Q45 — AWS ANS-C01 第1章
第 45/100 题 | ← 返回第1章
一家全球性公司正在设计混合架构,以便私密访问us-west-2区域中的AWS资源。该公司现有架构包括一个使用RFC 1918 IP地址空间的VPC,该VPC通过AWS Direct Connect连接至本地数据中心。Amazon Route 53在VPC内提供名称解析服务。本地数据中心内的自管DNS服务器为本地主机提供DNS服务。该公司在数据中心中有应用程序,需要从us-west-2区域的Amazon S3存储桶下载对象。以下哪种解决方案可使该公司在不使用公网IP地址空间的情况下访问Amazon S3?
- A. 在VPC中创建S3接口端点。更新本地应用程序配置,使其使用映射至S3接口端点的区域性VPC端点DNS主机名。
- B. 在VPC中创建S3接口端点。在VPC中配置Route 53 Resolver入站端点。配置本地数据中心DNS服务器,将针对S3域的DNS查询从本地转发至该入站端点。 ✓
- C. 在VPC中创建S3网关端点。更新本地应用程序配置,使其使用映射至S3网关端点的主机名。
- D. 在VPC中创建S3网关端点。在VPC中配置Route 53 Resolver入站端点。配置本地数据中心DNS服务器,将针对S3域的DNS查询从本地转发至该入站端点。
正确答案: B. 在VPC中创建S3接口端点。在VPC中配置Route 53 Resolver入站端点。配置本地数据中心DNS服务器,将针对S3域的DNS查询从本地转发至该入站端点。
解析
为了在不使用公网IP地址空间的情况下从本地数据中心访问AmazonS3,公司需要实现一个私有的访问路径。选项B提供了一种通过AWSDirectConnect和AWSRoute53Resolver来达成此目标的解决方案。具体地,公司在VPC中创建一个S3接口端点,并配置一个Route53Resolver的入站端点。这样,数据中心的DNS服务器可以将针对S3域的DNS查询转发到VPC中的入站端点,从而实现私有的DNS解析和访问。此方案避免了使用公网IP,满足了题目的要求。其他选项要么使用了不支持S3接口端点的网关端点(C和D),要么没有充分利用Route53Resolver来实现私有DNS解析(A)。