバタイズします。会社は、独立した企業のインターネットファイアウォールを維持し、すべての送信トラフィックを1つの ip にマップします。このファイアウォールは、会社が使用するパブリック ip ブロックを委任した上流のインターネットプロバイダとの bgp 関係を維持します。パブリック仮想インターフェイスの bgp セッションが最大である場合、企業ネットワークユーザーは、ap-南東-1 地域の amazon s3 リソースにアクセスできません。

aws とインターネットへの同時アクセスを提供するには、どのステップを踏む必要がありますか。

a) パブリック仮想インターフェイスのための as パスの先頭を構成します。
b) パブリック仮想インターフェイス上の企業ファイアウォールのホストルートをアドバタイズします。
c) 企業ファイアウォールのホストルートを上流のインターネットプロバイダにアドバタイズします。
d) パブリック仮想インターフェイスを使用して、専用のファイアウォールから aws 宛てのトラフィックを nat します。

解答

原文

3)  D - When outgoing traffic is routed via the corporate firewall, its return path is via the Direct Connect public virtual interface and therefore through the dedicated firewall. This dedicated firewall does not track the original 
NAT session and subsequently drops the traffic. 
Answer A is incorrect because AWS will always prefer Direct Connect over Internet routing. 
Answer B is incorrect because return traffic is still processed by the dedicated firewall. 
Answer C is incorrect because it does not change the traffic flow.

googleで日本語翻訳

3)D - 発信トラフィックが企業のファイアウォールを経由してルーティングされる場合、その戻りパスはDirect Connectパブリック仮想インターフェイスを経由し、したがって専用ファイアウォールを経由します。 この専用ファイアウォールは元のファイルを追跡しません
NATセッションを確立した後、トラフィックをドロップします。
AWSは常にインターネット経由の直接接続を優先するため、Aは正しくありません。
リターントラフィックは専用ファイアウォールによって処理されているため、回答Bは正しくありません。
回答Cはトラフィックフローを変更しないので正しくありません。

bingで日本語翻訳

3) d-送信トラフィックが企業のファイアウォール経由でルーティングされる場合、そのリターンパスは直接接続パブリック仮想インターフェイスを経由し、専用のファイアウォールを介しています。この専用のファイアウォールでは、元の
nat セッションの後、トラフィックが削除されます。
aws は常にインターネットルーティング経由で直接接続を優先するため、a は不正解です。
リターントラフィックは専用のファイアウォールによって処理されるため、b は不正解です。
c はトラフィックフローを変更しないため、不正解です。
AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題2
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

2) Your application server instances reside in the private subnet of your VPC. These instances need to access a Git repository on the Internet. You create a NAT gateway in the public subnet of your VPC. The NAT gateway can reach the Git repository, but instances in the private subnet cannot. You confirm that a default route in the private subnet route table points to the NAT gateway. The security group for your application server instances permits all traffic to the NAT gateway.

What configuration change should you make to ensure that these instances can reach the patch server?

    A) Assign public IP addresses to the instances and route 0.0.0.0/0 to the Internet gateway. 
    B) Configure an outbound rule on the application server instance security group for the Git repository. 
    C) Configure inbound network access control lists (network ACLs) to allow traffic from the Git repository to the public subnet. 
    D) Configure an inbound rule on the application server instance security group for the Git repository.

googleで日本語翻訳

2)アプリケーションサーバーインスタンスは、VPCのプライベートサブネットに存在します。これらのインスタンスは、インターネット上のGitリポジトリにアクセスする必要があります。 VPCのパブリックサブネットにNATゲートウェイを作成します。 NATゲートウェイはGitリポジトリに到達できますが、プライベートサブネット内のインスタンスはGitリポジトリにアクセスできません。プライベートサブネットルートテーブルのデフォルトルートがNATゲートウェイを指していることを確認します。アプリケーションサーバーインスタンスのセキュリティグループは、NATゲートウェイへのすべてのトラフィックを許可します。

これらのインスタンスがパッチ・サーバーに到達できるように構成を変更する必要がありますか。

    A)インスタンスにパブリックIPアドレスを割り当て、0.0.0.0/0をインターネットゲートウェイにルーティングします。
    B)Gitリポジトリのアプリケーションサーバインスタンスセキュリティグループにアウトバウンドルールを設定します。
    C)インバウンドネットワークアクセスコントロールリスト(ネットワークACL)を設定して、Gitリポジトリからパブリックサブネットへのトラフィックを許可します。
    D)Gitリポジトリのアプリケーションサーバーインスタンスセキュリティグループにインバウンドルールを設定します。

bingで日本語翻訳

2) アプリケーションサーバーインスタンスは、vpc のプライベートサブネットに存在します。これらのインスタンスは、インターネット上の git リポジトリにアクセスする必要があります。vpc のパブリックサブネットに nat ゲートウェイを作成します。nat ゲートウェイは git リポジトリに到達できますが、プライベートサブネット内のインスタンスはできません。プライベートサブネットルートテーブルの既定のルートが nat ゲートウェイを指していることを確認します。アプリケーションサーバーインスタンスのセキュリティグループは、nat ゲートウェイへのすべてのトラフィックを許可します。

これらのインスタンスが修正プログラムサーバーに到達できるようにするには、どのような構成変更を行う必要がありますか。

a) パブリック ip アドレスをインスタンスに割り当て、0.0.0.0/0 をインターネットゲートウェイにルーティングします。
b) git リポジトリのアプリケーションサーバインスタンスセキュリティグループに送信ルールを設定します。
c) git リポジトリからパブリックサブネットへのトラフィックを許可するように、受信ネットワークアクセス制御リスト (ネットワーク acl) を構成します。
d) git リポジトリのアプリケーションサーバインスタンスセキュリティグループに受信ルールを設定します。

解答

原文

2) B - The traffic leaves the instance destined for the Git repository; at this point, the security group must allow it through. The route then directs that traffic (based on the IP) to the NAT gateway. 
A is wrong because it removes the private aspect of the subnet and would
have no effect on the blocked traffic anyway.
C is wrong because the problem is that outgoing traffic is not getting to the NAT gateway.
D is wrong because to allow outgoing traffic to the Git repository requires an outgoing security group rule.

googleで日本語翻訳

2)B - トラフィックは、インスタンスをGitリポジトリに向けたままにします。 この時点で、セキュリティグループはそれを許可する必要があります。 ルートは、そのトラフィックを(IPに基づいて)NATゲートウェイに送信します。
Aは、サブネットのプライベートな側面を削除し、
とにかくブロックされたトラフィックに影響を与えません。
問題は、発信トラフィックがNATゲートウェイに到達していないためです。
Gitリポジトリへの発信トラフィックを許可するには、発信セキュリティグループルールが必要であるため、Dは間違っています。

bingで日本語翻訳

2) b-トラフィックは、git リポジトリ宛てのインスタンスを残します。この時点で、セキュリティグループはそれを許可する必要があります。ルートは、そのトラフィック (ip に基づく) を nat ゲートウェイに指示します。
それは、サブネットのプライベートな側面を削除するため、a は間違っている
とにかくブロックされたトラフィックには影響しません。
問題は、発信トラフィックが nat ゲートウェイになっていないことであるため、c は間違っています。
d が間違っているため、git リポジトリへの送信トラフィックを許可するには、送信セキュリティグループルールが必要です。
AWS
AWS認定アドバンストネットワーキングスペシャリティサンプル試験問題1
AWSAWS認定アドバンストネットワーキングスペシャリティAWS認定資格

質問

原文

1) Your on-premises network has an IP address range of 11.11.0.0/16. Only IPs within this network range can be used for inter-server communication. The IP address range 11.11.253.0/24 has been allocated for the cloud.

You need to design a VPC in AWS. The servers within the VPC should be able to communicate with hosts both on the Internet and on-premises through a VPN connection.

What combination of configuration steps meets your needs? (Choose 2)

    A) Set up the VPC with an IP address range of 11.11.253.0/24.
    B) Set up the VPC with an RFC 1918 private IP address range (e.g., 10.10.10.0/24), and set up a NAT gateway to do translation between 10.10.10.0/24 and 11.11.253.0/24 for all outbound traffic.
    C) Set up a VPN connection between a VGW and an on-premises router, set the VGW as the default gateway for all traffic, and configure the on-premises router to forward traffic to the Internet.
    D) Set up a VPN connection between a VGW and an on-premises router, set the VGW as the default gateway for traffic destined to 11.11.0.0/24, and add a VPC subnet route to point the default gateway to an Internet gateway for Internet traffic.
    E) Set up the VPC with an RFC 1918 private IP address range (e.g., 10.10.10.0/24), and set the VGW to do a source IP translation of all outbound packets to 11.11.0.0/16.

googleで日本語翻訳

1)オンプレミスネットワークのIPアドレス範囲は11.11.0.0/16です。このネットワーク範囲内のIPだけがサーバー間通信に使用できます。 IPアドレス範囲11.11.253.0/24がクラウドに割り当てられています。

AWSでVPCを設計する必要があります。 VPC内のサーバーは、VPN接続を介して、インターネットとオンプレミスの両方でホストと通信できる必要があります。

どのような構成ステップの組み合わせがお客様のニーズを満たしていますか? (2を選択)

    A)11.11.253.0/24のIPアドレス範囲でVPCを設定します。
    B)RFC 1918のプライベートIPアドレス範囲(例えば、10.10.10.0/24)でVPCをセットアップし、すべての発信トラフィックに対して10.10.10.0/24と11.11.253.0/24の間の変換を行うNATゲートウェイを設定します。
    C)VGWとオンプレミスルータ間のVPN接続をセットアップし、すべてのトラフィックのデフォルトゲートウェイとしてVGWを設定し、トラフィックをインターネットに転送するようにオンプレミスルータを設定します。
    D)VGWとオンプレミスルータ間のVPN接続を設定し、11.11.0.0/24宛てのトラフィックのデフォルトゲートウェイとしてVGWを設定し、VPCサブネットルートを追加して、デフォルトゲートウェイをインターネットゲートウェイに指定します。インターネットトラフィック。
    E)VPCをRFC1918プライベートIPアドレス範囲(例えば、10.10.10.0/24)で設定し、VGWを設定して、すべての送信パケットのソースIP変換を11.11.0.0/16にします。

bingで日本語翻訳

1) オンプレミスネットワークには、11.11.0.0/16 の ip アドレス範囲があります。サーバー間通信には、このネットワーク範囲内の ip のみを使用できます。11.11.253.0/24 の ip アドレス範囲がクラウドに割り当てられています。

aws で vpc を設計する必要があります。vpc 内のサーバーは、vpn 接続を介してインターネットとオンプレミスの両方のホストと通信できるようにする必要があります。

どのような構成手順の組み合わせがニーズを満たしていますか。(2 を選択)

a) 11.11.253.0/24 の ip アドレス範囲を持つ vpc を設定します。
b) rfc 1918 プライベート ip アドレス範囲 (例: 10.10.10.0/24) を使用して vpc を設定し、すべてのアウトバウンドトラフィックに対して 10.10.10.0/24 と 11.11.253.0/24 間の変換を行う nat ゲートウェイを設定します。
c) .vgw とオンプレミスルーター間の vpn 接続を設定し、すべてのトラフィックのデフォルトゲートウェイとして .vgw を設定し、インターネットへのトラフィックを転送するためにオンプレミスルーターを構成します。
d) .vgw とオンプレミスルーターとの間の vpn 接続を設定し、.vgw を 11.11.0.0/24 宛てのトラフィックのデフォルトゲートウェイとして設定し、デフォルトゲートウェイをインターネットトラフィック用のインターネットゲートウェイにポイントするように vpc サブネットルートを追加します。
e) rfc 1918 プライベート ip アドレス範囲 (例: 10.10.10.0/24) を使用して vpc を設定し、.vgw を 11.11.0.0/16 へのすべての送信パケットの送信元 ip 変換を行うように設定します。

質問文を私で翻訳してみました

1) あなたのオンプレミスのネットワークは 11.11.0.0/16のIPアドレスの範囲です。
サーバ間の通信は、このネットワークにあるIPアドレスだけが使用できます。
クラウドには、11.11.253.0/24のIPアドレスの範囲で割り当ててます。

あなたはAWSのVPCを構築する必要があります。
VPCにあるサーバは、
VPN接続を介してオンプレミスにあるホストと
インターネットにあるホストに
両方へ通信できるようならなければなりません。

要求を満たすにはどうのような構成手順の組み合わせになりますでしょうか?(2つ選択)
    A) VPC を 11.11.253.0/24のIPアドレス範囲にセットアップする。
    B) RFC1918で定義されたプライベートIPアドレス範囲(例えば、10.10.10.0/24)でVPCをセットアップします。そして、10.10.10.0/24と11.11.253.0/24の間の全てのアウトバウンドトラフィックを変換するNATゲートウェイをセットアップします。
    C) VGWとオンプレミスのルーターでVPN接続をセットアップします。
    全てのトラフィックに対するデフォルトゲートウェイをVGWに設定し、インターネットへの転送トラフィックをオンプレミスのルータで構成します。
    D) VGWとオンプレミスのルーターでVPN接続をセットアップします。
    11.11.0.0/24宛てへのトラフィックに対するデフォルトゲートウェイをVGWに設定し、
    インターネットトラフィックに対するインターネットゲートウェイをデフォルトゲートウェイに指定しVPCのサブネットルートを追加します。
    E) RFC1918で定義されたプライベートIPアドレス範囲(例えば、10.10.10.0/24)でVPCをセットアップします。VGWを11.11.0.0/16への全てのアウトバウンドパケット送信元IPアドレスとなるように設定します。

解答

原文

1) A, C - The VPC needs to use a CIDR block in the assigned range (and be non - overlapping with the data center). All traffic not destined for the VPC is routed to the VGW (that route is assumed) and must then be forwarded to the Internet when it arrives on-premises. 
B and E are wrong because they are not in the assigned range (you can use non-RFC 1918 addresses in a VPC). 
D is wrong because it directs traffic to the Internet through the Internet gateway.

googleで日本語翻訳

1)A、C - VPCは割り当てられた範囲内でCIDRブロックを使用する必要があります(データセンターと重複しないようにする必要があります)。 VPCを宛先としないすべてのトラフィックはVGWにルーティングされ(そのルートが想定されます)、オンプレミスに到着するとインターネットに転送する必要があります。
BとEは、割り当てられた範囲にないため間違っています(VPCで非RFC 1918アドレスを使用できます)。
インターネットゲートウェイを介してインターネットにトラフィックを誘導するため、Dは間違っています。

bingで日本語翻訳

1) a、c-vpc は割り当てられた範囲で cidr ブロックを使用する必要があります (データセンターと重複していない)。vpc に宛てられていないすべてのトラフィックは、.vgw (そのルートが想定されます) にルーティングされ、オンプレミスに到着したときにインターネットに転送される必要があります。
b と e は、割り当てられた範囲内にないため、間違っています (vpc で非 rfc 1918 アドレスを使用できます)。
それはインターネットゲートウェイを介してインターネットへのトラフィックを指示するため、d は間違っている。