Q99 — AWS ANS-C01 第1章
第 99/100 题 | ← 返回第1章
一家全球性公司在三个AWS区域(eu-west-1、us-east-1和us-west-1)运行全部非生产环境。其所有生产工作负载均部署在两个本地数据中心。该公司拥有60个AWS账户,每个账户在每个区域中均有2个VPC。每个VPC均配置了一个虚拟私有网关(Virtual Private Gateway),并终止两条VPN连接以实现与数据中心的弹性连接。该公司每个数据中心共有360条VPN隧道,导致极高的管理开销。每个区域的总VPN吞吐量为500 Mbps。该公司计划将生产环境迁移至AWS,并需要一种能简化网络架构并支持未来增长的解决方案。生产环境迁移后,每个区域将额外产生2 Gbps回传至数据中心的流量,且该流量将持续增长。哪种解决方案能满足这些需求?
- A. 为每个数据中心到每个区域的AWS分别设置AWS Direct Connect连接;为单个Direct Connect网关创建并附加私有虚拟接口(private VIFs);将Direct Connect网关附加至所有VPC;移除直接连接至虚拟私有网关的现有VPN连接。
- B. 创建一个单一中转网关(Transit Gateway),并从每个数据中心建立VPN连接;使用AWS资源访问管理器(AWS RAM)将该中转网关共享给各账户;将中转网关附加至每个VPC;移除直接连接至虚拟私有网关的现有VPN连接。
- C. 在每个区域分别创建一个中转网关,并从每个数据中心新建多条VPN连接;使用AWS资源访问管理器(AWS RAM)将各区域的中转网关共享给各账户;在每个区域中将中转网关附加至每个VPC;移除直接连接至虚拟私有网关的现有VPN连接。 ✓
- D. 将每个区域内的所有VPC与其区域内新建的一个VPC进行对等连接,该新VPC将作为集中式中转VPC;从每个数据中心新建VPN连接至这些中转VPC;终止所有原始VPC上原有的VPN连接;保留每个区域中新中转VPC上的新VPN连接。
- E.
正确答案: C. 在每个区域分别创建一个中转网关,并从每个数据中心新建多条VPN连接;使用AWS资源访问管理器(AWS RAM)将各区域的中转网关共享给各账户;在每个区域中将中转网关附加至每个VPC;移除直接连接至虚拟私有网关的现有VPN连接。
解析
AWS Transit Gateway设计用于集中管理VPC和VPN连接,减少复杂性和管理开销。每个区域单独部署Transit Gateway可确保本地化处理流量,避免跨区域延迟。AWS文档指出,Transit Gateway支持跨账户共享(通过RAM)和多个VPN隧道聚合带宽。原有每个VPC的双VPN连接导致360条隧道,迁移至每个区域一个Transit Gateway后,仅需少量高带宽VPN连接,满足2Gbps及未来增长需求。选项B的单Transit Gateway无法处理多区域流量,而选项C的每区域部署可独立扩展。选项A的Direct Connect需物理连接且扩展性不足,选项D的VPC peering存在路由限制,复杂性较高。答案C符合简化架构、扩展性及吞吐要求。