ACEアクセスとセキュリティの構成MEDIUM単一選択

会社の VPC ネットワーク内の Compute Engine インスタンスが外部インターネットへの通信を必要とします。セキュリティ上、インスタンスには外部 IP アドレスを持たせたくないと考えています。最も適切な方法はどれですか?

  1. A. Cloud NAT を設定してプライベート IP のみのインスタンスからインターネットへの通信を可能にする
  2. B. すべてのインスタンスに外部 IP アドレスを付与してファイアウォールで制限する
  3. C. 外部 IP なしではインターネット通信が不可能なため、外部 IP の付与が必須
  4. D. プロキシ VM を 1 台作成し、他の VM のトラフィックをプロキシ経由でルーティングする
解答と解説を見る

正解: A

Cloud NAT(Network Address Translation)を使うと、外部 IP アドレスを持たないプライベートのインスタンスからインターネットへのアウトバウンド通信が可能になります。インスタンスの内部 IP が Cloud NAT の外部 IP に変換されてインターネットに送信されます。インターネットから内部インスタンスへのインバウンド接続は拒否されます。すべてのインスタンスへの外部 IP 付与はセキュリティリスクを増やします。プロキシ VM の構築も機能しますが、プロキシ VM の管理コストがかかり Cloud NAT より複雑です。選択肢C は誤りで、Cloud NAT で外部 IP なしにインターネット通信ができます。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題