Q6 — AWS ANS-C01 第1章

第 6/100 题 | ← 返回第1章

一家公司在Application Load Balancer后的一组Amazon EC2实例上部署了一个关键应用程序。该应用程序必须始终可通过公共互联网在端口443上访问。该应用程序最近因对EC2安全组进行了错误修改而发生中断。一名网络工程师需要自动化验证每次安全组变更时,公共互联网与EC2实例之间的网络连通性。该解决方案还必须在变更影响连接时通知网络工程师。

正确答案: D. 在端口443上创建一个VPC可达性分析器路径。将VPC的互联网网关指定为源,将EC2实例指定为目标。创建一个Amazon Simple Notification Service(Amazon SNS)主题,以便在安全组变更影响连接时通知网络工程师。创建一个AWS Lambda函数,用于启动可达性分析器,并在分析失败时向SNS主题发布消息。创建一个Amazon EventBridge(Amazon CloudWatch Events)规则,在安全组发生变更时触发该Lambda函数。

解析

该题考察在AWS环境中自动化监控安全组变更对网络连通性影响的能力。AWS文档指出,VPC Reachability Analyzer可验证网络路径的连通性。正确配置需要将互联网网关作为路径源,代表来自公共互联网的流量;目标为EC2实例的私有IP,并指定端口443。选项D的路径配置正确,而选项C错误地将安全组作为源。当安全组变更时,EventBridge规则触发Lambda函数执行可达性分析,若失败则通过SNS通知工程师。VPC Flow Logs(选项A和B)被动记录日志,无法主动验证路径有效性,因此不符合"变更时立即验证"的需求。答案原文依据:AWS VPC Reachability Analyzer支持从网关资源(如Internet Gateway)到EC2实例的路径分析,结合EventBridge与Lambda实现自动化检测(AWS re:Invent 2020,安全性与合规性分论坛)。