Q32 — AWS SAP-C02 第2章
第 32/75 题 | ← 返回第2章
Q182. 一家公司有多个业务单元,每个业务单元在 AWS 上都有单独的账户。每个业务单元管理自己的网络,拥有多个 CIDR 范围重叠的 VPC。该公司的营销团队创建了一个新的内部应用程序,希望使所有其他业务单元都能访问该应用程序。解决方案必须仅使用私有 IP 地址。 哪种解决方案能以最少的运营开销满足这些要求?
- A. 指示每个业务单元向其 VPC 添加唯一的辅助 CIDR 范围。对等连接 VPC,并使用辅助范围中的私有 NAT 网关将流量路由到营销团队
- B. 在营销账户的 VPC 中创建一个 Amazon EC2 实例作为虚拟设备。在营销团队和每个业务单元的 VPC 之间创建 AWS Site-to-Site VPN 连接。在必要时执行 NAT
- C. 创建一个 AWS PrivateLink 端点服务来共享营销应用程序。授予特定 AWS 账户连接到该服务的权限。在其他账户中创建接口 VPC 端点,使用私有 IP 地址访问应用程序 ✓
- D. 在私有子网中的营销应用程序前面创建一个 Network Load Balancer (NLB)。创建一个 API Gateway API。使用 Amazon API Gateway 私有集成将 API 连接到 NLB。为 API 激活 IAM 授权。授予其他业务单元账户的访问权限
正确答案: C. 创建一个 AWS PrivateLink 端点服务来共享营销应用程序。授予特定 AWS 账户连接到该服务的权限。在其他账户中创建接口 VPC 端点,使用私有 IP 地址访问应用程序
解析
C 是以最少运营开销满足要求的解决方案。 选项 A 涉及指示每个业务单元向其 VPC 添加唯一的辅助 CIDR 范围并对等连接 VPC。这可能很复杂,因为它需要多个业务单元之间的协调,并可能涉及更改现有网络配置。 选项 B 涉及创建 EC2 实例作为虚拟设备并在营销团队和每个业务单元的 VPC 之间使用 Site-to-Site VPN 连接,增加了为每个业务单元配置和维护 VPN 连接的复杂性。 选项 C 涉及创建 PrivateLink 端点服务来共享营销应用程序,并授予特定 AWS 账户连接到该服务的权限。此外,可以在其他账户中创建接口 VPC 端点,使用私有 IP 地址访问应用程序。此选项最大限度地减少了运营开销,因为它不需要对现有 VPC 配置进行重大更改,并能够使用私有 IP 地址安全地访问应用程序。 使用 AWS PrivateLink,营销团队可以创建端点服务来安全地使用私有 IP 地址与其他账户共享其内部应用程序。此选项不需要对其他业务单元的网络进行任何更改,也不需要对等连接或 NAT。