Q72 — AWS ANS-C01 第1章
第 72/100 题 | ← 返回第1章
一家公司的开发团队创建了一个新产品推荐Web服务。该Web服务托管在一个CIDR块为192.168.224.0/19的VPC中。该公司已在Amazon EC2实例上部署该Web服务,并将一个Auto Scaling组配置为网络负载均衡器(NLB)的目标。该公司希望开展测试,以确定接收产品推荐的用户是否比未接收推荐的用户花费更多。该公司将在5天后举办一场大型销售活动,需在此之前将其现有生产环境与推荐引擎集成。现有生产环境托管在一个CIDR块为192.168.128.0/17的VPC中。一名网络工程师必须设计一种解决方案,以最小化对现有环境的干扰,完成系统集成。哪种解决方案可满足这些要求?
- A. 在Web服务VPC与现有生产VPC之间创建一个VPC对等连接。向相应路由表添加一条路由规则,允许现有生产环境流向192.168.224.0/19,以及Web服务环境流向192.168.128.0/17。配置相关安全组和网络ACL以允许系统间通信。
- B. 请Web服务开发团队将Web服务重新部署到生产VPC中,并在该VPC内集成系统。
- C. 创建一个VPC终端节点服务,并将该VPC终端节点服务与Web服务的NLB关联。在现有生产VPC中为Web服务创建一个接口型VPC终端节点。 ✓
- D. 在现有生产环境中创建一个传输网关(transit gateway)。为生产VPC和Web服务VPC创建附件。在传输网关及VPC路由表中为192.168.224.0/19和192.168.128.0/17配置适当的路由规则。配置相关安全组和网络ACL以允许系统间通信。
正确答案: C. 创建一个VPC终端节点服务,并将该VPC终端节点服务与Web服务的NLB关联。在现有生产VPC中为Web服务创建一个接口型VPC终端节点。
解析
该题考查VPC间安全通信的解决方案。根据AWS文档,VPC端点服务(Endpoint Service)允许通过NLB将服务暴露给其他VPC,无需公共互联网或VPC对等连接。选项C通过接口型VPC终端节点实现跨VPC通信,保持了网络隔离性且无需修改原有路由表结构。选项A可能存在CIDR重叠风险,选项B涉及架构重构,选项D虽可行但需要更复杂配置。选项C的方法最小化网络架构变更,符合"最小干扰"需求。AWS最佳实践推荐使用PrivateLink(VPC终端节点)进行跨VPC服务集成,确保流量不经过公网且避免路由表膨胀。