Q10 — AWS ANS-C01 第1章

第 10/100 题 | ← 返回第1章

一家公司正在其VPC中部署第三方防火墙设备,以实现流量检查和NAT功能。该VPC已配置私有子网和公有子网。公司需要将防火墙设备部署在负载均衡器之后。 哪种架构能以最低成本满足这些要求?

正确答案: B. 部署Gateway Load Balancer(GLB),并将防火墙设备作为目标。将防火墙设备配置为使用两个网络接口:一个位于私有子网,另一个位于公有子网。利用防火墙设备上的NAT功能,在完成流量检查后将流量发送至互联网。

解析

为满足公司在VPC中部署第三方防火墙设备以实现流量检查和NAT功能的需求,并将这些设备置于负载均衡器之后,需选择最具成本效益的架构。 Gateway Load Balancer(GLB)专为透明、高吞吐量的第4层流量转发而设计,天然支持防火墙等安全设备的旁路部署,无需双网卡;其按处理字节数计费,且不产生额外EC2实例间流量费用。相比之下,Network Load Balancer(NLB)虽可分发流量,但无法原生支持透明流量镜像/重定向,且若防火墙需双网卡实现NAT,则会引入额外复杂性及潜在单点故障。选项A采用GLB+单网卡防火墙+NAT网关,既满足透明流量检查需求,又避免了双网卡管理开销和NAT网关冗余(因GLB本身已支持出站路径控制),综合成本最低。其他选项或误用NLB(C/D),或增加不必要的双网卡配置(B),均非最优解。