Q6 — AWS ANS-C01 第1章
第 6/100 题 | ← 返回第1章
一家公司在Application Load Balancer后的一组Amazon EC2实例上部署了一个关键应用程序。该应用程序必须始终可通过公共互联网在端口443上访问。该应用程序最近因对EC2安全组进行了错误修改而发生中断。一名网络工程师需要自动化验证每次安全组变更时,公共互联网与EC2实例之间的网络连通性。该解决方案还必须在变更影响连接时通知网络工程师。
- A. 在每个EC2实例的弹性网络接口上启用VPC流日志,以捕获端口443上的REJECT流量。将流日志记录发布到Amazon CloudWatch Logs中的日志组。为该日志组创建一个CloudWatch Logs指标筛选器,用于被拒绝的流量。创建一个告警以通知网络工程师。
- B. 在每个EC2实例的弹性网络接口上启用VPC流日志,以捕获端口443上的所有流量。将流日志记录发布到Amazon CloudWatch Logs中的日志组。为该日志组创建一个CloudWatch Logs指标筛选器,用于所有流量。创建一个告警以通知网络工程师。
- C. 在端口443上创建一个VPC可达性分析器路径。将安全组指定为源,将EC2实例指定为目标。创建一个Amazon Simple Notification Service(Amazon SNS)主题,以便在安全组变更影响连接时通知网络工程师。创建一个AWS Lambda函数,用于启动可达性分析器,并在分析失败时向SNS主题发布消息。创建一个Amazon EventBridge(Amazon CloudWatch Events)规则,在安全组发生变更时触发该Lambda函数。
- D. 在端口443上创建一个VPC可达性分析器路径。将VPC的互联网网关指定为源,将EC2实例指定为目标。创建一个Amazon Simple Notification Service(Amazon SNS)主题,以便在安全组变更影响连接时通知网络工程师。创建一个AWS Lambda函数,用于启动可达性分析器,并在分析失败时向SNS主题发布消息。创建一个Amazon EventBridge(Amazon CloudWatch Events)规则,在安全组发生变更时触发该Lambda函数。 ✓
正确答案: D. 在端口443上创建一个VPC可达性分析器路径。将VPC的互联网网关指定为源,将EC2实例指定为目标。创建一个Amazon Simple Notification Service(Amazon SNS)主题,以便在安全组变更影响连接时通知网络工程师。创建一个AWS Lambda函数,用于启动可达性分析器,并在分析失败时向SNS主题发布消息。创建一个Amazon EventBridge(Amazon CloudWatch Events)规则,在安全组发生变更时触发该Lambda函数。
解析
该题考察在AWS环境中自动化监控安全组变更对网络连通性影响的能力。AWS文档指出,VPC Reachability Analyzer可验证网络路径的连通性。正确配置需要将互联网网关作为路径源,代表来自公共互联网的流量;目标为EC2实例的私有IP,并指定端口443。选项D的路径配置正确,而选项C错误地将安全组作为源。当安全组变更时,EventBridge规则触发Lambda函数执行可达性分析,若失败则通过SNS通知工程师。VPC Flow Logs(选项A和B)被动记录日志,无法主动验证路径有效性,因此不符合"变更时立即验证"的需求。答案原文依据:AWS VPC Reachability Analyzer支持从网关资源(如Internet Gateway)到EC2实例的路径分析,结合EventBridge与Lambda实现自动化检测(AWS re:Invent 2020,安全性与合规性分论坛)。