Q38 — AWS ANS-C01 第1章
第 38/100 题 | ← 返回第1章
一家公司已通过AWS Direct Connect连接建立了其位于法国巴黎的本地数据中心与AWS云之间的连接。该公司使用一个传输虚拟接口(transit VIF),将Direct Connect连接与托管在欧洲(巴黎)区域的传输网关(transit gateway)相连。该公司在多个附加到传输网关的VPC中托管了位于私有子网的工作负载。该公司最近收购了另一家公司在日本东京办公楼中运营的本地工作负载。该公司需要将东京办公室的工作负载迁移到AWS。这些工作负载必须能够访问公司在巴黎的现有工作负载。此外,公司还必须建立东京办公室与巴黎数据中心之间的连接。公司在亚太(东京)区域创建了一个包含私有子网的新VPC,用于迁移工作负载。工作负载迁移必须在5天内完成。工作负载不能直接从互联网访问。网络工程师应采取以下哪组步骤以满足这些要求?
- A. 1. 在东京VPC中创建公有子网以迁移工作负载。2. 为东京办公室配置互联网网关以访问东京VPC。3. 在东京工作负载上配置安全组,仅允许来自东京办公室和巴黎工作负载的流量。4. 在东京VPC与巴黎VPC之间创建对等连接。5. 使用现有路由器在巴黎数据中心与东京办公室之间配置VPN连接。
- B. 1. 在亚太(东京)区域配置一个传输网关,并将该传输网关与东京VPC关联。2. 在东京传输网关与巴黎传输网关之间创建对等连接。3. 设置一条从东京办公室到东京传输网关的新Direct Connect连接。4. 在两个传输网关上配置路由,以允许站点与VPC之间的数据流。
- C. 1. 在亚太(东京)区域配置一个传输网关,并将该传输网关与东京VPC关联。2. 在东京传输网关与巴黎传输网关之间创建对等连接。3. 从东京办公室配置一个AWS Site-to-Site VPN连接,目标为东京传输网关。4. 在两个传输网关上配置路由,以允许站点与VPC之间的数据流。 ✓
- D. 1. 从东京办公室配置一个AWS Site-to-Site VPN连接到巴黎传输网关。2. 在巴黎传输网关与东京VPC之间创建关联。3. 在巴黎传输网关上配置路由,以允许站点与VPC之间的数据流。
正确答案: C. 1. 在亚太(东京)区域配置一个传输网关,并将该传输网关与东京VPC关联。2. 在东京传输网关与巴黎传输网关之间创建对等连接。3. 从东京办公室配置一个AWS Site-to-Site VPN连接,目标为东京传输网关。4. 在两个传输网关上配置路由,以允许站点与VPC之间的数据流。
解析
AWS网络架构中,transit gateway用于连接多个VPC和本地网络,支持跨区域对等连接。东京办公室需要快速建立与巴黎的连通性,且不能直接从互联网访问。AWS文档指出,transit gateway间的对等连接允许不同区域的资源通信。Site-to-Site VPN适用于快速部署,而Direct Connect通常需要更长时间。选项C在东京区域创建transit gateway并关联VPC,建立与巴黎transit gateway的对等连接,通过VPN连接东京办公室到本地transit gateway,配置路由实现跨区域流量。选项A使用公共子网违反安全要求;选项B的Direct Connect无法在5天内完成;选项D的VPN直接连接到巴黎transit gateway可能导致延迟和路由问题。正确方法符合AWS混合架构最佳实践。