Q35 — AWS ANS-C01 第1章

第 35/100 题 | ← 返回第1章

一家银行公司正在AWS上成功运行其公共移动银行应用栈。该移动银行应用栈部署在一个包含私有子网和公有子网的VPC中。该公司使用IPv4网络,且未在环境中部署或支持IPv6。该公司决定采用第三方服务提供商的API,并必须将该API与现有环境集成。该服务提供商的API要求使用IPv6。网络工程师必须为部署在私有子网中的现有工作负载启用IPv6连接。该公司不希望允许来自公共互联网的IPv6流量,并强制要求公司服务器必须主动发起所有IPv6连接。网络工程师已在VPC及私有子网中启用了IPv6。以下哪种解决方案可满足这些要求?

正确答案: C. 在VPC中创建一个仅出口互联网网关(egress-only Internet gateway)。在现有子网路由表中添加一条路由,将IPv6流量指向该仅出口互联网网关。

解析

AWS的IPv6配置中,egress-only internet gateway用于允许私有子网中的实例发起IPv6出站流量,同时阻止来自互联网的入站连接。这与IPv4的NAT网关功能类似,但专门针对IPv6场景。文档指出,egress-only internet gateway仅处理出站流量,无需配置额外的安全组规则来限制入站。选项C通过正确配置路由表将IPv6流量指向该网关,满足仅允许服务器主动发起连接的要求;其他选项涉及不必要的组件如NAT网关或错误的安全组配置。