Q5 — AWS ANS-C01 第1章
第 5/100 题 | ← 返回第1章
一家公司计划在AWS上运行一个计算密集型数据处理应用程序。数据高度敏感。VPC不得具有直接互联网访问能力,且公司已应用严格的网络安全策略来控制访问。 数据科学家将使用AWS站点到站点VPN连接,从公司本地数据中心向实例传输数据。本地数据中心使用网段172.31.0.0/20,并将在应用程序VPC中使用网段172.31.16.0/20。 数据科学家报告称,他们可以启动应用程序的新实例,但无法从本地数据中心传输任何数据。一名网络工程师启用了VPC流日志,并向其中一个实例发送ping以测试可达性。流日志显示如下: 网络工程师必须推荐一种解决方案,使数据科学家能够从本地数据中心传输数据。 哪种解决方案能满足这些要求?
- A. 修改应用程序的安全组。添加一条入站规则,允许来自本地数据中心网段的流量访问该应用程序。
- B. 修改VPC子网的网络ACL。添加一条入站规则,允许来自本地数据中心网段的流量访问VPC子网网段。
- C. 修改VPC子网的网络ACL。添加一条出站规则,允许来自VPC子网网段的流量访问本地数据中心网段。 ✓
- D. 修改应用程序的安全组。添加一条出站规则,允许该应用程序向本地数据中心网段发送流量。
正确答案: C. 修改VPC子网的网络ACL。添加一条出站规则,允许来自VPC子网网段的流量访问本地数据中心网段。
解析
在AWS中,VPC(Virtual Private Cloud)的网络访问控制主要由安全组(Security Groups)和网络访问控制列表(Network ACLs)管理。安全组主要控制进出实例的流量,而网络ACLs则控制进出子网的流量。由于数据科学家能够从本地数据中心启动应用实例但无法传输数据,问题可能出在子网级别的流量控制上。选项A和D修改的是安全组规则,它们影响的是进出实例的流量,而不是子网间的流量。由于VPC和本地数据中心之间已经建立了Site-to-Site VPN连接,且实例能够启动,说明实例级别的安全组规则可能不是问题所在。选项B虽然涉及网络ACLs,但添加的是入站规则,而问题在于数据无法从VPC传输到本地数据中心,即需要出站规则。选项C正确,因为它建议修改VPC子网的网络ACLs,添加一个出站规则,允许从VPC子网范围到本地数据中心网络范围的流量。这解决了数据科学家无法从VPC传输数据到本地数据中心的问题。