【構成図解付き】出題範囲網羅+AWS ANS-C01日本語実践問題215問 (Advanced Networking)

更新履歴

2025/7:  演習問題4（20問） を追加いたしました。

コース紹介

ANS-C01の全ての出題範囲を網羅した実践問題集です。
AWS ANS（AWS Certified Advanced Networking - Specialty）に合格したい方はもちろんのこと、AWSでネットワークエンジニアロールを担う方の効率的な学習をサポートするコースです。スペシャリティ試験は解くための前提となる知識が多いため、その前提知識についての解説は詳しく記載するようにしました。

特にネットワーク試験では問題となっているネットワーク構成を文章から読み取るのが難しいため、ほぼすべての問題にネットワーク構成図の図解を記載しました。

本問題集のサンプル

以下本問題集に収録されている問題サンプルです。ご自身が求めているレベルかを確認してください

問題

ある企業は既存のアプリケーションを新しいAWSアカウントに移行しています。同社は1つのVPCと複数のアベイラビリティゾーンを使用して、単一のAWSリージョンにアプリケーションをデプロイします。アプリケーションはAmazon EC2インスタンス上で実行されます。各アベイラビリティゾーンには複数のEC2インスタンスがあります。EC2インスタンスはプライベートサブネットにデプロイされます。

同社のクライアントはHTTPSプロトコルを使用してWebブラウザでアプリケーションに接続します。インバウンド接続はアベイラビリティゾーンとEC2インスタンス間で分散される必要があります。同じクライアントセッションからのすべての接続は同じEC2インスタンスに接続される必要があります。

同社はアプリケーションのSSL証明書を使用して、クライアントとアプリケーション間のすべての接続にエンドツーエンドの暗号化を提供する必要があります。

これらの要件を満たすソリューションはどれですか？

選択肢

A.  Network Load Balancerを作成します。ターゲットグループを作成します。ターゲットグループのプロトコルをTCPに、ポートを443に設定します。セッションアフィニティ（スティッキーセッション）をオンにします。EC2インスタンスをターゲットとして登録します。リスナーを作成します。リスナーのプロトコルをTCPに、ポートを443に設定します。SSL証明書をEC2インスタンスにデプロイします。

B.  Application Load Balancerを作成します。ターゲットグループを作成します。ターゲットグループのプロトコルをHTTPに、ポートを80に設定します。アプリケーションベースのCookieポリシーでセッションアフィニティ（スティッキーセッション）をオンにします。EC2インスタンスをターゲットとして登録します。HTTPSリスナーを作成します。デフォルトアクションをターゲットグループに転送するように設定します。AWS Certificate Manager（ACM）を使用してリスナー用の証明書を作成します。

C.  Network Load Balancerを作成します。ターゲットグループを作成します。ターゲットグループのプロトコルをTLSに、ポートを443に設定します。セッションアフィニティ（スティッキーセッション）をオンにします。EC2インスタンスをターゲットとして登録します。リスナーを作成します。リスナーのプロトコルをTLSに、ポートを443に設定します。AWS Certificate Manager（ACM）を使用してアプリケーション用の証明書を作成します。

D.  Application Load Balancerを作成します。ターゲットグループを作成します。ターゲットグループのプロトコルをHTTPSに、ポートを443に設定します。アプリケーションベースのCookieポリシーでセッションアフィニティ（スティッキーセッション）をオンにします。EC2インスタンスをターゲットとして登録します。HTTPリスナーを作成します。リスナーのポートを443に設定します。デフォルトアクションをターゲットグループに転送するように設定します。

考えてからスクロールしてください。

・

・

・

・

・

・

・

・

正解：A

解説：

Network Load BalancerをTCPリスナーとして構成すると、暗号化されたトラフィックをロードバランサーで復号せずにEC2インスタンスに転送できます。

これにより、クライアントからEC2インスタンスまでのエンドツーエンド暗号化が実現します。

SSL証明書はEC2インスタンスにデプロイされるため、アプリケーションレベルでの暗号化が可能になります。また、NLBはセッションアフィニティをサポートしており、同じクライアントからの接続を同じインスタンスに固定できます。

問われている要件

この問題では、以下の要件を満たすソリューションを選ぶ必要があります：

1. アベイラビリティゾーンとEC2インスタンス間でのインバウンド接続の分散

2. 同じクライアントセッションからの接続を同じEC2インスタンスに維持（セッションアフィニティ）

3. クライアントからアプリケーションまでのエンドツーエンド暗号化

4. アプリケーションのSSL証明書の使用

前提知識

AWS Elastic Load Balancing

AWSには主に3種類のロードバランサーがあります：

Application Load Balancer (ALB)

• レイヤー7（アプリケーション層）で動作

• HTTP/HTTPSトラフィックを処理

• パス、ホスト、クエリパラメータなどに基づくルーティングが可能

• ALBではHTTPSリスナーを使用すると、ロードバランサーでTLS終端が行われる

• スティッキーセッションをサポート（アプリケーションCookieまたはロードバランサー生成Cookie）

Network Load Balancer (NLB)

• レイヤー4（トランスポート層）で動作

• TCP/UDP/TLSトラフィックを処理

• 超低レイテンシー

• 固定IPアドレスを提供

• TCPフローのセッションアフィニティをサポート

• TLSリスナーではロードバランサーでTLS終端が行われる

• TCPリスナーでは暗号化されたトラフィックを転送可能

Gateway Load Balancer (GLB)

• レイヤー3/4（ネットワーク/トランスポート層）で動作

• 仮想アプライアンス向け

• この問題には関連しない

TLS終端

TLS終端とは、TLS/SSL暗号化された通信を復号化するポイントを指します。以下のモデルがあります：

1. ロードバランサーでのTLS終端：

   • クライアント→ロードバランサー：暗号化

   • ロードバランサー→バックエンド：非暗号化

   • ALBのHTTPSリスナーやNLBのTLSリスナーはこの方式

2. バックエンドでのTLS終端（パススルー）：

   • クライアント→ロードバランサー→バックエンド：エンドツーエンドで暗号化

   • NLBのTCPリスナー（ポート443）はこの方式

セッションアフィニティ（スティッキーセッション）

セッションアフィニティとは、同じクライアントからのリクエストを常に同じバックエンドインスタンスにルーティングする機能です。これには以下の方法があります：

1. ALBのスティッキーセッション：

   • アプリケーションベースのCookie

   • ロードバランサー生成のCookie

   • HTTPヘッダーにCookieを挿入して実現

2. NLBのセッションアフィニティ：

   • クライアントIPアドレスに基づく

   • TCPフローごとに実現

   • TCPプロトコルのリスナーで使用可能

注意：NLBのTLSリスナーとTLSターゲットグループの組み合わせではスティッキーセッションはサポートされていません。

解くための考え方

この問題を解決するには、以下のステップで考える必要があります：

1. エンドツーエンド暗号化の要件を検討する：

   • エンドツーエンド暗号化が必要なため、ロードバランサーでのTLS終端は適切ではない

   • したがって、ALBのHTTPSリスナーやNLBのTLSリスナーは不適切

   • NLBのTCPリスナー（ポート443）はトラフィックを透過的に転送するため適切

2. セッションアフィニティの要件を検討する：

   • 同じクライアントセッションからの接続は同じEC2インスタンスに固定する必要がある

   • NLBはTCPリスナーでセッションアフィニティをサポート

3. 証明書の配置を検討する：

   • エンドツーエンド暗号化のためには、証明書はEC2インスタンス側に配置する必要がある

   • アプリケーションのSSL証明書を使用する要件を満たすため

[問題集本体にはネットワーク構成図が付属します]

上の図は、正解の選択肢の構成を示しています。クライアントからのHTTPS接続はNetwork Load BalancerのTCPリスナーを通じて、暗号化されたまま各アベイラビリティゾーンのEC2インスタンスに転送されます。これにより、クライアントからEC2インスタンスまでのエンドツーエンド暗号化が実現します。SSL証明書はEC2インスタンスにデプロイされ、セッションアフィニティ機能により同じクライアントからの接続は同じインスタンスに維持されます。

参考資料（AWS公式ドキュメント）※問題集本体にはリンクが付属します。

• Network Load Balancer のリスナー

• Application Load Balancer のターゲットグループ

• Network Load Balancer でのスティッキーセッション

不正解選択肢の評価

B：不正解 Application Load BalancerのHTTPSリスナーを使用すると、ロードバランサーで暗号化が終端するため、エンドツーエンドの暗号化が実現しません。ALBはリスナーでHTTPS接続を終端し、バックエンドのEC2インスタンスにはHTTPトラフィックを送信します（ターゲットグループがHTTPプロトコルに設定されているため）。これでは、ALBからEC2インスタンスへの通信が暗号化されないため、要件のエンドツーエンド暗号化を満たしません。

C：不正解 Network Load BalancerでTLSリスナーを使用すると、ロードバランサーでTLS終端が行われます。これにより、ロードバランサーとEC2インスタンス間の通信は暗号化されていない状態になります。また、TLSターゲットグループを使用してスティッキーセッションを構成することはできません。NLBでスティッキーセッションを使用する場合、TCPリスナーが必要です。

D：不正解 HTTPリスナーでポート443を使用する構成は標準的ではなく、通常HTTPリスナーはポート80を使用します。また、HTTPリスナーは暗号化されていないトラフィックを受け入れるため、クライアントからロードバランサーへの通信が暗号化されません。これは、クライアントがHTTPSプロトコルを使用して接続するという要件を満たしていません。

ANS-C01の特徴

AWS認定ANS-C01（AWS Certified Advanced Networking - Specialty）は、複雑なネットワークソリューションの設計、実装、トラブルシューティングに関する知識が求められる難関試験です。実践的なシナリオベースの出題であり、単にAWSサービスの機能を理解しておくだけでは点数を取ることは難しいです。

ハイブリッドIT接続アーキテクチャ、高度なVPC設計、専用接続サービス（Direct Connect）、VPNソリューション、トランジットゲートウェイ、複数アカウント・リージョン間のネットワーキング、セキュリティ設計、高可用性設計などに関する深い知識が必要です。

本問題集の特徴

• ANS-C01の出題形式に沿った本番ライクな問題

• ほぼすべての問題の解説にネットワーク構成図を記載

• 全問題に詳細な解説とAWS公式ドキュメントへのリンクを記載

• 不正解選択肢の理由についての解説

• 長文の問題文から問われている要点を解説

• 問題を解くための詳しい前提知識の説明