Q15 — AWS ANS-C01 第1章
第 15/100 题 | ← 返回第1章
一家公司在AWS上拥有数百个VPC。所有VPC均通过NAT网关访问Amazon S3和AWS Systems Manager的公有端点。所有VPC至Amazon S3和Systems Manager的流量均经由NAT网关传输。该公司的网络工程师必须集中化访问这些服务,并消除对公有端点的依赖。 哪种解决方案能以最少的运维开销满足这些要求?
- A. 创建一个中心出口VPC,其中部署私有NAT网关。使用AWS Transit Gateway将所有VPC连接至该中心出口VPC。使用私有NAT网关,通过私有IP地址连接Amazon S3和Systems Manager。
- B. 创建一个中心共享服务VPC。在该中心共享服务VPC中,为Amazon S3和Systems Manager创建接口型VPC端点。确保禁用私有DNS。使用AWS Transit Gateway将所有VPC连接至该中心共享服务VPC。为每个接口型VPC端点创建Amazon Route 53转发规则。将这些转发规则关联至所有VPC。将DNS查询转发至共享服务VPC中的接口型VPC端点。
- C. 创建一个中心共享服务VPC。在该中心共享服务VPC中,为Amazon S3和Systems Manager创建接口型VPC端点。确保禁用私有DNS。使用AWS Transit Gateway将所有VPC连接至该中心共享服务VPC。为Amazon S3和Systems Manager创建一个完整的全服务端点名称的Amazon Route 53私有托管域。将该私有托管域关联至所有VPC。在每个私有托管域中创建别名记录,将完整的AWS服务端点指向共享服务VPC中的接口型VPC端点。 ✓
- D. 创建一个中心共享服务VPC。在该中心共享服务VPC中,为Amazon S3和Systems Manager创建接口型VPC端点。使用AWS Transit Gateway将所有VPC连接至该中心共享服务VPC。确保接口型VPC端点启用私有DNS,且Transit Gateway启用DNS支持。
正确答案: C. 创建一个中心共享服务VPC。在该中心共享服务VPC中,为Amazon S3和Systems Manager创建接口型VPC端点。确保禁用私有DNS。使用AWS Transit Gateway将所有VPC连接至该中心共享服务VPC。为Amazon S3和Systems Manager创建一个完整的全服务端点名称的Amazon Route 53私有托管域。将该私有托管域关联至所有VPC。在每个私有托管域中创建别名记录,将完整的AWS服务端点指向共享服务VPC中的接口型VPC端点。
解析
这道题关注在AWS架构中集中访问Amazon S3和Systems Manager服务的方案,避免使用公共端点及NAT网关。正确选项基于集中式VPC端点架构设计原则,结合AWS服务特性。AWS官方文档建议使用接口VPC端点配合PrivateLink实现跨VPC访问,同时通过Route 53私有托管区统一DNS解析。选项C的关键在于:创建共享服务VPC并部署接口端点,禁用端点私有DNS以避免自动解析到单个VPC的本地地址;通过Transit Gateway连接所有VPC,利用私有托管区定义别名记录覆盖默认服务域名,确保所有VPC的请求定向到共享端点。其他选项存在DNS解析不集中(D)、操作复杂(B)或未完全消除公共路径(A)的问题。