Q94 — AWS ANS-C01 第1章

第 94/100 题 | ← 返回第1章

一家公司在Application Load Balancer后部署了一款关键应用,运行于一组Amazon EC2实例之上。该应用必须始终可通过公网互联网在端口443上访问。该应用最近因EC2安全组的错误变更导致一次中断。 一名网络工程师需要自动化验证每当安全组发生变更时,公网互联网与EC2实例之间的网络连通性。该解决方案还必须在变更影响连接时通知网络工程师。 哪种解决方案能满足这些要求?

正确答案: D. 在端口443上创建VPC可达性分析路径。指定VPC的互联网网关为源,EC2实例为目标。创建Amazon Simple Notification Service(Amazon SNS)主题,当安全组变更影响连接时通知网络工程师。创建AWS Lambda函数以启动可达性分析,并在分析失败时向SNS主题发布消息。创建Amazon EventBridge(Amazon CloudWatch Events)规则,在安全组变更时触发Lambda函数。

解析

在这种情况下,需要一种能够在安全组发生变化时自动验证网络连接性并通知网络工程师的解决方案。选项A和B仅通过启用VPC流日志和设置相关过滤器及警报来处理,无法全面满足验证网络连接性的需求。选项C中指定安全组作为源不太准确,因为需要检测的是从公共互联网到EC2实例的连接性,而公共互联网通常通过VPC的互联网网关接入。选项D中创建在端口443上的VPC可达性分析路径,指定VPC的互联网网关作为源,EC2实例作为目的地,能够准确模拟从公共互联网到实例的连接情况。并且通过创建SNS主题、Lambda函数和EventBridge规则,在安全组变化时触发并通知网络工程师,满足了题目中的所有要求。因此,选项D是正确答案。 查看全部