Q57 — AWS ANS-C01 第1章
第 57/100 题 | ← 返回第1章
一家软件即服务(SaaS)公司正在将其私有SaaS应用程序迁移到AWS。该公司拥有数百名客户,这些客户通过VPN隧道连接到多个数据中心。随着客户数量的增长,该公司在管理路由和使用复杂NAT规则对客户进行分段方面遇到了更多困难。迁移完成后,该公司的AWS客户必须能够直接从其VPC访问SaaS应用程序;同时,该公司本地部署的客户仍必须能够通过IPsec加密隧道连接。哪种解决方案可满足这些要求?
- A. 将AWS客户VPC连接到共享的Transit Gateway。为本地客户使用AWS Site-to-Site VPN连接到Transit Gateway。
- B. 使用AWS PrivateLink连接AWS客户。在SaaS应用程序VPC中使用第三方路由设备终止本地Site-to-Site VPN连接。 ✓
- C. 将每个AWS客户的VPC与托管SaaS应用程序的VPC对等互联。在SaaS VPC的虚拟私有网关上创建AWS Site-to-Site VPN连接。
- D. 使用Site-to-Site VPN隧道将每个AWS客户的VPC连接到托管SaaS应用程序的VPC。使用AWS Site-to-Site VPN连接本地客户。
正确答案: B. 使用AWS PrivateLink连接AWS客户。在SaaS应用程序VPC中使用第三方路由设备终止本地Site-to-Site VPN连接。
解析
AWS PrivateLink允许客户通过VPC端点直接访问服务,避免暴露于公网或配置复杂路由,适用于SaaS应用场景中对私有连接的需求。对于需要保持现有IPsec VPN的本地客户,第三方路由设备可在SaaS VPC内集中管理加密隧道,分离不同客户的连接方式以减少复杂度。选项C和D依赖VPC对等或大量VPN连接,难以扩展;选项A的Transit Gateway虽能集中路由,但NAT问题未解决。选项B通过PrivateLink和第三方设备的混合架构分别处理两类客户,符合题干中的可扩展性和简化管理要求。参考AWS架构最佳实践中的混合网络设计与PrivateLink文档。