-
Q1. 一家公司希望将其DNS注册商和DNS托管迁移到Amazon Route 53。该公司网站每天接收数万次访问,而当前DNS提供商无法满足需求。该公司希望尽快完成迁移,但不能容忍任何停机时间。
哪种解决方案能够满足这些要求?
- A. 将域名转移到Route 53。创建一个Route 53私有托管区域,并复制所有现有DNS记录。更新域名上的名称服务器,以使用新创建的私有托管区域中指定的名称服务器。
- B. 将所有DNS记录从现有DNS服务器复制到Route 53私有托管区域。使用现有注册商更新名称服务器,以使用该私有托管区域的名称服务器。将域名转移到Route 53。确保所有更改均已传播。
- C. 将域名转移到Route 53。创建一个Route 53公共托管区域,并复制所有现有DNS记录。将每条记录的TTL值设置为1秒。更新域名上的名称服务器,以使用新创建的公共托管区域中指定的名称服务器。
- D. 将所有DNS记录从现有DNS服务器复制到Route 53公共托管区域。使用现有注册商更新名称服务器,以使用该托管区域的Route 53名称服务器。待更改传播完成后,执行域名转移到Route 53。
查看题目 →
-
Q2. 一家公司有一个运行在Amazon EC2实例集群上的应用程序。一项新的公司规定要求所有进出EC2实例的网络流量都必须发送到一个集中式第三方EC2设备进行内容检查。
- A. 在每个EC2网络接口上配置VPC流日志。将流日志发布到Amazon S3存储桶。创建一个第三方EC2设备,从S3存储桶获取流日志。登录该设备以监控网络内容。
- B. 在由网络负载均衡器(NLB)前置的Auto Scaling组中创建一个第三方EC2设备。配置镜像会话,指定NLB为镜像目标。指定镜像过滤器以捕获入站和出站流量。将承载应用程序的所有实例的EC2弹性网络接口指定为镜像会话的源。
- C. 配置镜像会话。指定Amazon Kinesis Data Firehose交付流为镜像目标。指定镜像过滤器以捕获入站和出站流量。将承载应用程序的所有实例的EC2弹性网络接口指定为镜像会话的源。创建一个第三方EC2设备。通过Kinesis Data Firehose交付流将所有流量发送至该设备进行内容检查。
- D. 在每个EC2网络接口上配置VPC流日志。将日志发送到Amazon CloudWatch。创建一个第三方EC2设备。配置CloudWatch过滤器,将流日志发送到Amazon Kinesis Data Firehose,以将日志加载到该设备中。
查看题目 →
-
Q3. 一家公司正在将其容器化应用程序迁移到AWS。其架构将包含一个入口VPC,其中部署网络负载均衡器(NLB)以将流量分发到Amazon Elastic Kubernetes Service(Amazon EKS)集群中的前端Pod。应用程序前端将确定哪个用户正在请求访问,并将流量发送到10个服务VPC中的某一个。每个服务VPC将包含一个NLB,用于将流量分发到EKS集群中的服务Pod。该公司关注总体成本。用户流量每月将从入口VPC向服务VPC传输超过10 TB的数据。一名网络工程师需要推荐一种VPC间通信的设计方案。哪种解决方案能以最低成本满足这些要求?
- A. 创建一个中转网关。将每个VPC与中转网关对等互联。在服务VPC的NLB上使用可用区DNS名称,以最小化从入口VPC到服务VPC的跨可用区流量。
- B. 在入口VPC的每个可用区中创建一个AWS PrivateLink端点。每个PrivateLink端点将指向服务VPC中NLB的可用区DNS条目。
- C. 在入口VPC与每个服务VPC之间创建VPC对等连接。在服务VPC的NLB上使用可用区DNS名称,以最小化从入口VPC到服务VPC的跨可用区流量。
- D. 创建一个中转网关。将每个VPC与中转网关对等互联。关闭中转网关的跨可用区负载均衡功能。在服务VPC的NLB上使用区域DNS名称。
查看题目 →
-
Q4. 一名网络工程师需要标准化公司集中化管理接口VPC端点以实现与AWS服务私有通信的方法。该公司使用AWS Transit Gateway,通过中心-分支模型在多个AWS账户之间实现VPC互连。公司的网络服务团队必须在共享服务AWS账户中统一管理所有Amazon Route 53托管区域和接口端点。公司希望使用此集中化模型,使AWS资源能够在不经过公共互联网的情况下访问AWS密钥管理服务(AWS KMS)。
- A. 在共享服务账户中为AWS KMS创建一个接口端点。修改该接口端点,禁用私有DNS名称。在共享服务账户中创建一个私有托管区域,其中包含一个指向该接口端点的别名记录。将该私有托管区域与各AWS账户中的分支VPC关联。
- B. 在共享服务账户中为AWS KMS创建一个接口端点。修改该接口端点,禁用私有DNS名称。在每个分支AWS账户中创建一个私有托管区域,其中包含一个指向该接口端点的别名记录。将每个私有托管区域与共享服务AWS账户关联。
- C. 在每个分支AWS账户中为AWS KMS创建一个接口端点。修改每个接口端点,禁用私有DNS名称。在每个分支AWS账户中创建一个私有托管区域,其中包含一个指向各自接口端点的别名记录。将每个私有托管区域与共享服务AWS账户关联。
- D. 在每个分支AWS账户中为AWS KMS创建一个接口端点。修改每个接口端点,禁用私有DNS名称。在共享服务账户中创建一个私有托管区域,其中包含一个指向每个接口端点的别名记录。将该私有托管区域与各AWS账户中的分支VPC关联。
查看题目 →
-
Q5. 一家公司计划在AWS上运行一个计算密集型数据处理应用程序。数据高度敏感。VPC不得具有直接互联网访问能力,且公司已应用严格的网络安全策略来控制访问。
数据科学家将使用AWS站点到站点VPN连接,从公司本地数据中心向实例传输数据。本地数据中心使用网段172.31.0.0/20,并将在应用程序VPC中使用网段172.31.16.0/20。
数据科学家报告称,他们可以启动应用程序的新实例,但无法从本地数据中心传输任何数据。一名网络工程师启用了VPC流日志,并向其中一个实例发送ping以测试可达性。流日志显示如下:
网络工程师必须推荐一种解决方案,使数据科学家能够从本地数据中心传输数据。
哪种解决方案能满足这些要求?
- A. 修改应用程序的安全组。添加一条入站规则,允许来自本地数据中心网段的流量访问该应用程序。
- B. 修改VPC子网的网络ACL。添加一条入站规则,允许来自本地数据中心网段的流量访问VPC子网网段。
- C. 修改VPC子网的网络ACL。添加一条出站规则,允许来自VPC子网网段的流量访问本地数据中心网段。
- D. 修改应用程序的安全组。添加一条出站规则,允许该应用程序向本地数据中心网段发送流量。
查看题目 →
-
Q6. 一家公司在Application Load Balancer后的一组Amazon EC2实例上部署了一个关键应用程序。该应用程序必须始终可通过公共互联网在端口443上访问。该应用程序最近因对EC2安全组进行了错误修改而发生中断。一名网络工程师需要自动化验证每次安全组变更时,公共互联网与EC2实例之间的网络连通性。该解决方案还必须在变更影响连接时通知网络工程师。
- A. 在每个EC2实例的弹性网络接口上启用VPC流日志,以捕获端口443上的REJECT流量。将流日志记录发布到Amazon CloudWatch Logs中的日志组。为该日志组创建一个CloudWatch Logs指标筛选器,用于被拒绝的流量。创建一个告警以通知网络工程师。
- B. 在每个EC2实例的弹性网络接口上启用VPC流日志,以捕获端口443上的所有流量。将流日志记录发布到Amazon CloudWatch Logs中的日志组。为该日志组创建一个CloudWatch Logs指标筛选器,用于所有流量。创建一个告警以通知网络工程师。
- C. 在端口443上创建一个VPC可达性分析器路径。将安全组指定为源,将EC2实例指定为目标。创建一个Amazon Simple Notification Service(Amazon SNS)主题,以便在安全组变更影响连接时通知网络工程师。创建一个AWS Lambda函数,用于启动可达性分析器,并在分析失败时向SNS主题发布消息。创建一个Amazon EventBridge(Amazon CloudWatch Events)规则,在安全组发生变更时触发该Lambda函数。
- D. 在端口443上创建一个VPC可达性分析器路径。将VPC的互联网网关指定为源,将EC2实例指定为目标。创建一个Amazon Simple Notification Service(Amazon SNS)主题,以便在安全组变更影响连接时通知网络工程师。创建一个AWS Lambda函数,用于启动可达性分析器,并在分析失败时向SNS主题发布消息。创建一个Amazon EventBridge(Amazon CloudWatch Events)规则,在安全组发生变更时触发该Lambda函数。
查看题目 →
-
Q7. 一家公司在公共子网中的Amazon EC2实例上运行多个工作负载。在最近一次事件中,攻击者利用其中一个EC2实例上的应用程序漏洞获取了对该实例的访问权限。该公司修复了该应用程序并启动了一个包含更新后应用程序的替换EC2实例。
攻击者利用受感染的应用程序通过互联网传播恶意软件。该公司通过AWS的通知得知此次入侵。该公司需要具备识别部署在EC2实例上的应用程序是否正在传播恶意软件的能力。
- A. 使用Amazon GuardDuty通过检查DNS请求和VPC流日志来分析流量模式。
- B. 使用Amazon GuardDuty部署配备最新恶意软件签名的AWS托管诱饵系统。
- C. 设置一个网关负载均衡器。在Amazon EC2上运行来自AWS Marketplace的入侵检测系统(IDS)设备以进行流量检查。
- D. 配置Amazon Inspector对出站流量执行深度包检测。
查看题目 →
-
Q8. 一家公司有一个在本地运行的应用程序。该应用程序需要与AWS上VPC中运行的另一个应用程序通信。两个应用程序之间的通信必须加密,并且必须使用私有IP地址。通信不得经过公共互联网。该公司已在本地位置与AWS之间建立了1 Gbps的AWS Direct Connect连接。
- A. 在Direct Connect连接上配置私有虚拟接口(VIF)。将私有VIF与VPC的虚拟私有网关关联。设置一个AWS站点到站点VPN私有IP VPN连接至该虚拟私有网关。
- B. 创建一个中转网关。在Direct Connect连接上配置中转VIF。将中转VIF与Direct Connect网关关联。将Direct Connect网关与一个新的中转网关关联。设置一个AWS站点到站点VPN私有IP VPN连接至该中转网关。
- C. 在Direct Connect连接上配置公共虚拟接口(VIF)。将公共VIF与Direct Connect网关关联。将Direct Connect网关与一个新的中转网关关联。设置一个AWS站点到站点VPN私有IP VPN连接至该中转网关。
- D. 创建一个中转网关。在Direct Connect连接上配置中转VIF。将中转VIF与Direct Connect网关关联。将Direct Connect网关与一个新的中转网关关联。在附加到该中转网关的新VPC中设置一个第三方防火墙。设置一个VPN连接至该第三方防火墙。
查看题目 →
-
Q9. 一家公司拥有两个AWS账户:一个用于生产环境,另一个用于网络连接。一名网络工程师需要将生产账户的VPC连接到连接账户中的Transit Gateway。该Transit Gateway未启用自动接受共享附件的功能。网络工程师应在每个AWS账户中执行哪一组步骤来满足这些要求?
- A. 1在生产账户中:在AWS Resource Access Manager中为Transit Gateway创建资源共享,并提供连接账户ID。启用允许外部账户的功能。2在连接账户中:接受该资源共享。3在连接账户中:为VPC子网创建附件。4在生产账户中:接受该附件,并将路由表与该附件关联。
- B. 1在生产账户中:在AWS Resource Access Manager中为VPC子网创建资源共享,并提供连接账户ID。启用允许外部账户的功能。2在连接账户中:接受该资源共享。3在生产账户中:在Transit Gateway上为VPC子网创建附件。4在连接账户中:接受该附件,并将路由表与该附件关联。
- C. 1在连接账户中:在AWS Resource Access Manager中为VPC子网创建资源共享,并提供生产账户ID。启用允许外部账户的功能。2在生产账户中:接受该资源共享。3在连接账户中:在Transit Gateway上为VPC子网创建附件。4在生产账户中:接受该附件,并将路由表与该附件关联。
- D. 1在连接账户中:在AWS Resource Access Manager中为Transit Gateway创建资源共享,并提供生产账户ID。启用允许外部账户的功能。2在生产账户中:接受该资源共享。3在生产账户中:为VPC子网创建附件。4在连接账户中:接受该附件,并将路由表与该附件关联。
查看题目 →
-
Q10. 一家公司正在其VPC中部署第三方防火墙设备,以实现流量检查和NAT功能。该VPC已配置私有子网和公有子网。公司需要将防火墙设备部署在负载均衡器之后。
哪种架构能以最低成本满足这些要求?
- A. 部署Gateway Load Balancer(GLB),并将防火墙设备作为目标。将防火墙设备配置为仅在私有子网中使用单个网络接口。使用NAT网关在完成流量检查后将流量发送至互联网。
- B. 部署Gateway Load Balancer(GLB),并将防火墙设备作为目标。将防火墙设备配置为使用两个网络接口:一个位于私有子网,另一个位于公有子网。利用防火墙设备上的NAT功能,在完成流量检查后将流量发送至互联网。
- C. 部署Network Load Balancer(NLB),并将防火墙设备作为目标。将防火墙设备配置为仅在私有子网中使用单个网络接口。使用NAT网关在完成流量检查后将流量发送至互联网。
- D. 部署Network Load Balancer(NLB),并将防火墙设备作为目标。将防火墙设备配置为使用两个网络接口:一个位于私有子网,另一个位于公有子网。利用防火墙设备上的NAT功能,在完成流量检查后将流量发送至互联网。
查看题目 →
-
Q11. 一家公司的网络工程师需要设计一种新方案,以帮助排查和检测网络异常。该网络工程师已配置Traffic Mirroring。然而,镜像流量超出了作为流量镜像目标的Amazon EC2实例的处理能力。该EC2实例托管公司安全团队用于分析流量的工具。网络工程师需要设计一种高可用方案,能够随镜像流量规模动态扩展。
哪种方案能满足这些要求?
- A. 将Network Load Balancer(NLB)部署为流量镜像目标。在NLB后端,部署一个位于Auto Scaling组中的EC2实例集群。按需使用Traffic Mirroring。
- B. 将Application Load Balancer(ALB)部署为流量镜像目标。在ALB后端,部署一个位于Auto Scaling组中的EC2实例集群。仅在非业务时段使用Traffic Mirroring。
- C. 将Gateway Load Balancer(GLB)部署为流量镜像目标。在GLB后端,部署一个位于Auto Scaling组中的EC2实例集群。按需使用Traffic Mirroring。
- D. 将带有HTTPS监听器的Application Load Balancer(ALB)部署为流量镜像目标。在ALB后端,部署一个位于Auto Scaling组中的EC2实例集群。仅在活跃事件或业务时段使用Traffic Mirroring。
查看题目 →
-
Q12. 一家公司的网络工程师在开发账户中构建并测试VPC的网络设计。该公司需要监控网络资源的变更,并确保严格遵守网络安全策略。该公司还需要访问网络资源的历史配置。
哪种解决方案能满足这些要求?
- A. 创建一个Amazon EventBridge(Amazon CloudWatch Events)规则,使用自定义模式监控账户中的变更。配置该规则以调用AWS Lambda函数识别不合规资源。将识别出的变更更新至Amazon DynamoDB表。
- B. 从Amazon CloudWatch日志创建自定义指标。使用这些指标调用AWS Lambda函数识别不合规资源。将识别出的变更更新至Amazon DynamoDB表。
- C. 使用AWS Config记录网络资源的当前状态。创建反映所需配置设置的规则。为不合规资源设置补救措施。
- D. 使用AWS Systems Manager Inventory记录网络资源的当前状态。使用Systems Manager State Manager强制执行所需的配置设置,并对不合规资源执行补救。
查看题目 →
-
Q13. 一家公司正在AWS上的单个VPC中构建其网站。该VPC在两个可用区中包含公有子网和私有子网。该网站包含图像等静态内容。该公司使用Amazon S3存储这些内容。该公司已在私有子网中部署了一组Amazon EC2实例作为Web服务器,并将其置于Application Load Balancer后的Auto Scaling组中。EC2实例将提供流量服务,并必须从S3存储桶拉取内容以渲染网页。该公司使用AWS Direct Connect配合公有虚拟接口(VIF)实现本地环境与S3存储桶的连接。一名网络工程师注意到,EC2实例与Amazon S3之间的流量正通过NAT网关路由。随着流量增加,公司的成本也在上升。该网络工程师需要更改连接方式,以降低EC2实例与Amazon S3之间流量所产生的NAT网关成本。
哪种解决方案能满足这些要求?
- A. 创建Direct Connect私有VIF。将流量从公有VIF迁移至私有VIF。
- B. 在现有公有VIF上创建AWS Site-to-Site VPN隧道。
- C. 为Amazon S3实施接口型VPC端点。更新VPC路由表。
- D. 为Amazon S3实施网关型VPC端点。更新VPC路由表。
查看题目 →
-
Q14. 一家公司使用Amazon CloudFront分发,其源站配置为Application Load Balancer(ALB)。一名网络工程师需要实施一种方案,要求所有进入ALB的入站流量均来自CloudFront。该网络工程师必须在网络层而非应用层实施该方案。
哪种解决方案能以最高运维效率满足这些要求?
- A. 向ALB的安全组添加一条入站规则,允许AWS托管的CloudFront前缀列表。
- B. 向与ALB子网关联的网络ACL添加一条入站规则。在该规则中,将AWS托管的CloudFront前缀列表用作源地址。
- C. 配置CloudFront,为其发送至ALB的请求添加自定义HTTP头。
- D. 将AWS WAF Web ACL关联至ALB。配置AWS WAF规则,仅允许来自CloudFront IP集合的流量。使用AWS Lambda函数自动更新CloudFront IP集合。
查看题目 →
-
Q15. 一家公司在AWS上拥有数百个VPC。所有VPC均通过NAT网关访问Amazon S3和AWS Systems Manager的公有端点。所有VPC至Amazon S3和Systems Manager的流量均经由NAT网关传输。该公司的网络工程师必须集中化访问这些服务,并消除对公有端点的依赖。
哪种解决方案能以最少的运维开销满足这些要求?
- A. 创建一个中心出口VPC,其中部署私有NAT网关。使用AWS Transit Gateway将所有VPC连接至该中心出口VPC。使用私有NAT网关,通过私有IP地址连接Amazon S3和Systems Manager。
- B. 创建一个中心共享服务VPC。在该中心共享服务VPC中,为Amazon S3和Systems Manager创建接口型VPC端点。确保禁用私有DNS。使用AWS Transit Gateway将所有VPC连接至该中心共享服务VPC。为每个接口型VPC端点创建Amazon Route 53转发规则。将这些转发规则关联至所有VPC。将DNS查询转发至共享服务VPC中的接口型VPC端点。
- C. 创建一个中心共享服务VPC。在该中心共享服务VPC中,为Amazon S3和Systems Manager创建接口型VPC端点。确保禁用私有DNS。使用AWS Transit Gateway将所有VPC连接至该中心共享服务VPC。为Amazon S3和Systems Manager创建一个完整的全服务端点名称的Amazon Route 53私有托管域。将该私有托管域关联至所有VPC。在每个私有托管域中创建别名记录,将完整的AWS服务端点指向共享服务VPC中的接口型VPC端点。
- D. 创建一个中心共享服务VPC。在该中心共享服务VPC中,为Amazon S3和Systems Manager创建接口型VPC端点。使用AWS Transit Gateway将所有VPC连接至该中心共享服务VPC。确保接口型VPC端点启用私有DNS,且Transit Gateway启用DNS支持。
查看题目 →
-
Q16. 一家公司将应用程序托管在Application Load Balancer(ALB)后的Amazon EC2实例上。这些实例属于Amazon EC2 Auto Scaling组。为符合新的安全标准,该公司必须捕获所有应用程序访问数据,包括服务器响应代码、请求路径、延迟和客户端IP地址。该公司还需对捕获的数据进行性能分析查询。
哪种解决方案能满足这些要求?
- A. 在ALB子网中启用VPC流日志。将日志存储至Amazon S3存储桶。使用Amazon Athena查询S3存储桶中的日志。
- B. 在所有EC2弹性网络接口上配置Amazon VPC Traffic Mirroring。在私有子网中从AWS Marketplace部署第三方监控设备。使用Amazon Data Firehose将所有镜像流量发送至该监控设备。直接从该监控设备查询日志。
- C. 在EC2实例上配置Amazon CloudWatch详细监控,包含所有可用日志。使用Amazon Data Firehose将所有收集的日志发送至Amazon S3存储桶。直接从S3存储桶查询数据。
- D. 在ALB上启用访问日志。将日志存储至Amazon S3存储桶。使用Amazon Athena查询S3存储桶中的日志。
查看题目 →
-
Q17. 一家公司拥有多个使用IPv4的VPC及其子网。VPC到互联网的流量通过NAT网关传输。该公司希望过渡到IPv6。一名网络工程师在现有的测试VPC中创建了多个仅支持IPv6的子网,并在其中一个子网中部署了一台具有IPv6地址的新Amazon EC2实例。在测试过程中,该工程师发现该新EC2实例无法通过互联网与仅支持IPv4的服务通信。该工程师需要使该IPv6 EC2实例能够与仅支持IPv4的服务通信。以下哪项解决方案可满足此要求?
- A. 为仅支持IPv6的子网启用DNS64。更新仅支持IPv6的子网的路由表,使其通过NAT网关发送流量。
- B. 为测试VPC启用NAT64。重新配置现有NAT网关以支持IPv6。
- C. 为新EC2实例启用DNS64。创建一个支持IPv6的新出口专用互联网网关。
- D. 为每个路由表启用NAT64。创建一个同时支持IPv4和IPv6的新NAT网关。
查看题目 →
-
Q18. 一家公司正在AWS云中部署新应用程序。该公司希望部署一个高可用Web服务器,该服务器位于弹性负载均衡器(Elastic Load Balancer)之后。负载均衡器将根据请求URL将请求路由到多个目标组。所有流量必须使用HTTPS,TLS处理必须卸载到负载均衡器。Web服务器必须获知用户的IP地址,以便公司为安全目的保留准确日志。
- A. 部署一个Application Load Balancer并配置HTTPS监听器。使用基于路径的路由规则将流量转发到正确的目标组。向目标发送包含X-Forwarded-For请求头的流量。
- B. 为每个域名部署一个Application Load Balancer并配置HTTPS监听器。使用基于主机的路由规则将流量转发到每个域名对应的目标组。向目标发送包含X-Forwarded-For请求头的流量。
- C. 部署一个Network Load Balancer并配置TLS监听器。使用基于路径的路由规则将流量转发到正确的目标组。为目标流量配置客户端IP地址保留。
- D. 为每个域名部署一个Network Load Balancer并配置TLS监听器。使用基于主机的路由规则将流量转发到每个域名对应的目标组。为目标流量配置客户端IP地址保留。
查看题目 →
-
Q19. 一家金融交易公司使用Amazon EC2实例运行其交易平台。该平台的一部分包括一个第三方定价服务,EC2实例通过UDP端口50000与其通信。最近,该公司遇到了该定价服务的问题:部分来自定价服务的响应格式不正确,导致无法成功处理。第三方供应商请求访问该定价服务返回的数据,并希望登录一台访问该定价服务的EC2实例,以捕获请求和响应数据进行调试。该公司禁止直接访问生产系统,并要求所有日志分析均在专用监控账户中执行。
- A. 1. 配置VPC流日志以捕获VPC内流动的数据。2. 将数据发送至Amazon S3存储桶。3. 在监控账户中,提取流向EC2实例IP地址的数据,并筛选UDP流量。4. 将数据提供给第三方供应商。
- B. 1. 配置流量镜像过滤器以捕获UDP数据。2. 配置流量镜像以捕获EC2实例弹性网络接口(ENI)的流量。3. 在生产环境中的一台新EC2实例上配置数据包检查软件包。将该新EC2实例的弹性网络接口用作流量镜像的目标。4. 使用数据包检查软件包提取数据。5. 将数据提供给第三方供应商。
- C. 1. 配置流量镜像过滤器以捕获UDP数据。2. 配置流量镜像以捕获EC2实例弹性网络接口(ENI)的流量。3. 在监控账户中的一台新EC2实例上配置数据包检查软件包。将该新EC2实例的弹性网络接口用作流量镜像的目标。4. 使用数据包检查软件包提取数据。5. 将数据提供给第三方供应商。
- D. 1. 创建一个新的Amazon Elastic Block Store(Amazon EBS)卷。将该EBS卷附加到EC2实例。2. 登录生产环境中的EC2实例。运行tcpdump命令在EBS卷上捕获UDP数据。3. 将数据从EBS卷导出至Amazon S3。4. 将数据提供给第三方供应商。
查看题目 →
-
Q20. 一家公司在单个AWS区域中拥有三个VPC。每个VPC包含15台Amazon EC2实例,且VPC之间无任何连接。该公司正跨全部三个VPC部署新应用程序。该应用程序要求节点间具备高带宽。一名网络工程师必须在VPC之间实现连接。以下哪项解决方案可在满足这些要求的同时提供最高吞吐量?
- A. 配置一个中转网关(Transit Gateway)。将每个VPC连接至该中转网关。在每个VPC中配置静态路由,将流量路由至中转网关。
- B. 在三个VPC之间配置VPC对等互连(VPC Peering)。配置静态路由以在三个VPC之间路由流量。
- C. 配置一个中转VPC(Transit VPC)。在每个VPC中配置VPN网关。从每个VPC创建一条AWS站点到站点VPN隧道至中转VPC。使用BGP路由在VPC与中转VPC之间路由流量。
- D. 在各VPC之间配置AWS站点到站点VPN连接。为每个站点到站点VPN连接启用路由传播,以在VPC之间路由流量。
查看题目 →
-
Q21. 一家公司在生产VPC中拥有10台运行于Auto Scaling组中的Web服务器Amazon EC2实例。该公司另有10台Web服务器运行于本地数据中心。该公司已在本地数据中心与生产VPC之间建立了10 Gbps的AWS Direct Connect连接。该公司需要实施一种负载均衡解决方案,以接收数千名外部用户的HTTPS流量,并将流量分发至AWS上的Web服务器及本地数据中心的Web服务器。无论Web服务器位于何处,HTTPS请求在整个会话期间必须始终路由至同一台Web服务器。
- A. 在生产VPC中创建一个Network Load Balancer(NLB)。创建一个目标组,指定IP为目标类型。将EC2实例和本地服务器注册至该目标组。在NLB上启用连接耗尽(connection draining)。
- B. 在生产VPC中创建一个Application Load Balancer(ALB)。创建一个目标组,指定IP为目标类型。将EC2实例和本地服务器注册至该目标组。在ALB上启用基于应用程序的会话亲和性(sticky sessions)。
- C. 在生产VPC中创建一个Network Load Balancer(NLB)。创建一个目标组,指定实例为目标类型。将EC2实例和本地服务器注册至该目标组。在NLB上启用会话亲和性(sticky sessions)。
- D. 在生产VPC中创建一个Application Load Balancer(ALB)。创建一个目标组,指定实例为目标类型。将EC2实例和本地服务器注册至该目标组。在ALB上启用基于应用程序的会话亲和性(sticky sessions)。
- E.
查看题目 →
-
Q22. 您有一个静态VPN连接,用于连接您的数据中心和VPC。当前您已在路由表中添加了50条路由。您希望添加更多路由;应如何操作?
- A. 50是任何连接所能支持的最大路由数。
- B. 直接添加即可,每个路由表最多支持100条静态路由。
- C. 设置Direct Connect。VPN不支持更多路由。
- D. 将您的VPN转换为动态VPN并使用BGP。
查看题目 →
-
Q23. 一家公司有两个本地数据中心位置。每个数据中心均配备一台公司自管路由器。每个数据中心均通过私有虚拟接口(private virtual interface)拥有专用的AWS Direct Connect连接至Direct Connect网关。第一个位置的路由器正使用BGP向Direct Connect网关宣告110条路由,第二个位置的路由器正使用BGP向Direct Connect网关宣告60条路由。Direct Connect网关通过虚拟私有网关(virtual private gateway)连接至公司VPC。一名网络工程师收到报告称,VPC中的资源无法从任一数据中心的多个位置访问。该工程师检查VPC路由表后发现,第一个数据中心位置的路由未被填充至路由表中。该网络工程师必须以最高效的操作方式解决此问题。
- A. 移除Direct Connect网关,并为每个公司路由器创建一条新的私有虚拟接口,直接连接至VPC的虚拟私有网关。
- B. 修改路由器配置,对宣告的路由进行汇总。
- C. 提交支持工单,以提高VPC路由表中宣告路由的配额。
- D. 创建一个AWS Transit Gateway。将该中转网关连接至VPC,并将Direct Connect网关连接至该中转网关。
查看题目 →
-
Q24. 一家软件公司提供一款托管于AWS云中的软件即服务(SaaS)会计应用程序。该应用程序需要连接至公司的本地网络。该公司已在AWS与本地网络之间建立了两条冗余的10 Gbps AWS Direct Connect连接,以满足应用程序日益增长的需求。该公司已在本地网络与托管设施之间实现了加密。该公司需在未来几个月内在AWS与托管设施边缘路由器之间加密流量,并必须维持当前带宽。
- A. 在现有Direct Connect连接上部署新的公共虚拟接口(public VIF)并启用加密。将流量重定向至新公共VIF。
- B. 创建一个虚拟私有网关(virtual private gateway)。从本地网络部署新的AWS站点到站点VPN连接至该虚拟私有网关。将流量从Direct Connect私有VIF重定向至新VPN。
- C. 部署一对新的10 Gbps Direct Connect连接并启用MACsec。在边缘路由器上配置MACsec。将流量重定向至新Direct Connect连接,并停用原有Direct Connect连接。
- D. 部署一对新的10 Gbps Direct Connect连接并启用MACsec。在新Direct Connect连接上部署新的公共VIF。在新公共VIF之上部署两条AWS站点到站点VPN连接。将流量从现有私有VIF重定向至新站点到站点连接,并停用原有Direct Connect连接。
查看题目 →
-
Q25. 网络工程师必须通过使用唯一随机会话密钥,为应用程序负载均衡器(ALB)上的加密数据提供额外保护措施。
网络工程师应执行哪项操作来满足此要求?
- A. 将ALB安全策略更改为仅支持TLS 1.2协议的策略
- B. 使用AWS密钥管理服务(AWS KMS)加密会话密钥
- C. 将AWS WAF Web ACL与ALB关联,并创建一条安全规则以强制执行前向保密(FS)
- D. 将ALB安全策略更改为支持前向保密(FS)的策略
查看题目 →
-
Q26. 一家公司计划在多个Amazon EC2实例上托管一个安全的Web应用程序。该应用程序在Amazon Route 53托管区域中具有关联的DNS域名。该公司希望保护该域名免受DNS投毒攻击。该公司还希望允许Web浏览器通过受信任的第三方对应用程序进行身份验证。哪一组操作可满足这些要求?
- A. 配置Route 53托管区域以使用DNS安全扩展(DNSSEC)。在EC2实例上安装自签名X.509证书。
- B. 在Route 53托管区域中配置名称授权指针(NAPTR)记录。在EC2实例上安装由公共证书颁发机构(CA)签名的X.509证书。
- C. 配置Route 53托管区域以使用DNS安全扩展(DNSSEC)。在EC2实例上安装由公共证书颁发机构(CA)签名的X.509证书。
- D. 在Route 53托管区域中配置名称授权指针(NAPTR)记录。在EC2实例上安装自签名X.509证书。
查看题目 →
-
Q27. 一家金融交易公司正在使用Amazon EC2实例运行其交易平台。该公司的交易平台部分包含一个第三方定价服务,EC2实例通过UDP端口50000与该服务通信。
最近,该公司遇到了定价服务的问题。部分来自定价服务的响应格式不正确,未能成功处理。第三方供应商请求访问定价服务返回的数据。第三方供应商希望登录到访问定价服务的EC2实例,以捕获请求和响应数据进行调试。该公司禁止直接访问生产系统,并要求所有日志分析均在专用监控账户中执行。
网络工程师应采取哪组步骤来捕获数据并满足这些要求?
- A. 1 配置VPC流日志以捕获VPC内流动的数据。2 将数据发送到Amazon S3存储桶。3 在监控账户中,提取流向EC2实例IP地址的数据,并筛选UDP流量。4 向第三方供应商提供该数据。
- B. 1 配置流量镜像过滤器以捕获UDP数据。2 配置流量镜像以捕获EC2实例弹性网络接口的流量。3 在生产环境中启动一台新的EC2实例并配置数据包检测软件包。使用该新EC2实例的弹性网络接口作为流量镜像的目标。4 使用数据包检测软件包提取数据。5 向第三方供应商提供该数据。
- C. 1 配置流量镜像过滤器以捕获UDP数据。2 配置流量镜像以捕获EC2实例弹性网络接口的流量。3 在监控账户中启动一台新的EC2实例并配置数据包检测软件包。使用该新EC2实例的弹性网络接口作为流量镜像的目标。4 使用数据包检测软件包提取数据。5 向第三方供应商提供该数据。
- D. 1 创建一个新的Amazon Elastic Block Store(Amazon EBS)卷。将EBS卷附加到EC2实例。2 登录到生产环境中的EC2实例。运行tcpdump命令在EBS卷上捕获UDP数据。3 将数据从EBS卷导出至Amazon S3。4 向第三方供应商提供该数据。
查看题目 →
-
Q28. 一家公司正在快速增长。公司本地系统与运行在VPC中的Amazon EC2实例之间的数据传输受限于公司本地数据中心防火墙与AWS Transit Gateway之间单个AWS站点到站点VPN连接的吞吐量。
网络工程师必须通过设计一种高可用且安全的解决方案来解决该瓶颈问题。该解决方案还必须扩展从本地到VPC资源的VPN吞吐量,以支持流量增长。
- A. 配置多个基于动态BGP的站点到站点VPN连接至Transit Gateway。配置等成本多路径路由(ECMP)。
- B. 配置多个基于静态路由的站点到站点VPN连接至Transit Gateway。配置等成本多路径路由(ECMP)。
- C. 配置一个新的站点到站点VPN连接至Transit Gateway。为该站点到站点VPN连接启用加速功能。
- D. 在本地防火墙与一台具备大型实例规格及强大网络能力的EC2实例之间,通过互联网配置基于软件设备的VPN连接。
查看题目 →
-
Q29. 一家公司已在VPC与其本地数据中心之间建立了混合连接。该公司已在本地数据中心的DNS服务器上配置了on-premises.example.com子域。该公司在AWS不同VPC和账户中运行的工作负载使用aws.example.com子域。两个环境中的资源可通过IP地址相互访问。该公司希望VPC中的工作负载能够使用on-premises.example.com DNS名称访问本地资源。
哪种解决方案可在最少资源管理的前提下满足这些要求?
- A. 创建Amazon Route 53 Resolver出站端点。配置一条解析器规则,有条件地将on-premises.example.com的DNS查询转发至本地DNS服务器。将该规则与VPC关联。
- B. 创建Amazon Route 53 Resolver入站端点和出站端点。配置一条解析器规则,有条件地将on-premises.example.com的DNS查询转发至本地DNS服务器。将该规则与VPC关联。
- C. 启动一台Amazon EC2实例。安装并配置BIND软件,以有条件地将on-premises.example.com的DNS查询转发至本地DNS服务器。在每个VPC中将该EC2实例的IP地址配置为自定义DNS服务器。
- D. 在每个VPC中启动一台Amazon EC2实例。安装并配置BIND软件,以有条件地将on-premises.example.com的DNS查询转发至本地DNS服务器。在每个VPC中将该EC2实例的IP地址配置为自定义DNS服务器。
查看题目 →
-
Q30. 一家公司在VPC中部署了一个应用程序,该应用程序使用NAT网关进行出站互联网流量。网络工程师注意到大量可疑网络流量正通过互联网从VPC流向一个拒绝列表中包含的IP地址。网络工程师必须实施一种解决方案,以确定哪些AWS资源正在生成这些可疑流量。该解决方案必须最小化成本和管理开销。
- A. 在VPC中启动一台Amazon EC2实例。使用流量镜像,指定NAT网关为源、EC2实例为目标。使用开源工具分析捕获的流量,以识别生成可疑流量的AWS资源。
- B. 使用VPC流日志。在VPC中部署一套安全信息与事件管理(SIEM)解决方案。配置该SIEM解决方案以接收VPC流日志。在SIEM解决方案中运行查询,以识别生成可疑流量的AWS资源。
- C. 使用VPC流日志。将流日志发布到Amazon CloudWatch Logs中的日志组。使用CloudWatch Logs Insights查询流日志,以识别生成可疑流量的AWS资源。
- D. 配置VPC直接将网络流量流式传输至Amazon Kinesis数据流。将Kinesis数据流中的数据发送至Amazon Kinesis Data Firehose交付流,以将数据存储在Amazon S3中。使用Amazon Athena查询数据,以识别生成可疑流量的AWS资源。
查看题目 →
-
Q31. 一家电子商务公司正在Amazon EC2实例上托管一个Web应用程序,以应对持续变化的客户需求。EC2实例属于一个Auto Scaling组。该公司希望实施一种解决方案,将客户流量分发至EC2实例。该公司必须在客户与应用服务器之间所有阶段加密全部流量,且不允许在任何中间节点解密。
- A. 创建一个Application Load Balancer(ALB)。为ALB添加一个HTTPS监听器。配置Auto Scaling组,使其将实例注册到ALB的目标组。
- B. 创建一个Amazon CloudFront分发。使用自定义SSL/TLS证书配置该分发。将Auto Scaling组设置为该分发的源。
- C. 创建一个Network Load Balancer(NLB)。为NLB添加一个TCP监听器。配置Auto Scaling组,使其将实例注册到NLB的目标组。
- D. 创建一个Gateway Load Balancer(GLB)。配置Auto Scaling组,使其将实例注册到GLB的目标组。
查看题目 →
-
Q32. 一家公司的应用团队无法在其VPC中启动新资源。网络工程师发现该VPC已耗尽可用IP地址。该VPC的CIDR块为172.16.0.0/16。
网络工程师可为该VPC附加哪一个额外的CIDR块?
- A. 172.17.0.0/29
- B. 10.0.0.0/16
- C. 172.17.0.0/16
- D. 192.168.0.0/16
查看题目 →
-
Q33. 一家公司使用一条1 Gbps的AWS Direct Connect连接将其AWS环境连接到其本地数据中心。该连接为员工提供对托管在AWS上的应用程序VPC的访问权限。许多远程员工使用公司提供的VPN连接到数据中心。这些员工报告称,在工作时间内访问应用程序时出现延迟。本地用户也开始报告在办公室内访问时出现类似延迟。
该公司计划在AWS上构建另一个应用程序。现场和远程员工都将使用该附加应用程序。在部署此附加应用程序后,该公司需要比当前使用量多20%的带宽。随着使用量增加,该公司希望增强AWS连接的弹性。网络工程师必须审查当前实现,并在有限预算内进行改进。
网络工程师应采取以下哪项措施以最具成本效益的方式满足这些要求?
- A. 设置一条新的1 Gbps Direct Connect专用连接,以容纳远程员工和附加应用程序带来的额外流量负载。创建链路聚合组(LAG)。
- B. 在应用程序VPC中部署AWS Site-to-Site VPN连接。配置本地路由,使远程员工连接到Site-to-Site VPN连接。
- C. 在应用程序VPC中部署Amazon WorkSpaces,并指示远程员工连接到WorkSpaces。
- D. 将现有的1 Gbps Direct Connect连接替换为两条新的2 Gbps Direct Connect托管连接。在应用程序VPC中创建AWS Client VPN终端节点,并指示远程员工连接到Client VPN终端节点。
查看题目 →
-
Q34. 一家公司正在将其位于弗吉尼亚州的数据中心的本地网络迁移到其位于纽约的数据中心。弗吉尼亚州和纽约数据中心位置的AWS Direct Connect连接均关联到us-east-1区域。该公司需要将现有Direct Connect托管连接上的私有虚拟接口(Private VIF)从弗吉尼亚州迁移到纽约。该公司的本地网络通过us-east-1中的Direct Connect网关访问VPC。该公司已向纽约Direct Connect位置申请了一条来自新数据中心的新Direct Connect托管连接。以下哪种解决方案可在停机时间最少的情况下满足这些要求?
- A. 在新的Direct Connect托管连接上创建一个新的私有VIF。创建一个新的Direct Connect网关,并将该网关附加到新的私有VIF。在新的私有VIF上配置BGP路由作为备用路由。在维护窗口期间,关闭现有私有VIF上的BGP,执行切换操作。停用现有的Direct Connect连接。
- B. 在新的Direct Connect托管连接上创建一个新的私有VIF。将新的私有VIF附加到现有的Direct Connect网关。在新的私有VIF上配置BGP路由作为备用路由。在维护窗口期间,关闭现有私有VIF上的BGP,执行切换操作。停用现有的Direct Connect连接。
- C. 在维护窗口期间,将现有的私有VIF迁移到新的Direct Connect托管连接。将现有的私有VIF附加到现有的Direct Connect网关。停用现有的Direct Connect连接。
- D. 在维护窗口期间,删除现有的私有VIF,并在新的Direct Connect托管连接上创建一个新的私有VIF。将新的私有VIF附加到现有的Direct Connect网关。停用现有的Direct Connect托管连接。
查看题目 →
-
Q35. 一家银行公司正在AWS上成功运行其公共移动银行应用栈。该移动银行应用栈部署在一个包含私有子网和公有子网的VPC中。该公司使用IPv4网络,且未在环境中部署或支持IPv6。该公司决定采用第三方服务提供商的API,并必须将该API与现有环境集成。该服务提供商的API要求使用IPv6。网络工程师必须为部署在私有子网中的现有工作负载启用IPv6连接。该公司不希望允许来自公共互联网的IPv6流量,并强制要求公司服务器必须主动发起所有IPv6连接。网络工程师已在VPC及私有子网中启用了IPv6。以下哪种解决方案可满足这些要求?
- A. 在VPC中创建一个互联网网关和一个NAT网关。在现有子网路由表中添加一条路由,将IPv6流量指向NAT网关。
- B. 在VPC中创建一个互联网网关和一个NAT实例。在现有子网路由表中添加一条路由,将IPv6流量指向NAT实例。
- C. 在VPC中创建一个仅出口互联网网关(egress-only Internet gateway)。在现有子网路由表中添加一条路由,将IPv6流量指向该仅出口互联网网关。
- D. 在VPC中创建一个仅出口互联网网关(egress-only internet gateway)。配置一个拒绝所有入站流量的安全组,并将该安全组关联到仅出口互联网网关。
查看题目 →
-
Q36. 您有几个希望监控的Amazon Glacier保险库。您该如何监控这些保险库?
- A. 创建一个自定义的AWS Config规则。
- B. 使用一个AWS主Config规则。
- C. 使用一个AWS托管的Config规则。
- D. 创建一个KMS策略并将其附加到您的Amazon Glacier保险库。
查看题目 →
-
Q37. 一家公司拥有一条从公司办公室到ap-southeast-2区域中VPC的2 Gbps AWS Direct Connect托管连接。一位网络工程师添加了一条来自同一区域内另一Direct Connect位置的5 Gbps Direct Connect托管连接。这两条托管连接分别连接到办公室的不同路由器,且路由器之间运行iBGP会话。
网络工程师希望确保VPC使用5 Gbps托管连接将流量路由至办公室。当5 Gbps托管连接中断时,必须故障转移到2 Gbps托管连接。
以下哪种解决方案可满足这些要求?
- A. 为连接到2 Gbps连接的路由器配置出站BGP策略。向AWS通告带有更长AS_PATH属性的路由。
- B. 从连接到2 Gbps连接的路由器通告更长前缀的路由。
- C. 从连接到5 Gbps连接的路由器通告较不具体的路由。
- D. 为连接到5 Gbps连接的路由器配置出站BGP策略。向AWS通告带有更长AS_PATH属性的路由。
查看题目 →
-
Q38. 一家公司已通过AWS Direct Connect连接建立了其位于法国巴黎的本地数据中心与AWS云之间的连接。该公司使用一个传输虚拟接口(transit VIF),将Direct Connect连接与托管在欧洲(巴黎)区域的传输网关(transit gateway)相连。该公司在多个附加到传输网关的VPC中托管了位于私有子网的工作负载。该公司最近收购了另一家公司在日本东京办公楼中运营的本地工作负载。该公司需要将东京办公室的工作负载迁移到AWS。这些工作负载必须能够访问公司在巴黎的现有工作负载。此外,公司还必须建立东京办公室与巴黎数据中心之间的连接。公司在亚太(东京)区域创建了一个包含私有子网的新VPC,用于迁移工作负载。工作负载迁移必须在5天内完成。工作负载不能直接从互联网访问。网络工程师应采取以下哪组步骤以满足这些要求?
- A. 1. 在东京VPC中创建公有子网以迁移工作负载。2. 为东京办公室配置互联网网关以访问东京VPC。3. 在东京工作负载上配置安全组,仅允许来自东京办公室和巴黎工作负载的流量。4. 在东京VPC与巴黎VPC之间创建对等连接。5. 使用现有路由器在巴黎数据中心与东京办公室之间配置VPN连接。
- B. 1. 在亚太(东京)区域配置一个传输网关,并将该传输网关与东京VPC关联。2. 在东京传输网关与巴黎传输网关之间创建对等连接。3. 设置一条从东京办公室到东京传输网关的新Direct Connect连接。4. 在两个传输网关上配置路由,以允许站点与VPC之间的数据流。
- C. 1. 在亚太(东京)区域配置一个传输网关,并将该传输网关与东京VPC关联。2. 在东京传输网关与巴黎传输网关之间创建对等连接。3. 从东京办公室配置一个AWS Site-to-Site VPN连接,目标为东京传输网关。4. 在两个传输网关上配置路由,以允许站点与VPC之间的数据流。
- D. 1. 从东京办公室配置一个AWS Site-to-Site VPN连接到巴黎传输网关。2. 在巴黎传输网关与东京VPC之间创建关联。3. 在巴黎传输网关上配置路由,以允许站点与VPC之间的数据流。
查看题目 →
-
Q39. 一家公司正在运行混合云环境。该公司在AWS Organizations中拥有多个AWS账户。该公司需要一种解决方案来管理一份允许访问AWS资源的本地IPv4主机列表。该解决方案必须为此IPv4地址列表提供版本控制,并使其可供组织内的AWS账户使用。
- A. 创建一个客户管理的前缀列表(customer-managed prefix list)。为初始的本地IPv4主机列表添加条目。在AWS资源访问管理器(AWS Resource Access Manager)中创建一个资源共享。将该托管前缀列表添加到资源共享中,并与组织共享该资源。
- B. 创建一个客户管理的前缀列表(customer-managed prefix list)。为初始的本地IPv4主机列表添加条目。使用AWS Firewall Manager将该托管前缀列表共享给组织。
- C. 创建一个安全组。为初始的本地IPv4主机列表添加入站规则条目。在AWS资源访问管理器(AWS Resource Access Manager)中创建一个资源共享。将该安全组添加到资源共享中,并与组织共享该资源。
- D. 创建一个Amazon DynamoDB表。为初始的本地IPv4主机列表添加条目。创建一个AWS Lambda函数,该函数在组织内的每个AWS账户中承担角色,基于DynamoDB表中的条目为安全组授权入站规则。
查看题目 →
-
Q40. 一家公司在us-east-1区域拥有一个单一VPC。该公司计划在us-east-2区域设置一个新的VPC。现有VPC已通过AWS Site-to-Site VPN连接到公司的本地环境,并使用虚拟私有网关(virtual private gateway)。网络工程师需要实施一种解决方案,以在现有VPC与新VPC之间建立连接。该解决方案还必须为新VPC提供IPv6支持。该公司拥有新的本地资源,需要使用IPv6地址连接到VPC资源。
- A. 在us-east-1中创建一个新的虚拟私有网关。将新的虚拟私有网关附加到新VPC。为新的虚拟私有网关创建两条新的Site-to-Site VPN连接,支持IPv4和IPv6。使用VPC对等连接配置VPC之间的路由。
- B. 在us-east-1和us-east-2中分别创建一个传输网关(transit gateway)。将现有VPC和新VPC分别附加到各自区域的传输网关。为每个传输网关创建一条新的Site-to-Site VPN连接,支持IPv4和IPv6。配置传输网关对等连接。配置VPC与本地环境之间的路由。
- C. 在us-east-2中创建一个新的虚拟私有网关。将新的虚拟私有网关附加到新VPC。为新的虚拟私有网关创建两条新的Site-to-Site VPN连接,支持IPv4和IPv6。使用VPC对等连接配置VPC之间的路由。
- D. 在us-east-1中创建一个传输网关。将现有VPC和新VPC都附加到该传输网关。为传输网关创建两条新的Site-to-Site VPN连接,支持IPv4和IPv6。配置传输网关对等连接。配置VPC与本地环境之间的路由。
查看题目 →
-
Q41. 一家公司拥有一款托管用户个人身份信息(PII)的应用程序。所有对该应用程序的连接都必须通过HTTPS进行安全保护,并使用实现椭圆曲线密码学(ECC)的TLS证书。该应用程序在Web层与终端用户之间使用有状态连接,且由多个实例承载。一名网络工程师必须实施一种解决方案,将TLS连接卸载至负载均衡器。以下哪种负载均衡解决方案能够满足这些要求?
- A. 部署一个Network Load Balancer。通过指定上传至AWS Identity and Access Management(IAM)的ECC SSL证书来配置TLS监听器。启用运行状况检查以监控连接到终端用户的Web主机。
- B. 部署一个Application Load Balancer。通过指定上传至AWS Certificate Manager(ACM)的ECC SSL证书来配置HTTPS监听器。配置默认操作,将请求重定向至应用程序的URL。启用运行状况检查以监控连接到终端用户的Web主机。
- C. 部署一个Network Load Balancer。通过指定上传至AWS Certificate Manager(ACM)的ECC SSL证书来配置TLS监听器。启用基于应用程序的会话亲和性(粘性会话)。启用运行状况检查以监控连接到终端用户的Web主机。
- D. 部署一个Application Load Balancer。通过指定上传至AWS Identity and Access Management(IAM)的ECC SSL证书来配置HTTPS监听器。配置默认操作,将请求重定向至应用程序的URL。启用基于应用程序的会话亲和性(粘性会话)。
查看题目 →
-
Q42. 一家物流公司在AWS区域中拥有多个VPC。该公司使用Transit Gateway连接这些VPC。该公司还拥有多个本地办公室,通过互联网上的AWS Site-to-Site VPN连接接入Transit Gateway。该公司已为每个办公室配置了一个Transit Gateway VPN附件。所有路由表均已启用路由传播。每个Site-to-Site VPN连接均采用主备模式的两条隧道。该公司已在Site-to-Site VPN连接和办公室客户网关上配置了适当的静态路由。该公司希望利用每个办公室的两条IPsec隧道,以最大化整体VPN连接带宽。为满足这些要求,需要进行哪些架构变更?
- A. 为每个办公室创建一个AWS Transit Gateway Connect附件。将现有VPN附件用作新Connect附件的传输通道。在每个客户网关上设置Generic Routing Encapsulation(GRE)隧道,该隧道终止于每个办公室对应的Connect附件。将静态路由从Transit Gateway VPN附件迁移至客户网关,指向Transit Gateway Connect附件。
- B. 在Transit Gateway上启用等价多路径(ECMP)路由。确保客户网关支持并启用了ECMP。在Site-to-Site VPN连接上启用ECMP。确保客户网关上的静态路由具有相等的度量值和管理距离。
- C. 在Transit Gateway上启用等价多路径(ECMP)路由。确保客户网关支持并启用了ECMP。将Transit Gateway与客户网关之间的路由配置从静态路由更改为BGP。从客户网关中移除相关静态路由。
- D. 在Transit Gateway上启用等价多路径(ECMP)路由。确保客户网关支持并启用了ECMP。将Transit Gateway与客户网关之间的路由配置从静态路由更改为BGP。确保客户网关应用正确的社区字符串,使Transit Gateway具备ECMP转发能力。
查看题目 →
-
Q43. 一家公司在AWS上开发了一款新的Web应用程序。该应用程序在us-east-1区域中运行于Amazon Elastic Container Service(Amazon ECS)Fargate之上,并由Application Load Balancer(ALB)提供前端服务。该应用程序使用Amazon Route 53托管域名DNS记录。网站所服务的内容主要为静态图像和文件,且更新频率较低。大多数终端用户流量来自美国,部分流量来自加拿大和欧洲。一名网络工程师需要设计一种解决方案,在最低成本前提下降低终端用户的延迟。该解决方案还必须确保所有流量在抵达ALB前全程加密。以下哪种解决方案能满足这些要求?
- A. 为ALB配置AWS Global Accelerator加速器(位于us-east-1)。创建安全的HTTPS监听器。在Amazon Route 53中为自定义域名创建别名记录。将该别名记录配置为路由至分配给ALB的加速器DNS名称。
- B. 为ALB配置安全的HTTPS监听器。创建Amazon CloudFront分发。将源域名设置为指向分配给ALB的DNS记录。为CloudFront分发配置SSL证书。将所有行为设置为强制HTTPS。在Amazon Route 53中为自定义域名创建别名记录。将该别名记录配置为路由至分配给ALB的DNS名称。
- C. 为ALB配置安全的HTTPS监听器。创建Amazon CloudFront分发。将源域名设置为指向分配给ALB的DNS记录。为CloudFront分发配置SSL证书并重定向HTTP至HTTPS。在Amazon Route 53中为自定义域名创建别名记录。将该别名记录配置为路由至CloudFront分发。
- D. 为ALB配置AWS Global Accelerator加速器(位于us-east-1)。创建安全的HTTPS监听器。在eu-west-1区域中为Amazon ECS Fargate部署第二套应用栈。为其创建另一个安全的HTTPS监听器。在Amazon Route 53中为自定义域名创建别名记录。将该别名记录配置为使用基于延迟的路由策略,路由至分配给两个ALB的加速器DNS名称。
查看题目 →
-
Q44. 一家公司希望提升其AWS环境的可见性。该AWS环境包含多个连接至Transit Gateway的VPC。Transit Gateway通过AWS Direct Connect网关及一对使用Transit VIF的冗余Direct Connect连接,与本地数据中心相连。该公司必须在每次本地数据中心经Direct Connect向AWS通告新路由时收到通知。为满足这些要求,网络工程师应采取什么措施?
- A. 在Direct Connect上启用Amazon CloudWatch指标以跟踪接收的路由。配置CloudWatch告警,在路由发生变化时发送通知。
- B. 将Transit Gateway Network Manager接入Amazon CloudWatch Logs Insights。使用Amazon EventBridge(Amazon CloudWatch Events)在路由发生变化时发送通知。
- C. 配置一个AWS Lambda函数,定期检查Direct Connect网关上的路由,并在路由发生变化时发送通知。
- D. 在Transit VIF上启用Amazon CloudWatch Logs以跟踪接收的路由。创建指标筛选器,并在筛选器上设置告警以在路由发生变化时发送通知。
查看题目 →
-
Q45. 一家全球性公司正在设计混合架构,以便私密访问us-west-2区域中的AWS资源。该公司现有架构包括一个使用RFC 1918 IP地址空间的VPC,该VPC通过AWS Direct Connect连接至本地数据中心。Amazon Route 53在VPC内提供名称解析服务。本地数据中心内的自管DNS服务器为本地主机提供DNS服务。该公司在数据中心中有应用程序,需要从us-west-2区域的Amazon S3存储桶下载对象。以下哪种解决方案可使该公司在不使用公网IP地址空间的情况下访问Amazon S3?
- A. 在VPC中创建S3接口端点。更新本地应用程序配置,使其使用映射至S3接口端点的区域性VPC端点DNS主机名。
- B. 在VPC中创建S3接口端点。在VPC中配置Route 53 Resolver入站端点。配置本地数据中心DNS服务器,将针对S3域的DNS查询从本地转发至该入站端点。
- C. 在VPC中创建S3网关端点。更新本地应用程序配置,使其使用映射至S3网关端点的主机名。
- D. 在VPC中创建S3网关端点。在VPC中配置Route 53 Resolver入站端点。配置本地数据中心DNS服务器,将针对S3域的DNS查询从本地转发至该入站端点。
查看题目 →
-
Q46. 一家公司在美国(US)的本地数据中心与us-east-1区域的工作负载之间建立了AWS Direct Connect连接。该连接使用Transit VIF将数据中心连接至us-east-1中的Transit Gateway。该公司将在欧洲开设一家新办事处,并在英国建立一个新的本地数据中心。一条Direct Connect连接将把新数据中心与eu-west-2区域中单个VPC内运行的部分工作负载连接起来。该公司需要连接美国数据中心与us-east-1区域,以及欧洲数据中心与eu-west-2区域。一名网络工程师必须在数据中心与区域之间建立全连接,并实现尽可能低的延迟。为满足这些要求,网络工程师应如何设计网络架构?
- A. 使用Direct Connect网关和私有VIF将eu-west-2中的VPC连接至欧洲数据中心。将us-east-1中的Transit Gateway关联至同一Direct Connect网关。为Transit VIF和私有VIF启用SiteLink。
- B. 将eu-west-2中的VPC连接至一个新的Transit Gateway。使用Direct Connect网关和新的Transit VIF将欧洲数据中心连接至该新Transit Gateway。将us-east-1中的Transit Gateway关联至同一Direct Connect网关。为两个Transit VIF启用SiteLink。对等这两个Transit Gateway。
- C. 将eu-west-2中的VPC连接至一个新的Transit Gateway。使用Direct Connect网关和新的Transit VIF将欧洲数据中心连接至该新Transit Gateway。创建一个新的Direct Connect网关。将us-east-1中的Transit Gateway关联至该新的Direct Connect网关。为两个Transit VIF启用SiteLink。对等这两个Transit Gateway。
- D. 使用Direct Connect网关和私有VIF将eu-west-2中的VPC连接至欧洲数据中心。创建一个新的Direct Connect网关。将us-east-1中的Transit Gateway关联至该新的Direct Connect网关。为Transit VIF和私有VIF启用SiteLink。
查看题目 →
-
Q47. 一家公司的网络工程师正在为Transit Gateway与公司本地网络之间配置AWS Site-to-Site VPN连接。该Site-to-Site VPN连接配置为在两条隧道上使用BGP,并在Transit Gateway上启用等价多路径(ECMP)路由,采用主动/主动模式。当网络工程师尝试从本地网络向Amazon EC2实例发送流量时,流量经第一条隧道发送。然而,返回流量经第二条隧道接收,并在客户网关处被丢弃。网络工程师必须在不降低整体VPN带宽的前提下解决此问题。以下哪种解决方案能满足这些要求?
- A. 配置客户网关,使用AS PATH预附加和本地优先级,以偏好其中一条隧道。
- B. 配置Site-to-Site VPN选项,将第一条隧道设为主隧道,以消除不对称路由。
- C. 在客户网关上配置虚拟隧道接口,以允许不对称路由。
- D. 将Site-to-Site VPN配置为在主动/主动模式下使用静态路由,以确保流量沿首选路径流动。
查看题目 →
-
Q48. 一家公司在VPC(VPC1)的单一可用区(AZ1)中设置了NAT网关,以便VPC中的Amazon EC2工作负载通过该网关访问互联网。这些EC2工作负载运行在三个可用区(AZ1、AZ2、AZ3)的私有子网中。每个子网的路由表均配置为使用该NAT网关访问互联网。最近一次故障期间,由于NAT网关不可用,EC2工作负载的互联网访问中断。一名网络工程师必须实施一种解决方案,以消除架构中的单点故障,并提供内置冗余。以下哪种解决方案能满足这些要求?
- A. 设置两个NAT网关。将每个NAT网关分别置于不同公共子网中,且位于不同的可用区(AZ2和AZ3)。为私有子网配置路由表,将流量路由至这两个NAT网关的虚拟IP地址。
- B. 设置两个NAT网关。将每个NAT网关分别置于不同公共子网中,且位于不同的可用区(AZ2和AZ3)。配置一个路由表,将AZ2私有子网的流量指向AZ2中的NAT网关;并将AZ3私有子网的流量指向AZ3中的NAT网关。
- C. 创建第二个VPC(VPC2)。设置两个NAT网关。将每个NAT网关分别置于不同VPC(VPC1和VPC2)中,且均位于同一可用区(AZ2)。在VPC1中配置路由表,将AZ2私有子网的流量指向一个NAT网关;在VPC2中配置路由表,将AZ2私有子网的流量指向第二个NAT网关。
- D. 设置两个NAT网关。将每个NAT网关分别置于不同公共子网中,且位于不同的可用区(AZ2和AZ3)。配置一个路由表,将AZ2私有子网的流量指向AZ2中的NAT网关。配置第二个路由表,将AZ3私有子网的流量指向AZ3中的NAT网关。
查看题目 →
-
Q49. 一家咨询公司为其客户管理AWS账户。该公司的一位客户需要为其环境添加入侵防护功能,而无需重新架构其环境。该客户的环境包括位于美国两个AWS区域的五个VPC,VPC之间的连接通过VPC对等实现。该客户在未来两年内不计划增加VPC数量。该解决方案必须支持未加密流量。
以下哪项解决方案可满足这些要求?
- A. 配置VPC安全组和网络ACL。
- B. 在每个VPC中使用AWS Network Firewall集中式部署模型。
- C. 在每个VPC中使用AWS Network Firewall分布式部署模型。
- D. 在每个VPC中部署AWS Shield。
查看题目 →
-
Q50. 一家公司正在部署AWS Cloud WAN,边缘位置位于us-east-1区域和ap-southeast-2区域。在每个边缘位置,分别为开发环境、生产环境和共享服务环境配置了独立的AWS Cloud WAN分段。许多新VPC将为这些环境部署,并作为附件连接到AWS Cloud WAN核心网络。该公司的网络团队希望确保VPC附件被配置到正确的分段。网络团队将使用Environment键对VPC附件打标签,其值为对应环境分段的名称。us-east-1区域中生产环境的分段必须对附件请求启用手动审批。所有其他附件请求不得要求手动审批。以下哪项解决方案可满足这些要求?
- A. 创建一条编号为100的规则,要求对生产分段的附件启用手动审批。在该规则中,将条件逻辑设置为“或”。包含要求tag:Environment值为Production或Region值为us-east-1的条件。创建一条编号为200的规则,不要求手动审批,以将任意tag:Environment值映射到其对应分段。
- B. 创建一条编号为100的规则,要求对生产分段的附件启用手动审批。在该规则中,将条件逻辑设置为“与”。包含要求tag:Environment值为Production且Region值为us-east-1的条件。创建一条编号为200的规则,不要求手动审批,以将任意tag:Environment值映射到其对应分段。
- C. 创建一条编号为100的规则,不要求手动审批,以将任意tag:Environment值映射到其对应分段。创建一条编号为200的规则,要求对生产分段的附件启用手动审批。在该规则中,将条件逻辑设置为“与”。包含要求tag:Environment值为Production且Region值为us-east-1的条件。
- D. 创建一条编号为100的规则,不要求手动审批,以将任意tag:Environment值映射到其对应分段。创建一条编号为200的规则,要求对生产分段的附件启用手动审批。在该规则中,将条件逻辑设置为“或”。包含要求tag:Environment值为Production或Region值为us-east-1的条件。
查看题目 →
-
Q51. 一家公司已在VPC中部署了AWS Network Firewall防火墙。一名网络工程师需要实施一项解决方案,以在最短时间内将Network Firewall流日志交付至该公司Amazon OpenSearch Service(Amazon Elasticsearch Service)集群。
以下哪项解决方案可满足这些要求?
- A. 创建一个Amazon S3存储桶。创建一个AWS Lambda函数,用于将日志加载到Amazon OpenSearch Service(Amazon Elasticsearch Service)集群。在S3存储桶上启用Amazon Simple Notification Service(Amazon SNS)通知,以调用Lambda函数。为防火墙配置流日志,并将S3存储桶设为目标。
- B. 创建一个Amazon Kinesis Data Firehose交付流,目标为Amazon OpenSearch Service(Amazon Elasticsearch Service)集群。为防火墙配置流日志,并将Kinesis Data Firehose交付流设为Network Firewall流日志的目标。
- C. 为防火墙配置流日志。将Amazon OpenSearch Service(Amazon Elasticsearch Service)集群设为Network Firewall流日志的目标。
- D. 创建一个Amazon Kinesis数据流,目标为Amazon OpenSearch Service(Amazon Elasticsearch Service)集群。为防火墙配置流日志,并将Kinesis数据流设为Network Firewall流日志的目标。
查看题目 →
-
Q52. 一个安全团队正在对其公司的AWS部署执行审计。该安全团队担心两个应用程序可能正在访问本应被网络ACL和安全组阻止的资源。这两个应用程序部署在两个使用Amazon VPC Container Network Interface(CNI)插件的Amazon Elastic Kubernetes Service(Amazon EKS)集群上。这两个集群位于同一VPC内的不同子网中,并已配置Cluster Autoscaler。
安全团队需要确定在整个VPC中哪些POD IP地址正在与哪些服务通信。安全团队希望限制流日志数量,并仅检查这两个应用程序的流量。
以下哪项解决方案可在最低运维开销下满足这些要求?
- A. 以默认格式创建VPC流日志。创建一个过滤器,仅收集来自EKS节点的流日志。在流日志中包含srcaddr字段和dstaddr字段。
- B. 以自定义格式创建VPC流日志。将EKS节点设为资源。在流日志中包含pkt-srcaddr字段和pkt-dstaddr字段。
- C. 以自定义格式创建VPC流日志。将应用程序子网设为资源。在流日志中包含pkt-srcaddr字段和pkt-dstaddr字段。
- D. 以自定义格式创建VPC流日志。创建一个过滤器,仅收集来自EKS节点的流日志。在流日志中包含pkt-srcaddr字段和pkt-dstaddr字段。
查看题目 →
-
Q53. 一家公司拥有全球网络,并使用中转网关(Transit Gateway)连接多个AWS区域。该公司发现两个位于不同区域的Amazon EC2实例无法相互通信。一名网络工程师需要排查此连通性问题。为满足此要求,该网络工程师应采取什么措施?
- A. 使用AWS Network Manager Route Analyzer分析中转网关路由表和VPC路由表中的路由。使用VPC流日志分析VPC中安全组规则和网络ACL规则所允许或拒绝的IP流量。
- B. 使用AWS Network Manager Route Analyzer分析中转网关路由表中的路由。验证VPC路由表是否正确。使用AWS Firewall Manager分析VPC中安全组规则和网络ACL规则所允许或拒绝的IP流量。
- C. 使用AWS Network Manager Route Analyzer分析中转网关路由表中的路由。验证VPC路由表是否正确。使用VPC流日志分析VPC中安全组规则和网络ACL规则所允许或拒绝的IP流量。
- D. 使用VPC Reachability Analyzer分析中转网关路由表中的路由。验证VPC路由表是否正确。使用VPC流日志分析VPC中安全组规则和网络ACL规则所允许或拒绝的IP流量。
查看题目 →
-
Q54. 一家公司拥有多个AWS站点到站点VPN连接,连接本地客户网关与中转网关。该公司应用通过VPN连接使用IPv4通信。该公司已将VPC更新为双栈模式,并希望为新工作负载过渡到仅使用IPv6。当该公司尝试通过现有VPN连接通信时,IPv6流量失败。以下哪项解决方案可在最低运维开销下提供IPv6支持?
- A. 创建一个支持IPv6的新站点到站点VPN连接。
- B. 创建一个连接至运行开源软件的自管Amazon EC2实例的新站点到站点VPN连接。
- C. 更新现有站点到站点VPN连接以支持IPv6。
- D. 将本地客户网关的公网IP地址从IPv4更新为IPv6。
查看题目 →
-
Q55. 一名网络工程师需要在本地数据中心与VPC之间构建加密连接。该网络工程师将VPC附加到虚拟私有网关,并设置了AWS站点到站点VPN连接。配置完成后,VPN隧道状态为UP且正常工作。然而,在VPN协商第二阶段重密钥期间,客户网关设备接收到与其配置所支持参数不同的参数。
该网络工程师检查了VPN隧道的IPsec配置。该网络工程师注意到客户网关设备配置了AWS站点到站点VPN配置文件所提供的最安全加密算法。
为排查并纠正此问题,该网络工程师应采取什么措施?
- A. 检查原生虚拟私有网关日志。将VPN隧道选项限制为虚拟私有网关所需的特定VPN参数。
- B. 检查原生客户网关日志。将VPN隧道选项限制为客户网关所需的特定VPN参数。
- C. 检查虚拟私有网关的Amazon CloudWatch日志。将VPN隧道选项限制为虚拟私有网关所需的特定VPN参数。
- D. 检查客户网关的Amazon CloudWatch日志。将VPN隧道选项限制为客户网关所需的特定VPN参数。
查看题目 →
-
Q56. 一家公司使用Amazon Route 53托管example.com的公有托管区域。一名网络工程师最近将若干记录的TTL降低至60秒。该网络工程师希望评估该变更是否导致Route 53查询量超出变更前公司预估的预期水平。该网络工程师必须获取对example.com公有托管区域所发起的查询数量。
以下哪项解决方案可提供此信息?
- A. 在AWS CloudTrail中创建新跟踪,以包含Route 53数据事件。将日志发送至Amazon CloudWatch Logs。设置CloudWatch指标筛选器以统计查询数量并创建图表。
- B. 使用Amazon CloudWatch访问AWS/Route 53命名空间,并检查该公有托管区域的DNS Queries指标。
- C. 使用Amazon CloudWatch访问AWS/Route 53 Resolver命名空间,并检查特定端点的Inbound Query Volume指标。
- D. 为公有托管区域配置Amazon CloudWatch日志。设置CloudWatch指标筛选器以统计查询数量并创建图表。
查看题目 →
-
Q57. 一家软件即服务(SaaS)公司正在将其私有SaaS应用程序迁移到AWS。该公司拥有数百名客户,这些客户通过VPN隧道连接到多个数据中心。随着客户数量的增长,该公司在管理路由和使用复杂NAT规则对客户进行分段方面遇到了更多困难。迁移完成后,该公司的AWS客户必须能够直接从其VPC访问SaaS应用程序;同时,该公司本地部署的客户仍必须能够通过IPsec加密隧道连接。哪种解决方案可满足这些要求?
- A. 将AWS客户VPC连接到共享的Transit Gateway。为本地客户使用AWS Site-to-Site VPN连接到Transit Gateway。
- B. 使用AWS PrivateLink连接AWS客户。在SaaS应用程序VPC中使用第三方路由设备终止本地Site-to-Site VPN连接。
- C. 将每个AWS客户的VPC与托管SaaS应用程序的VPC对等互联。在SaaS VPC的虚拟私有网关上创建AWS Site-to-Site VPN连接。
- D. 使用Site-to-Site VPN隧道将每个AWS客户的VPC连接到托管SaaS应用程序的VPC。使用AWS Site-to-Site VPN连接本地客户。
查看题目 →
-
Q58. 一家房地产公司正在构建一个内部应用程序,以便房地产经纪人上传各类房产的照片和视频。该应用程序将这些照片和视频作为对象存储在Amazon S3存储桶中,并使用Amazon DynamoDB存储相应的元数据。S3存储桶将配置为向Amazon Simple Queue Service(Amazon SQS)队列发布所有新对象上传的PUT事件。
一个由Amazon EC2实例组成的计算集群将轮询SQS队列以发现新上传的对象。该集群将检索新对象,执行专有的图像和视频识别与分类,更新DynamoDB中的元数据,并用新的带水印对象替换原始对象。该公司不希望EC2实例具有公有IP地址。
随着应用使用量增加,哪种网络设计方案能最经济高效地满足这些要求?
- A. 将EC2实例放置在公有子网中。启动EC2实例时禁用自动分配公有IP选项。创建一个互联网网关,并将其附加到VPC。在公有子网的路由表中添加一条指向互联网网关的默认路由。
- B. 将EC2实例放置在私有子网中。在相同可用区的公有子网中创建NAT网关。创建一个互联网网关,并将其附加到VPC。在公有子网的路由表中添加一条指向互联网网关的默认路由。
- C. 将EC2实例放置在私有子网中。为Amazon SQS创建接口型VPC端点。为Amazon S3和DynamoDB创建网关型VPC端点。
- D. 将EC2实例放置在私有子网中。为Amazon SQS创建网关型VPC端点。为Amazon S3和DynamoDB创建接口型VPC端点。
查看题目 →
-
Q59. 一家公司需要防范其AWS环境中任何Amazon EC2实例可能产生的僵尸网络命令与控制(C2)流量。哪种解决方案可满足此要求?
- A. 使用AWS Shield Advanced。在EC2实例上启用Shield Advanced防护,以过滤和阻止僵尸网络流量。
- B. 使用Amazon Route 53 Resolver DNS防火墙。在规则组中添加一条规则,使用AWSManagedDomainsBotnetCommandandControl托管域名列表,并设置操作为阻止僵尸网络流量。
- C. 使用AWS WAF Bot Control。配置一个使用AWS托管规则集的托管规则组,以阻止僵尸网络流量。
- D. 使用AWS Systems Manager。在EC2实例上运行Systems Manager自动化运行手册,以配置实例阻止僵尸网络流量。
查看题目 →
-
Q60. 一家公司在单个AWS账户中拥有一个Transit Gateway。该公司将Transit Gateway的流日志发送至Amazon CloudWatch Logs日志组。该公司创建了一个AWS Lambda函数来分析这些日志。当某个VPC生成的流量被Transit Gateway丢弃时,Lambda函数会向Amazon Simple Notification Service(Amazon SNS)主题发送通知。每条通知包含账户ID、VPC ID以及被丢弃的数据包总数。该公司希望订阅一个新的Lambda函数到该SNS主题。该新Lambda函数必须能自动阻止每条通知中标识的流量离开VPC,方法是在生成该流量的VPC的Transit Gateway附件子网中应用网络ACL。哪种解决方案可满足这些要求?
- A. 配置现有Lambda函数,在每条SNS通知中添加被丢弃流量的目的IP地址。配置新Lambda函数使用网络ACL中的目的IP地址创建出站规则。
- B. 配置现有Lambda函数,在每条SNS通知中添加被丢弃流量的源IP地址。配置新Lambda函数使用网络ACL中的源IP地址创建入站规则。
- C. 配置现有Lambda函数,在每条SNS通知中添加被丢弃流量的源IP地址。配置新Lambda函数使用网络ACL中的源IP地址创建出站规则。
- D. 配置现有Lambda函数,在每条SNS通知中添加被丢弃流量的目的IP地址。配置新Lambda函数使用网络ACL中的目的IP地址创建入站规则。
查看题目 →
-
Q61. 一家初创公司的应用团队正将一个新的多层应用程序部署到AWS云中。该应用程序将托管在一组Amazon EC2实例上,这些实例运行在公开可访问的网络负载均衡器(NLB)后方的Auto Scaling组中。该应用程序要求客户端使用UDP和TCP流量。
短期内,该应用程序仅服务于同一地理区域内的用户。应用团队计划将应用程序扩展至全球用户,并将部署迁移至全球多个AWS区域,以使应用程序更靠近终端用户。应用团队希望利用新区域部署应用程序的新版本,并能够在这些发布期间控制每个区域接收的流量比例。此外,应用团队必须最小化终端用户的首字节延迟和抖动(随机延迟)。
- A. 为每个区域部署创建一个Amazon CloudFront分发。将每个区域的NLB设为各CloudFront分发的源。使用Amazon Route 53加权路由策略控制流向较新区域部署的流量。
- B. 创建一个AWS Global Accelerator加速器,并为所需端口配置监听器。为每个区域配置终端节点组。为终端节点组配置流量拨号以控制流向较新区域部署的流量。将NLB注册到终端节点组。
- C. 为每个区域的应用程序使用Amazon S3 Transfer Acceleration。调整从Transfer Acceleration端点流向区域NLB的流量比例。
- D. 创建一个包含源组的Amazon CloudFront分发。将每个区域的NLB设为源组中的源。使用Amazon Route 53延迟路由策略控制流向新区域部署的流量。
查看题目 →
-
Q62. 一家公司正在开发一个新应用程序,该应用程序部署在多个AWS区域的多个VPC中。这些VPC通过AWS Transit Gateway互连。VPC包含私有子网和公有子网。所有私有子网中的出站互联网流量都必须接受审计和记录。该公司的网络工程师计划使用AWS Network Firewall,并确保所有经过Network Firewall的流量均被完整记录以供审计和告警。网络工程师应如何配置Network Firewall日志以满足这些要求?
- A. 在Amazon CloudWatch中配置Network Firewall日志以捕获所有告警。将日志发送到Amazon CloudWatch Logs中的日志组。
- B. 在Network Firewall中配置Network Firewall日志以捕获所有告警和流量日志。
- C. 通过为防火墙端点配置VPC流日志来配置Network Firewall日志。将日志发送到Amazon CloudWatch Logs中的日志组。
- D. 通过配置AWS CloudTrail捕获数据事件来配置Network Firewall日志。
查看题目 →
-
Q63. 一家公司正在部署一个应用程序。该应用程序以一系列容器形式实现在Amazon Elastic Container Service(Amazon ECS)集群中。该公司将为其任务使用Fargate启动类型。容器将运行需要通过SSL连接发起的连接的工作负载。流量必须能够通过私有连接从其他AWS账户流向该应用程序。随着更多消费者使用该应用程序,该应用程序必须以可管理的方式进行扩展。
- A. 为ECS服务选择网关负载均衡器(GLB)作为负载均衡器类型。创建生命周期挂钩,按需将新任务添加到Amazon ECS的目标组中以处理扩展。在服务定义中指定GLB。为外部AWS账户创建VPC对等连接。更新路由表,使AWS账户能够访问GLB。
- B. 为ECS服务选择应用负载均衡器(ALB)作为负载均衡器类型。创建基于路径的路由规则,使应用程序能够将流量定向到目标组中注册的容器。在服务定义中指定ALB。为ALB创建VPC端点服务,并与其他AWS账户共享该VPC端点服务。
- C. 为ECS服务选择应用负载均衡器(ALB)作为负载均衡器类型。创建基于路径的路由规则,使应用程序能够将流量定向到目标组中注册的容器。在服务定义中指定ALB。为外部AWS账户创建VPC对等连接。更新路由表,使AWS账户能够访问ALB。
- D. 为ECS服务选择网络负载均衡器(NLB)作为负载均衡器类型。在服务定义中指定NLB。为NLB创建VPC端点服务,并与其他AWS账户共享该VPC端点服务。
查看题目 →
-
Q64. 一家公司计划在单个AWS区域的新VPC中部署一个两层Web应用程序。该公司已为该VPC配置了互联网网关和四个子网。其中两个子网为公有子网,其默认路由指向互联网网关;另外两个子网为私有子网,共享一个不含默认路由的路由表。
该应用程序将在一组Amazon EC2实例上运行,这些实例将部署在外部应用负载均衡器(ALB)后方。EC2实例不得直接从互联网访问。该应用程序将在同一区域使用Amazon S3存储桶存储数据。EC2实例将调用S3 GET API和S3 PUT API操作。网络工程师必须设计一个VPC架构,以最小化数据传输成本。
- A. 将EC2实例部署在公有子网中。在VPC中创建S3接口型VPC端点。修改应用程序配置以使用S3端点专用DNS主机名。
- B. 将EC2实例部署在私有子网中。在VPC中创建NAT网关。在私有子网的路由表中添加指向NAT网关的默认路由。通过NAT网关连接Amazon S3。
- C. 将EC2实例部署在私有子网中。在VPC中创建S3网关型VPC端点。在端点创建过程中指定私有子网的路由表,以自动创建通往Amazon S3的路由。
- D. 将EC2实例部署在私有子网中。在VPC中创建S3接口型VPC端点。修改应用程序配置以使用S3端点专用DNS主机名。
查看题目 →
-
Q65. 一家公司在Amazon EC2实例上部署了一个新的Web应用程序。该应用程序在三个可用区的私有子网中运行,并由一个应用负载均衡器(ALB)提供服务。安全审计员要求对所有连接进行加密。该公司使用Amazon Route 53进行DNS解析,并使用AWS Certificate Manager(ACM)自动配置SSL/TLS证书。SSL/TLS连接在ALB上终止。该公司使用单个EC2实例测试应用程序,未发现任何问题。然而,在生产环境部署后,用户报告可以登录,但无法使用应用程序;每个新的Web请求都会重新启动登录流程。网络工程师应采取什么措施来解决此问题?
- A. 修改ALB监听器配置。编辑将流量转发到目标组的规则。将该规则更改为启用组级粘性(Stickiness),并将持续时间设置为应用程序会话的最大时长。
- B. 将ALB替换为网络负载均衡器(NLB)。创建一个TLS监听器。创建一个协议类型为TLS的新目标组,并向其中注册EC2实例。修改目标组配置,启用粘性属性。
- C. 修改ALB目标组配置,启用粘性属性。使用基于应用程序的Cookie,并将持续时间设置为应用程序会话的最大时长。
- D. 移除ALB。为应用程序名称创建一个Amazon Route 53故障转移路由策略。配置ACM为每个EC2实例颁发证书。
查看题目 →
-
Q66. 一家公司托管了一个Web应用程序,该程序运行在应用负载均衡器(ALB)后方的一组Amazon EC2实例上。这些实例位于一个Auto Scaling组中。该公司使用Amazon CloudFront分发,并将ALB作为其源站。该应用程序最近遭受了一次攻击。作为响应,该公司将一个AWS WAF Web ACL关联到了CloudFront分发上。该公司需要使用Amazon Athena分析AWS WAF检测到的应用程序攻击。哪种解决方案可满足此需求?
- A. 为ALB和EC2实例所在的子网配置VPC流日志。将VPC流日志配置为交付至Amazon S3存储桶以供日志分析。
- B. 在AWS CloudTrail中创建跟踪(trail)以捕获数据事件。将该跟踪配置为将日志交付至Amazon S3存储桶以供日志分析。
- C. 为AWS WAF Web ACL配置日志交付至Amazon Kinesis Data Firehose传输流。配置该传输流将数据交付至Amazon S3存储桶以供日志分析。
- D. 为ALB启用访问日志记录。将访问日志配置为交付至Amazon S3存储桶以供日志分析。
查看题目 →
-
Q67. 一家公司正在将其现有应用程序迁移到一个新的AWS账户。该公司将在单个AWS区域中使用一个VPC和多个可用区部署该应用程序。该应用程序将在Amazon EC2实例上运行,每个可用区将部署若干EC2实例,且所有EC2实例均部署在私有子网中。公司客户将使用Web浏览器通过HTTPS协议连接该应用程序。入站连接必须在可用区和EC2实例之间进行分发,且来自同一客户端会话的所有连接必须路由至同一台EC2实例。公司必须使用应用程序的SSL证书,为客户端与应用程序之间的所有连接提供端到端加密。哪种解决方案可满足这些要求?
- A. 创建一个网络负载均衡器(NLB)。创建一个目标组,将目标组协议设置为TCP,端口设置为443。启用会话亲和性(sticky sessions)。将EC2实例注册为目标。创建一个监听器,将监听器协议设置为TCP,端口设置为443。将SSL证书部署到EC2实例上。
- B. 创建一个应用负载均衡器(ALB)。创建一个目标组,将目标组协议设置为HTTP,端口设置为80。启用基于应用程序Cookie的会话亲和性(sticky sessions)。将EC2实例注册为目标。创建一个HTTPS监听器,将默认操作设置为转发至该目标组。使用AWS Certificate Manager(ACM)为该监听器创建证书。
- C. 创建一个网络负载均衡器(NLB)。创建一个目标组,将目标组协议设置为TLS,端口设置为443。启用会话亲和性(sticky sessions)。将EC2实例注册为目标。创建一个监听器,将监听器协议设置为TLS,端口设置为443。使用AWS Certificate Manager(ACM)为应用程序创建证书。
- D. 创建一个应用负载均衡器(ALB)。创建一个目标组,将目标组协议设置为HTTPS,端口设置为443。启用基于应用程序Cookie的会话亲和性(sticky sessions)。将EC2实例注册为目标。创建一个HTTP监听器,端口设置为443,并将默认操作设置为转发至该目标组。
查看题目 →
-
Q68. 一名网络工程师必须开发一个AWS CloudFormation模板,用于创建虚拟私有网关、客户网关、VPN连接以及路由表中的静态路由。在对该模板进行测试时,网络工程师注意到CloudFormation模板遇到错误并正在回滚。
- A. 更改CloudFormation模板中资源的创建顺序。
- B. 在虚拟私有网关的资源声明中添加DependsOn属性,并指定路由表条目资源。
- C. 在模板中添加等待条件(wait condition),等待虚拟私有网关创建完成。
- D. 在路由表条目的资源声明中添加DependsOn属性,并指定虚拟私有网关资源。
查看题目 →
-
Q69. 一家公司在应用负载均衡器(ALB)后方的Amazon EC2实例上托管一个Web应用程序。ALB是Amazon CloudFront分发的源站。该公司希望实现一个自定义身份验证系统,为已认证的客户提供令牌。Web应用程序必须确保在交付内容前,GET/POST请求来自已认证的客户。一名网络工程师必须设计一种解决方案,使Web应用程序能够识别已授权的客户。哪种解决方案在运维上最高效且满足这些要求?
- A. 使用ALB检查GET/POST请求有效载荷内的授权令牌。使用AWS Lambda函数插入一个自定义标头,以通知Web应用程序该请求来自已认证客户。
- B. 将AWS WAF与ALB集成,以检查GET/POST请求有效载荷内的授权令牌。配置ALB监听器插入一个自定义标头,以通知Web应用程序该请求来自已认证客户。
- C. 使用AWS Lambda@Edge函数检查GET/POST请求有效载荷内的授权令牌。同时使用Lambda@Edge函数插入一个自定义标头,以通知Web应用程序该请求来自已认证客户。
- D. 设置一台EC2实例,安装第三方数据包检测工具以检查GET/POST请求有效载荷内的授权令牌。配置该工具插入一个自定义标头,以通知Web应用程序该请求来自已认证客户。
查看题目 →
-
Q70. 一家全球快递公司正在对其车队管理系统进行现代化改造。该公司拥有多个业务部门,每个业务部门在其自己的AWS账户中设计并维护应用程序,这些应用程序托管在相同AWS区域内的独立应用VPC中。每个业务部门的应用程序均设计为从一个中心共享服务VPC获取数据。该公司希望其网络连接架构能提供细粒度的安全控制,同时在未来更多业务部门从中心共享服务VPC消费数据时具备可扩展性。哪种解决方案能以最安全的方式满足这些要求?
- A. 创建一个中心传输网关(transit gateway)。为每个应用VPC创建一个VPC附件。利用传输网关在所有VPC之间提供全网状连接。
- B. 在中心共享服务VPC与每个业务部门AWS账户中的应用VPC之间创建VPC对等连接。
- C. 在中心共享服务VPC中创建由AWS PrivateLink支持的VPC终端节点服务,并在每个应用VPC中创建VPC终端节点。
- D. 创建一个中心传输VPC,其中部署来自AWS Marketplace的VPN设备。为每个VPC创建一条到该传输VPC的VPN连接,以在所有VPC之间提供全网状连接。
查看题目 →
-
Q71. 一名网络工程师为其现有网络配置了第二条AWS Direct Connect连接。该工程师在AWS Direct Connect弹性工具包(Resiliency Toolkit)中对这两条连接运行测试,结果测试失败。在故障转移事件期间,该工程师观察到90秒的中断,之后流量才切换到备用连接。哪种解决方案可缩短故障转移所需时间?
- A. 将BGP hello计时器减小至5秒。
- B. 向连接解决方案中添加一个VPN连接,并实现快速故障转移。
- C. 在本地路由器上配置双向转发检测(BFD)。
- D. 将BGP保持时间(hold-down timer)减小至5秒。
查看题目 →
-
Q72. 一家公司的开发团队创建了一个新产品推荐Web服务。该Web服务托管在一个CIDR块为192.168.224.0/19的VPC中。该公司已在Amazon EC2实例上部署该Web服务,并将一个Auto Scaling组配置为网络负载均衡器(NLB)的目标。该公司希望开展测试,以确定接收产品推荐的用户是否比未接收推荐的用户花费更多。该公司将在5天后举办一场大型销售活动,需在此之前将其现有生产环境与推荐引擎集成。现有生产环境托管在一个CIDR块为192.168.128.0/17的VPC中。一名网络工程师必须设计一种解决方案,以最小化对现有环境的干扰,完成系统集成。哪种解决方案可满足这些要求?
- A. 在Web服务VPC与现有生产VPC之间创建一个VPC对等连接。向相应路由表添加一条路由规则,允许现有生产环境流向192.168.224.0/19,以及Web服务环境流向192.168.128.0/17。配置相关安全组和网络ACL以允许系统间通信。
- B. 请Web服务开发团队将Web服务重新部署到生产VPC中,并在该VPC内集成系统。
- C. 创建一个VPC终端节点服务,并将该VPC终端节点服务与Web服务的NLB关联。在现有生产VPC中为Web服务创建一个接口型VPC终端节点。
- D. 在现有生产环境中创建一个传输网关(transit gateway)。为生产VPC和Web服务VPC创建附件。在传输网关及VPC路由表中为192.168.224.0/19和192.168.128.0/17配置适当的路由规则。配置相关安全组和网络ACL以允许系统间通信。
查看题目 →
-
Q73. 一家公司的开发团队创建了一个新的产品推荐Web服务。该Web服务托管在CIDR块为192.168.224.0/19的VPC中。该公司已将该Web服务部署在Amazon EC2实例上,并将Auto Scaling组配置为Network Load Balancer(NLB)的目标。
该公司希望执行测试,以确定接收产品推荐的用户是否比未接收产品推荐的用户花费更多。该公司将在5天后举办一场大型销售活动,需要在此前将其现有生产环境与推荐引擎集成。现有生产环境托管在CIDR块为192.168.128.0/17的VPC中。
一名网络工程师必须通过设计一种解决方案来集成这些系统,从而对现有环境造成最小可能的干扰。
以下哪项解决方案可满足这些要求?
- A. 在Web服务VPC与现有生产VPC之间创建VPC对等连接。向适当的路由表添加一条路由规则,允许数据从现有生产环境流向192.168.224.0/19,并从Web服务环境流向192.168.128.0/17。配置相关的安全组和ACL,以允许系统相互通信。
- B. 要求Web服务的开发团队将Web服务重新部署到生产VPC中,并在那里集成系统。
- C. 创建一个VPC端点服务。将该VPC端点服务与Web服务的NLB关联。在现有生产VPC中为Web服务创建一个接口VPC端点。
- D. 在现有生产环境中创建一个Transit Gateway。为生产VPC和Web服务VPC创建附件。在Transit Gateway及VPC路由表中为192.168.224.0/19和192.168.128.0/17配置适当的路由规则。配置相关的安全组和ACL,以允许系统相互通信。
查看题目 →
-
Q74. 一家公司正在构建一个面向互联网的应用程序,该程序托管在Amazon Elastic Kubernetes Service(Amazon EKS)集群上。该公司使用Amazon VPC Container Network Interface(CNI)插件实现Pod网络连接。该公司需要通过Network Load Balancer(NLB)将应用程序暴露给互联网。承载该应用程序的Pod必须能够看到NLB接收到的原始数据包中所包含的源IP地址。网络工程师应如何配置NLB和Amazon EKS设置以实现这些目标?
- A. 为NLB指定ip目标类型。在Kubernetes服务规范中将externalTrafficPolicy属性设置为Local。
- B. 为NLB指定instance目标类型。在Kubernetes服务规范中将externalTrafficPolicy属性设置为Cluster。
- C. 为NLB指定instance目标类型。在Kubernetes服务规范中将externalTrafficPolicy属性设置为Local。
- D. 为NLB指定ip目标类型。在Kubernetes服务规范中将externalTrafficPolicy属性设置为Cluster。
查看题目 →
-
Q75. 一名网络工程师需要为高性能计算(HPC)工作负载设计架构。Amazon EC2实例需要10 Gbps流和跨多个实例高达100 Gbps的聚合吞吐量,并具备低延迟通信能力。以下哪种架构解决方案可优化此工作负载?
- A. 将节点放置在VPC的单个子网中。配置集群置放组(cluster placement group)。确保在支持的操作系统上安装最新版本的Elastic Fabric Adapter(EFA)驱动程序。
- B. 将节点放置在单个VPC中的多个子网中。配置分散置放组(spread placement group)。确保EC2实例支持Elastic Network Adapters(ENAs),并在每个实例操作系统上更新驱动程序。
- C. 将节点放置在多个VPC中。使用AWS Transit Gateway在VPC之间路由流量。确保在支持的操作系统上安装最新版本的Elastic Fabric Adapter(EFA)驱动程序。
- D. 将节点放置在多个可用区中的多个子网中。配置集群置放组(cluster placement group)。确保EC2实例支持Elastic Network Adapters(ENAs),并在每个实例操作系统上更新驱动程序。
查看题目 →
-
Q76. 一家公司将应用程序托管在Application Load Balancer后方的Amazon EC2实例上。这些实例位于Amazon EC2 Auto Scaling组中。由于最近对安全组的一次更改,外部用户无法访问该应用程序。
一名网络工程师需要防止此类停机事件再次发生。该网络工程师必须实施一种解决方案,以自动修复不符合合规要求的安全组变更。
以下哪项解决方案可满足这些要求?
- A. 配置Amazon GuardDuty以检测期望的安全组配置与当前安全组配置之间的不一致。创建一个AWS Systems Manager Automation runbook以修复不符合要求的安全组。
- B. 配置AWS Config规则以检测期望的安全组配置与当前安全组配置之间的不一致。配置AWS OpsWorks for Chef以修复不符合要求的安全组。
- C. 配置Amazon GuardDuty以检测期望的安全组配置与当前安全组配置之间的不一致。配置AWS OpsWorks for Chef以修复不符合要求的安全组。
- D. 配置AWS Config规则以检测期望的安全组配置与当前安全组配置之间的不一致。创建一个AWS Systems Manager Automation runbook以修复不符合要求的安全组。
查看题目 →
-
Q77. 一家公司在多个VPC中运行工作负载。该公司需要从本地数据中心安全访问其中一个名为VPC-A的VPC中的工作负载。一名网络工程师设置了指向Transit Gateway的AWS Site-to-Site VPN连接。该网络工程师为该连接配置了动态路由,且通信正常。最近,VPC-A的所有者向该VPC添加了另一个CIDR范围。VPC-A所有者创建了使用该附加CIDR范围的工作负载。该公司本地网络无法访问这些新工作负载。该网络工程师需要解决网络连接问题,并确保未来向VPC添加额外VPC CIDR范围时,连接性不会受到影响。以下哪项解决方案能以最高的运维效率满足这些要求?
- A. 为VPC-A配置到VPN附件路由表的路由传播。
- B. 手动更新VPN附件路由表以包含新的CIDR范围。
- C. 配置一个Amazon EventBridge规则,在匹配VPC-A CIDR范围更新时调用AWS Lambda函数。配置该Lambda函数以更新VPN附件路由表。
- D. 配置一个Amazon CloudWatch告警,在VPC-A CIDR范围更新时调用AWS Lambda函数。配置该Lambda函数以更新VPN附件路由表。重启VPN隧道。
查看题目 →
-
Q78. 一家在线零售公司在美国东部2区(us-east-2)运行一个Web应用程序,服务于美国消费者。该公司计划扩展至欧洲多个国家,并希望为其所有用户提供低延迟体验。该应用程序需要识别用户的IP地址,并根据用户的地理位置提供本地化内容。该应用程序使用HTTP GET和POST方法实现其功能。该公司还需要开发一种故障转移机制,该机制需支持GET和POST方法,并基于健康检查。所有客户端的故障转移必须在1分钟内完成。以下哪项解决方案可满足这些要求?
- A. 在新AWS区域的每个环境中为应用程序配置Network Load Balancer(NLB)。创建一个AWS Global Accelerator加速器,其端点组指向各区域中的NLB。
- B. 在新AWS区域的每个环境中为应用程序配置Application Load Balancer(ALB)。创建一个AWS Global Accelerator加速器,其端点组指向各区域中的ALB。
- C. 在新AWS区域的每个环境中为应用程序配置Application Load Balancer(ALB)。创建具有故障转移路由策略的Amazon Route 53公有托管域。
- D. 在新AWS区域的每个环境中为应用程序配置Network Load Balancer(NLB)。创建一个Amazon CloudFront分发。配置一个带有源故障转移选项的源组。
查看题目 →
-
Q79. 一家公司正在开发一个应用程序,其中物联网(IoT)设备将向AWS云报告测量数据。该应用程序将拥有数百万终端用户。该公司观察到,IoT设备不支持DNS解析。该公司需要实施一个Amazon EC2 Auto Scaling解决方案,使IoT设备能够在不使用DNS的情况下连接到应用程序端点。
以下哪项解决方案最符合成本效益地满足这些要求?
- A. 为Network Load Balancer(NLB)使用Application Load Balancer(ALB)类型的目标组。创建一个EC2 Auto Scaling组。将Auto Scaling组附加到ALB。设置IoT设备连接到NLB的IP地址。
- B. 使用带有Application Load Balancer(ALB)端点的AWS Global Accelerator加速器。创建一个EC2 Auto Scaling组。将Auto Scaling组附加到ALB。设置IoT设备连接到加速器的IP地址。
- C. 使用Network Load Balancer(NLB)。创建一个EC2 Auto Scaling组。将Auto Scaling组附加到NLB。设置IoT设备连接到NLB的IP地址。
- D. 使用带有Network Load Balancer(NLB)端点的AWS Global Accelerator加速器。创建一个EC2 Auto Scaling组。将Auto Scaling组附加到NLB。设置IoT设备连接到加速器的IP地址。
查看题目 →
-
Q80. 一家公司将其应用程序服务器运行在Amazon EC2实例上。这些EC2实例运行在由Transit Gateway连接的独立VPC中。EC2实例启动于私有子网中,该子网具有指向Transit Gateway的路由,用于内部和外部连接。外部连接由一个配备防火墙设备的VPC提供,这些防火墙设备对经由Internet Gateway进出的数据包执行检查。
一名网络工程师需要帮助该公司应用程序团队提高EC2实例之间每数据包交付的有效载荷大小。所有网络连接必须通过Transit Gateway。
为满足这些要求,该网络工程师应执行什么操作?
- A. 在Transit Gateway上启用巨型帧(jumbo frames)。指示应用程序团队将系统网络接口的最大传输单元(MTU)设置为9001字节。
- B. 指示应用程序团队将VPC的MTU设置为8500字节。
- C. 指示应用程序团队通过增强型网络适配器启用增强型网络。将最大传输单元(MTU)设置为9001字节。
- D. 指示应用程序团队将系统网络接口的最大传输单元(MTU)设置为8500字节。
查看题目 →
-
Q81. 一家公司已部署软件定义广域网(SD-WAN)解决方案以互连其所有办公地点。该公司正在将工作负载迁移到 AWS,并需要扩展其 SD-WAN 解决方案以支持与这些工作负载的连接。一名网络工程师计划部署 AWS Transit Gateway Connect 和两台 SD-WAN 虚拟设备来提供此连接。根据公司策略,任意时刻仅允许一台 SD-WAN 虚拟设备处理来自 AWS 工作负载的流量。网络工程师应如何配置路由以满足这些要求?
- A. 在传输网关路由表中添加一条静态默认路由,指向备用 SD-WAN 虚拟设备。再添加更具体的路由,指向主用 SD-WAN 虚拟设备。
- B. 在主用 SD-WAN 虚拟设备上为发往传输网关的 BGP 路由配置 BGP 社区标签 7224:7300。
- C. 在备用 SD-WAN 虚拟设备上为发往传输网关的 BGP 路由配置 AS_PATH prepend 属性。
- D. 在传输网关上为 Transit Gateway Connect 禁用等价多路径(ECMP)路由。
查看题目 →
-
Q82. 一家公司拥有关键 VPC 工作负载,这些工作负载通过两条冗余的主-被动 AWS Direct Connect 连接连接到本地数据中心。然而,最近一次其中一条 Direct Connect 连接发生中断,发现流量故障转移到备用 Direct Connect 连接耗时超过一分钟。该公司希望将故障转移时间从分钟级缩短至秒级。
以下哪种解决方案可最大程度减少 BGP 故障转移时间?
- A. 减小 Direct Connect 连接 VIF 上 BGP 会话配置的 BGP 保持定时器(hold-down timer)。
- B. 为 Direct Connect 连接状态配置 Amazon CloudWatch 告警,以调用 AWS Lambda 函数执行流量故障转移。
- C. 在 AWS 端的 Direct Connect 连接上配置双向转发检测(BFD)。
- D. 在本地路由器上的 Direct Connect 连接上配置双向转发检测(BFD)。
- E.
查看题目 →
-
Q83. 一家公司拥有在家办公的用户。该公司希望将这些用户迁移至 Amazon WorkSpaces,以增强安全可见性。
该公司已在自己的 AWS 账户中、VPC A 内部署了 WorkSpaces。一名网络工程师决定通过在网关负载均衡器(GWLB)后部署两台防火墙设备来实现安全可见性。该网络工程师在另一个账户中预置了另一个 VPC(VPC B),并在不同可用区中分别部署了这两台防火墙设备。
网络工程师应如何为此解决方案配置网络连接?
- A. 在 VPC A 中创建 GWLB,以防火墙设备实例为目标。使用 GWLB 创建 GWLB 终端节点。将 WorkSpaces 账户的 AWS 主体 ARN 添加到 GWLB 终端节点的主体允许列表中。在 WorkSpaces 账户中创建 VPC 终端节点,并指定 AWS 管理控制台为 GWLB 终端节点提供的服务名称。修改 VPC A 的路由表,将默认路由指向该 VPC 终端节点。
- B. 在 VPC B 中创建 GWLB,以防火墙设备实例为目标。使用 GWLB 创建 GWLB 终端节点。将 WorkSpaces 账户的 AWS 主体 ARN 添加到 GWLB 终端节点的主体允许列表中。在 WorkSpaces 账户中创建 VPC 终端节点,并指定 AWS 管理控制台为 GWLB 终端节点提供的服务名称。修改 VPC A 的路由表,将默认路由指向 GWLB 终端节点。
- C. 在 VPC B 中创建 GWLB,以防火墙设备实例为目标。使用 GWLB 创建 GWLB 终端节点。将 WorkSpaces 账户的 AWS 主体 ARN 添加到 GWLB 终端节点的主体允许列表中。在 WorkSpaces 账户中创建 VPC 终端节点,并指定 AWS 管理控制台为 GWLB 终端节点提供的服务名称。修改 VPC A 的路由表,将 WorkSpaces 子网指向该 VPC 终端节点。
- D. 在 VPC B 中创建 GWLB,以防火墙设备实例为目标。使用 GWLB 创建 GWLB 终端节点。将包含防火墙设备的账户的 AWS 主体 ARN 添加到 GWLB 终端节点的主体允许列表中。在 WorkSpaces 账户中创建 VPC 终端节点,并指定 AWS 管理控制台为 GWLB 终端节点提供的服务名称。修改 VPC A 的路由表,将默认路由指向该 VPC 终端节点。
查看题目 →
-
Q84. 一家公司的 AWS 架构包含多个 VPC。这些 VPC 包括一个共享服务 VPC 和多个应用 VPC。该公司已建立从所有 VPC 到本地 DNS 服务器的网络连接。
部署在应用 VPC 中的应用程序必须能够解析本地托管的内部域名。应用程序还必须能够解析本地 VPC 域名以及托管在 Amazon Route 53 私有托管区域中的域名。
网络工程师应如何操作以满足这些要求?
- A. 在共享服务 VPC 中创建一个新的 Route 53 Resolver 入站终端节点。为本地托管的域名创建转发规则。将这些规则与新的 Resolver 终端节点及每个应用 VPC 关联。更新每个应用 VPC 的 DHCP 配置,使其 DNS 解析指向该新的 Resolver 终端节点。
- B. 在共享服务 VPC 中创建一个新的 Route 53 Resolver 出站终端节点。为本地托管的域名创建转发规则。将这些规则与新的 Resolver 终端节点及每个应用 VPC 关联。
- C. 在共享服务 VPC 中创建一个新的 Route 53 Resolver 出站终端节点。为本地托管的域名创建转发规则。将这些规则与新的 Resolver 终端节点及每个应用 VPC 关联。更新每个应用 VPC 的 DHCP 配置,使其 DNS 解析指向该新的 Resolver 终端节点。
- D. 在共享服务 VPC 中创建一个新的 Route 53 Resolver 入站终端节点。为本地托管的域名创建转发规则。将这些规则与新的 Resolver 终端节点及每个应用 VPC 关联。
查看题目 →
-
Q85. 一家公司在美国东部 1 区(us-east-1)和亚太南部 1 区(ap-south-1)为其业务单元(BU)开展业务。这些业务单元命名为 BU-1 和 BU-Z。每个 BU 在 us-east-1 中有两个 VPC,在 ap-south-1 中有一个 VPC。由于工作负载隔离要求,资源可在同一 BU 内通信,但不能与另一 BU 中的资源通信。该公司计划增加更多 BU 并扩展至更多区域。以下哪种解决方案能以最高运维效率满足这些要求?
- A. 配置一个在所需区域运行的 AWS Cloud WAN 网络。将所有 BU 的 VPC 附加到 AWS Cloud WAN 核心网络。更新 AWS Cloud WAN 分段操作,配置新路由以拒绝不同 BU 分段之间的流量。
- B. 在每个区域配置一个传输网关。在传输网关之间配置对等连接。将 BU 的 VPC 附加到对应区域的传输网关。配置传输网关和 VPC 路由表,以隔离 BU VPC 之间的流量。
- C. 配置一个在所需区域运行的 AWS Cloud WAN 网络。将所有 BU 的 VPC 附加到 AWS Cloud WAN 核心网络。通过为每个分段设置 isolate-attachments 参数来更新核心网络策略。
- D. 配置一个在所需区域运行的 AWS Cloud WAN 网络。为每个 BU 创建 AWS Cloud WAN 分段。为每个 BU 的 VPC 配置对应的 BU 分段的 VPC 附件。
查看题目 →
-
Q86. 一家公司拥有一个高可用性应用程序,该应用托管在多个 VPC 及两个本地数据中心中。所有 VPC 均位于同一 AWS 区域。所有 VPC 均需彼此互通,并需与本地数据中心连接以传输大小达数 GB 的文件。一名网络工程师正在设计 AWS Direct Connect 解决方案,以将本地数据中心连接至每个 VPC。以下哪种架构能以最少的运维开销满足公司的要求?
- A. 在该区域的每个 VPC 中配置虚拟私有网关和私有虚拟接口(VIF)。配置 Direct Connect 网关。将每个 VPC 的 VIF 关联至 Direct Connect 网关。创建一个新的私有 VIF,将 Direct Connect 网关连接至每个本地数据中心。配置该新私有 VIF 与本地数据中心交换 BGP 路由,并将 MTU 设置为 9001。在各 VPC 之间使用 VPC 对等连接。在每个 VPC 中配置静态路由以提供 VPC 间路由。
- B. 在该区域的每个 VPC 中配置虚拟私有网关和私有虚拟接口(VIF)。配置 Direct Connect 网关。将每个 VPC 的 VIF 关联至 Direct Connect 网关。创建一个新的私有 VIF,将 Direct Connect 网关连接至每个本地数据中心。配置该新私有 VIF 与本地数据中心交换 BGP 路由,并将 MTU 设置为 8500。在各 VPC 之间使用 VPC 对等连接。在每个 VPC 中配置静态路由以提供 VPC 间路由。
- C. 在每个 VPC 所在的同一区域中配置传输网关。将每个 VPC 附加到传输网关。配置 Direct Connect 网关。将 Direct Connect 网关与传输网关关联。将每个 Direct Connect 连接关联一个新的传输 VIF。配置该新传输 VIF 交换 BGP 路由并将 MTU 设置为 9001。在每个 VPC 与传输网关之间配置路由传播。
- D. 在每个 VPC 所在的同一区域中配置传输网关。将每个 VPC 附加到传输网关。配置 Direct Connect 网关。将 Direct Connect 网关与传输网关关联。将每个 Direct Connect 连接关联一个新的传输 VIF。配置该新传输 VIF 交换 BGP 路由并将 MTU 设置为 8500。在每个 VPC 与传输网关之间配置路由传播。
查看题目 →
-
Q87. 一家公司需要临时扩展本地应用程序的容量,并希望在 Amazon EC2 实例上部署新服务器。一名网络工程师必须为 AWS 上的连接及应用程序设计网络解决方案。
EC2 实例需要与本地数据中心中的现有服务器共享数据。这些服务器不得从互联网访问。所有出站互联网流量必须经由本地数据中心的防火墙路由。这些服务器必须能够访问第三方 Web 应用程序。
以下哪种配置能满足这些要求?
- A. 创建一个具有公有子网和私有子网的 VPC。创建客户网关、虚拟私有网关和 AWS Site-to-Site VPN 连接。在公有子网中创建 NAT 网关。创建一个路由表,并将公有子网与此路由表关联。添加一条默认路由指向互联网网关。创建一个路由表,并将私有子网与此路由表关联。添加一条默认路由指向 NAT 网关。为数据中心子网添加指向虚拟私有网关的路由。将应用程序部署到私有子网。
- B. 创建一个仅含私有子网的 VPC。创建客户网关、虚拟私有网关和 AWS Site-to-Site VPN 连接。创建一个路由表,并将私有子网与此路由表关联。添加一条默认路由指向虚拟私有网关。将应用程序部署到私有子网。
- C. 创建一个仅含公有子网的 VPC。创建客户网关、虚拟私有网关和 AWS Site-to-Site VPN 连接。创建一个路由表,并将公有子网与此路由表关联。添加一条默认路由指向互联网网关。为本地数据中心子网添加指向虚拟私有网关的路由。将应用程序部署到公有子网。
- D. 创建一个具有公有子网和私有子网的 VPC。创建客户网关、虚拟私有网关和 AWS Site-to-Site VPN 连接。创建一个路由表,并将公有子网与此路由表关联。添加一条默认路由指向互联网网关。创建一个路由表,并将私有子网与此路由表关联。为本地数据中心子网添加指向虚拟私有网关的路由。将应用程序部署到私有子网。
查看题目 →
-
Q88. 一家公司已同意与合作伙伴合作开展一项研究项目。该公司在 us-east-1 区域拥有多个 VPC,其 CIDR 块属于 10.10.0.0/16 范围。这些 VPC 通过名为 TGW-C 的传输网关在 us-east-1 中互连。TGW-C 的自治系统编号(ASN)配置值为 64520。合作伙伴在 us-east-1 区域也拥有多个 VPC,其 CIDR 块属于 172.16.0.0/16 范围。这些 VPC 通过名为 TGW-P 的传输网关在 us-east-1 中互连。TGW-P 的 ASN 配置值为 64530。一名网络工程师需要在 us-east-1 中建立公司 VPC 与合作伙伴 VPC 之间的网络连接。以下哪种解决方案能在对双方网络改动最小的前提下满足这些要求?
- A. 在新账户中创建一个新 VPC。部署 AWS Marketplace 中的路由器。使用 AWS Resource Access Manager(AWS RAM)将 TGW-C 和 TGW-P 共享给新账户。将 TGW-C 和 TGW-P 关联至新 VPC。在新 VPC 中配置路由器以在 TGW-C 和 TGW-P 之间路由。
- B. 在 TGW-C 和 TGW-P 之间创建 IPsec VPN 连接。配置传输网关之间的路由以使用该 IPsec VPN 连接。
- C. 在 TGW-C 和 TGW-P 之间配置跨账户传输网关对等连接附件。配置传输网关之间的路由以使用该对等连接附件。
- D. 使用 AWS Resource Access Manager(AWS RAM)将 TGW-C 共享给合作伙伴账户。将合作伙伴 VPC 关联至 TGW-C。在合作伙伴 VPC 和 TGW-C 中配置路由。
查看题目 →
-
Q89. 一家公司计划使用AWS Transit Gateway中心辐射型架构迁移到AWS。当前本地多协议标签交换(MPLS)网络具有严格的控制措施,通过使用MPLS VPN强制实施网络分段。该公司已配置两条10 Gbps AWS Direct Connect连接,以提供弹性、高速、低延迟的AWS连接。一名安全工程师需要将网络分段概念应用到AWS环境中,以确保公司各软件开发环境的虚拟路由和转发(VRF)在逻辑上相互隔离。MPLS VPN数量未来将增加。本地MPLS VPN将存在重叠的地址空间。公司的AWS网络设计必须支持VPN的地址空间重叠。哪种解决方案能以最低的运维开销满足这些要求?
- A. 在Transit Gateway Connect VPC中部署软件定义广域网(SD-WAN)头端虚拟设备和SD-WAN控制器。配置公司边缘路由器由新的SD-WAN控制器管理,并使用SD-WAN将流量分割为公司各开发环境定义的网段。
- B. 为每个MPLS VPN及公司各开发环境,在公司边缘路由器上配置IPsec VPN。将每个IPsec VPN隧道连接至独立的MPLS VPN。为每个MPLS VPN配置终止于Transit Gateway的AWS站点到站点VPN连接。配置匹配每个Transit Gateway VPN附件对应MPLS VPN的Transit Gateway路由表。
- C. 创建一个终止于AWS站点到站点VRF感知IPsec VPN的Transit VPC。为公司各开发环境VRF配置到每个VPC的IPsec VPN连接。
- D. 在公司边缘路由器与Transit Gateway之间,为每个MPLS VPN配置Transit Gateway Connect附件。为公司各开发环境配置匹配对应MPLS VPN的Transit Gateway路由表。
查看题目 →
-
Q90. 一家全球性公司正在建立其主数据中心、备用数据中心与VPC之间的网络连接。一名网络工程师需要最大化连接的弹性和容错能力。网络带宽必须大于10 Gbps。哪种解决方案能以最具成本效益的方式满足这些要求?
- A. 在主数据中心设置一条100 Gbps连接,终止于AWS Direct Connect接入点。在备用数据中心设置第二条100 Gbps连接,终止于第二个Direct Connect接入点。确保这两条连接由不同服务商管理。
- B. 在主数据中心设置一条10 Gbps连接,终止于AWS Direct Connect接入点。在备用数据中心设置第二条10 Gbps连接,终止于第二个Direct Connect接入点。确保这两条连接由不同服务商管理。
- C. 在主数据中心设置两条10 Gbps连接,均终止于同一AWS Direct Connect接入点。确保这两条连接由不同服务商管理。在备用数据中心设置两条10 Gbps连接,均终止于第二个Direct Connect接入点。确保这两条连接由不同服务商管理。
- D. 在主数据中心设置一条10 Gbps连接,终止于AWS Direct Connect接入点。在备用数据中心设置一条AWS站点到站点VPN连接,终止于与公司VPC同区域的虚拟私有网关。
查看题目 →
-
Q91. 一名网络工程师需要为运行Linux网络设备的Amazon EC2 Auto Scaling组设置高可用架构。
该网络工程师正在为Auto Scaling组配置新的启动模板。
除主网络接口外,该网络设备还需要第二个网络接口,专门用于应用程序与互联网主机交换流量。公司已设置了一个包含弹性IP地址的自带IP(BYOIP)池,该弹性IP地址应作为第二个网络接口的公网IP地址。
网络工程师如何实现所需的架构?
- A. 在启动模板中配置两个网络接口。将主网络接口定义为在某个私有子网中创建。对于第二个网络接口,选择一个公有子网。选择BYOIP池ID作为公网IP地址来源。
- B. 在启动模板中将主网络接口配置在私有子网中。使用用户数据选项,在实例启动后运行cloud-init脚本以附加第二个网络接口(来自启用自动分配公网IP的子网)。
- C. 创建一个AWS Lambda函数,作为Auto Scaling组在实例启动时的生命周期钩子。在Lambda函数中,将网络接口分配给AWS Global Accelerator端点。
- D. 在创建Auto Scaling组期间,为主网络接口选择子网。使用用户数据选项运行cloud-init脚本来分配第二个网络接口,并从BYOIP池关联弹性IP地址。
查看题目 →
-
Q92. 一家保险公司正计划将其工作负载从本地数据中心迁移到AWS云。该公司要求端到端域名解析。必须在AWS与现有本地环境之间建立双向DNS解析。工作负载将迁移到多个VPC中。工作负载彼此间存在依赖关系,并非所有工作负载会同时迁移。
哪种解决方案能满足这些要求?
- A. 为每个应用VPC配置私有托管域,并创建必需的记录。在出口VPC中创建一组Amazon Route 53 Resolver入站和出站端点。定义Route 53 Resolver规则,将针对本地域的请求转发至本地DNS解析器。将应用VPC私有托管域与出口VPC关联,并使用AWS Resource Access Manager将Route 53 Resolver规则共享给应用账户。配置本地DNS服务器将云域请求转发至Route 53入站端点。
- B. 为每个应用VPC配置公有托管域,并创建必需的记录。在出口VPC中创建一组Amazon Route 53 Resolver入站和出站端点。定义Route 53 Resolver规则,将针对本地域的请求转发至本地DNS解析器。将应用VPC私有托管域与出口VPC关联,并使用AWS Resource Access Manager将Route 53 Resolver规则共享给应用账户。配置本地DNS服务器将云域请求转发至Route 53入站端点。
- C. 为每个应用VPC配置私有托管域,并创建必需的记录。在出口VPC中创建一组Amazon Route 53 Resolver入站和出站端点。定义Route 53 Resolver规则,将针对本地域的请求转发至本地DNS解析器。将应用VPC私有托管域与出口VPC关联,并使用AWS Resource Access Manager将Route 53 Resolver规则共享给应用账户。配置本地DNS服务器将云域请求转发至Route 53出站端点。
- D. 为每个应用VPC配置私有托管域,并创建必需的记录。在出口VPC中创建一组Amazon Route 53 Resolver入站和出站端点。定义Route 53 Resolver规则,将针对本地域的请求转发至本地DNS解析器。将Route 53出站规则与应用VPC关联,并使用AWS Resource Access Manager共享私有托管域给应用账户。配置本地DNS服务器将云域请求转发至Route 53入站端点。
查看题目 →
-
Q93. 一家公司计划将其关键工作负载从本地数据中心迁移到Amazon EC2实例。该计划包括一条新的10 Gbps AWS Direct Connect专用连接,从本地数据中心连接至一个附加到Transit Gateway的VPC。迁移必须通过本地数据中心与AWS云之间加密路径完成。
哪种解决方案能在满足这些要求的同时提供最高吞吐量?
- A. 在Direct Connect连接上配置公有虚拟接口(VIF)。将AWS站点到站点VPN连接配置为Transit Gateway上的VPN附件。
- B. 在Direct Connect连接上配置中转虚拟接口(VIF)。配置一条IPsec VPN连接至运行第三方VPN软件的EC2实例。
- C. 为Direct Connect连接配置MACsec。配置一条中转VIF至与Transit Gateway关联的Direct Connect网关。
- D. 在Direct Connect连接上配置公有虚拟接口(VIF)。配置两条AWS站点到站点VPN连接至Transit Gateway。启用等价多路径(ECMP)路由。
查看题目 →
-
Q94. 一家公司在Application Load Balancer后部署了一款关键应用,运行于一组Amazon EC2实例之上。该应用必须始终可通过公网互联网在端口443上访问。该应用最近因EC2安全组的错误变更导致一次中断。
一名网络工程师需要自动化验证每当安全组发生变更时,公网互联网与EC2实例之间的网络连通性。该解决方案还必须在变更影响连接时通知网络工程师。
哪种解决方案能满足这些要求?
- A. 在每个EC2实例的弹性网络接口上启用VPC流日志,捕获端口443上的REJECT流量。将流日志记录发布到Amazon CloudWatch Logs中的日志组。为拒绝流量的日志组创建CloudWatch Logs指标筛选器。创建告警以通知网络工程师。
- B. 在每个EC2实例的弹性网络接口上启用VPC流日志,捕获端口443上的所有流量。将流日志记录发布到Amazon CloudWatch Logs中的日志组。为所有流量的日志组创建CloudWatch Logs指标筛选器。创建告警以通知网络工程师。
- C. 在端口443上创建VPC可达性分析路径。指定安全组为源,EC2实例为目标。创建Amazon Simple Notification Service(Amazon SNS)主题,当安全组变更影响连接时通知网络工程师。创建AWS Lambda函数以启动可达性分析,并在分析失败时向SNS主题发布消息。创建Amazon EventBridge(Amazon CloudWatch Events)规则,在安全组变更时触发Lambda函数。
- D. 在端口443上创建VPC可达性分析路径。指定VPC的互联网网关为源,EC2实例为目标。创建Amazon Simple Notification Service(Amazon SNS)主题,当安全组变更影响连接时通知网络工程师。创建AWS Lambda函数以启动可达性分析,并在分析失败时向SNS主题发布消息。创建Amazon EventBridge(Amazon CloudWatch Events)规则,在安全组变更时触发Lambda函数。
查看题目 →
-
Q95. 一家银行公司拥有一款应用,该应用必须从VPC连接至特定公网IP地址。一名网络工程师已在与该应用子网关联的路由表中配置了路由,通过互联网网关将所需公网IP地址指向目标。该网络工程师需要设置电子邮件通知,以便在用户向该应用子网的路由表添加以互联网网关为目标的默认路由时发出警报。哪种解决方案能以最少的实施工作量满足这些要求?
- A. 创建一个AWS Lambda函数,读取路由表中的路由并发送电子邮件通知。配置该Lambda函数,当检测到任何指向互联网网关的0.0.0.0/0或::/0 CIDR路由时发送邮件通知。配置该Lambda函数每分钟运行一次。
- B. 创建一个AWS Lambda函数,由Amazon EC2 CreateRoute API调用触发。配置该Lambda函数发送电子邮件通知。配置该Lambda函数,当检测到任何指向互联网网关的0.0.0.0/0或::/0 CIDR路由时发送邮件通知。
- C. 使用internet-gateway-authorized-vpc-only托管规则为路由表创建AWS Config规则。创建一个Amazon EventBridge规则,匹配该AWS Config规则并将事件路由至Amazon Simple Notification Service(Amazon SNS)主题以发送电子邮件通知。
- D. 使用no-unrestricted-route-to-igw托管规则为路由表创建AWS Config规则。创建一个Amazon EventBridge规则,匹配该AWS Config规则并将事件路由至Amazon Simple Notification Service(Amazon SNS)主题以发送电子邮件通知。
查看题目 →
-
Q96. 一家公司在AWS Organizations中拥有多个AWS账户。该公司已在网络专用AWS账户中部署了Amazon VPC IP Address Manager(IPAM)。该公司正使用AWS Resource Access Manager(AWS RAM)将IPAM池共享给其他AWS账户。该公司创建了一个顶级池,CIDR块为10.0.0.0/8。针对每个AWS账户,该公司在顶级池内创建了一个IPAM池。一名网络工程师需要实施一种解决方案,确保各AWS账户中的用户无法创建新VPC。该解决方案还必须防止用户将CIDR块关联至现有VPC,除非该CIDR块来自该账户的IPAM池。
- A. 创建一个新的AWS Config规则,查找所有未配置为从IPAM池分配其CIDR块的VPC。调用AWS Lambda函数删除这些VPC。
- B. 在Organizations中创建一个新的服务控制策略(SCP)。添加一个条件,当Ipv4IpamPoolId上下文键值不等于IPAM池ID时,拒绝CreateVpc和AssociateVpcCidrBlock Amazon EC2操作。
- C. 创建一个AWS Lambda函数,检查并删除所有未配置为从IPAM池分配其CIDR块的VPC。定期调用该Lambda函数。
- D. 创建一个Amazon EventBridge规则,检查AWS CloudTrail中CreateVpc和AssociateVpcCidrBlock Amazon EC2操作事件。使用该规则调用AWS Lambda函数,删除所有未配置为从IPAM池分配其CIDR块的VPC。
查看题目 →
-
Q97. 一家公司部署了有状态安全设备,这些设备位于集中式共享服务VPC的多个可用区中。AWS环境包含一个已连接至应用VPC和共享服务VPC的中转网关(Transit Gateway)。应用VPC中的工作负载部署在跨多个可用区的私有子网中。共享服务VPC中的有状态设备负责检查所有东西向(VPC到VPC)流量。
用户报告称,跨不同可用区的VPC间流量出现丢包现象。网络工程师通过在不同应用VPC中跨可用区的工作负载之间发起Internet控制消息协议(ICMP)ping验证了该问题。网络工程师已排除安全组、有状态设备配置和网络ACL作为丢包原因。
导致流量丢包的根本原因是什么?
- A. 有状态设备和中转网关附件部署在共享服务VPC中一个独立的子网中。
- B. 未在中转网关与共享服务VPC的附件上启用设备模式(Appliance Mode)。
- C. 有状态设备和中转网关附件部署在共享服务VPC中的同一子网中。
- D. 未在中转网关与应用VPC的附件上启用设备模式(Appliance Mode)。
- E.
查看题目 →
-
Q98. 一家全球快递公司正在对其车队管理系统进行现代化改造。该公司拥有多个业务部门,每个业务部门设计并维护其自身AWS账户中的应用程序,这些应用程序托管在同一AWS区域内的独立应用VPC中。每个业务部门的应用程序均需从中央共享服务VPC获取数据。该公司希望网络连接架构能提供细粒度的安全控制,并能在未来更多业务部门接入中央共享服务VPC时具备良好的可扩展性。哪种解决方案能以最高安全性满足这些需求?
- A. 创建一个中央中转网关(Transit Gateway),为每个应用VPC创建VPC附件,并利用该中转网关实现所有VPC之间的全网状连接。
- B. 在中央共享服务VPC与每个业务部门AWS账户中的应用VPC之间创建VPC对等连接(VPC peering connections)。
- C. 在中央共享服务VPC中创建由AWS PrivateLink支持的VPC端点服务(VPC endpoint services),并在每个应用VPC中创建VPC端点(VPC endpoints)。
- D. 创建一个中央中转VPC,并从AWS Marketplace部署VPN设备;再为每个VPC创建指向该中转VPC的VPN附件,从而在所有VPC之间提供全网状连接。
- E.
查看题目 →
-
Q99. 一家全球性公司在三个AWS区域(eu-west-1、us-east-1和us-west-1)运行全部非生产环境。其所有生产工作负载均部署在两个本地数据中心。该公司拥有60个AWS账户,每个账户在每个区域中均有2个VPC。每个VPC均配置了一个虚拟私有网关(Virtual Private Gateway),并终止两条VPN连接以实现与数据中心的弹性连接。该公司每个数据中心共有360条VPN隧道,导致极高的管理开销。每个区域的总VPN吞吐量为500 Mbps。该公司计划将生产环境迁移至AWS,并需要一种能简化网络架构并支持未来增长的解决方案。生产环境迁移后,每个区域将额外产生2 Gbps回传至数据中心的流量,且该流量将持续增长。哪种解决方案能满足这些需求?
- A. 为每个数据中心到每个区域的AWS分别设置AWS Direct Connect连接;为单个Direct Connect网关创建并附加私有虚拟接口(private VIFs);将Direct Connect网关附加至所有VPC;移除直接连接至虚拟私有网关的现有VPN连接。
- B. 创建一个单一中转网关(Transit Gateway),并从每个数据中心建立VPN连接;使用AWS资源访问管理器(AWS RAM)将该中转网关共享给各账户;将中转网关附加至每个VPC;移除直接连接至虚拟私有网关的现有VPN连接。
- C. 在每个区域分别创建一个中转网关,并从每个数据中心新建多条VPN连接;使用AWS资源访问管理器(AWS RAM)将各区域的中转网关共享给各账户;在每个区域中将中转网关附加至每个VPC;移除直接连接至虚拟私有网关的现有VPN连接。
- D. 将每个区域内的所有VPC与其区域内新建的一个VPC进行对等连接,该新VPC将作为集中式中转VPC;从每个数据中心新建VPN连接至这些中转VPC;终止所有原始VPC上原有的VPN连接;保留每个区域中新中转VPC上的新VPN连接。
- E.
查看题目 →
-
Q100. 一家公司有两个业务部门(BU)。该公司运营于us-east-1和us-west-1区域,并计划未来扩展至更多区域。每个BU在每个区域均拥有一个VPC。每个区域均部署有一个中转网关(Transit Gateway),并已附加各BU的VPC。两个区域的中转网关已相互对等连接。该公司未来将创建多个新BU,并需将部分BU与其他BU隔离。该公司希望迁移到一种可支持更多区域和BU的架构。哪种解决方案能以最高运维效率满足这些需求?
- A. 在每个区域为每个新BU创建一个新的中转网关,并将新中转网关与现有中转网关对等连接;更新路由表以控制BU间的流量。
- B. 创建一个AWS Cloud WAN核心网络,并在两个区域均配置边缘位置;为每个BU配置一个Segment,并将新BU的VPC附加至该Segment;使用Segment Actions控制Segment间的流量。
- C. 创建一个AWS Cloud WAN核心网络,并在两个区域均配置边缘位置;为每个BU配置一个Segment,并将新BU的VPC附加至该Segment;配置Segments以隔离附件(isolate attachments)来控制Segment间的流量。
- D. 将新VPC附加至现有中转网关;更新路由表以控制BU间的流量。
- E.
查看题目 →