Q31 — AWS SAA-C03 第1章

第 31/65 题 | ← 返回第1章

Q31.解决方案架构师正在设计具有公有子网和私有子网的 VPC. VPC 和子网使用 IP 4 CIDR 块.三个可用区 (AZ) 中的每一个都有一个公共子网和一个私有子网以实现高可用性.互联网网关用于为公共子网提供互联网访问.私有子网需要访问互联网以允许 Amazon EC2 实例下载软件更新.解决方案架构师应该如何为私有子网启用 Intrnet 访问?

正确答案: A. 创建三个 NAT 网关,每个 AZ 中的每个公共子网一个.为每个 AZ 创建私有路由表,将非 VPC 流量转发到其 AZ 中的 NAT 网关.

解析

为了使私有子网中的实例能够访问internet,一种常见的设计模式是在公共子网中使用网络地址转换(NAT)网关。NAT网关允许私有子网中的实例在不暴露其私有IP地址的情况下连接到internet。 在这种场景下,正确的方法是在每个AZ内分别创建三个NAT网关,每个公网子网对应一个NAT网关,然后为每个AZ创建一个私有路由表,将非vpc的流量转发到本AZ内的NAT网关。NAT网关必须与弹性IP地址关联,以保持静态公网IP地址。 选项B不正确,因为在私有子网中创建NAT网关不会为私有实例提供internet访问。在公共子网中创建NAT网关非常重要。 选项C是不正确的,因为不建议在专用子网上创建另一个互联网网关,因为它不是一个安全和可扩展的解决方案。 选项D是不正确的,因为只有出口的internet网关只允许从专用子网中的实例到internet的出站流量,但不允许从internet到专用子网中的实例的入站流量。因此,在私有子网中的实例需要从internet下载软件更新的情况下,它没有帮助。