Q2 — AWS ANS-C01 第1章
第 2/100 题 | ← 返回第1章
一家公司有一个运行在Amazon EC2实例集群上的应用程序。一项新的公司规定要求所有进出EC2实例的网络流量都必须发送到一个集中式第三方EC2设备进行内容检查。
- A. 在每个EC2网络接口上配置VPC流日志。将流日志发布到Amazon S3存储桶。创建一个第三方EC2设备,从S3存储桶获取流日志。登录该设备以监控网络内容。
- B. 在由网络负载均衡器(NLB)前置的Auto Scaling组中创建一个第三方EC2设备。配置镜像会话,指定NLB为镜像目标。指定镜像过滤器以捕获入站和出站流量。将承载应用程序的所有实例的EC2弹性网络接口指定为镜像会话的源。 ✓
- C. 配置镜像会话。指定Amazon Kinesis Data Firehose交付流为镜像目标。指定镜像过滤器以捕获入站和出站流量。将承载应用程序的所有实例的EC2弹性网络接口指定为镜像会话的源。创建一个第三方EC2设备。通过Kinesis Data Firehose交付流将所有流量发送至该设备进行内容检查。
- D. 在每个EC2网络接口上配置VPC流日志。将日志发送到Amazon CloudWatch。创建一个第三方EC2设备。配置CloudWatch过滤器,将流日志发送到Amazon Kinesis Data Firehose,以将日志加载到该设备中。
正确答案: B. 在由网络负载均衡器(NLB)前置的Auto Scaling组中创建一个第三方EC2设备。配置镜像会话,指定NLB为镜像目标。指定镜像过滤器以捕获入站和出站流量。将承载应用程序的所有实例的EC2弹性网络接口指定为镜像会话的源。
解析
答案B是正确的。在这种情况下,创建一个位于Auto Scaling组且由Network Load Balancer(NLB)前置的第三方EC2设备,并配置镜像会话,指定NLB作为镜像目标,通过指定镜像过滤器捕获入站和出站流量,同时指定承载应用程序的所有实例的EC2弹性网络接口作为镜像会话的源,可以满足公司规定的所有网络流量都发送到集中式第三方EC2设备进行内容检查的要求。其他选项A是关于配置VPC流日志,C是通过Kinesis Data Firehose交付流,D是通过CloudWatch过滤器和Kinesis Data Firehose,都不如B选项直接有效地实现流量的镜像和检查。