Q35 — AWS ANS-C01 第1章
第 35/100 题 | ← 返回第1章
一家银行公司正在AWS上成功运行其公共移动银行应用栈。该移动银行应用栈部署在一个包含私有子网和公有子网的VPC中。该公司使用IPv4网络,且未在环境中部署或支持IPv6。该公司决定采用第三方服务提供商的API,并必须将该API与现有环境集成。该服务提供商的API要求使用IPv6。网络工程师必须为部署在私有子网中的现有工作负载启用IPv6连接。该公司不希望允许来自公共互联网的IPv6流量,并强制要求公司服务器必须主动发起所有IPv6连接。网络工程师已在VPC及私有子网中启用了IPv6。以下哪种解决方案可满足这些要求?
- A. 在VPC中创建一个互联网网关和一个NAT网关。在现有子网路由表中添加一条路由,将IPv6流量指向NAT网关。
- B. 在VPC中创建一个互联网网关和一个NAT实例。在现有子网路由表中添加一条路由,将IPv6流量指向NAT实例。
- C. 在VPC中创建一个仅出口互联网网关(egress-only Internet gateway)。在现有子网路由表中添加一条路由,将IPv6流量指向该仅出口互联网网关。 ✓
- D. 在VPC中创建一个仅出口互联网网关(egress-only internet gateway)。配置一个拒绝所有入站流量的安全组,并将该安全组关联到仅出口互联网网关。
正确答案: C. 在VPC中创建一个仅出口互联网网关(egress-only Internet gateway)。在现有子网路由表中添加一条路由,将IPv6流量指向该仅出口互联网网关。
解析
AWS的IPv6配置中,egress-only internet gateway用于允许私有子网中的实例发起IPv6出站流量,同时阻止来自互联网的入站连接。这与IPv4的NAT网关功能类似,但专门针对IPv6场景。文档指出,egress-only internet gateway仅处理出站流量,无需配置额外的安全组规则来限制入站。选项C通过正确配置路由表将IPv6流量指向该网关,满足仅允许服务器主动发起连接的要求;其他选项涉及不必要的组件如NAT网关或错误的安全组配置。