Q28 — AWS SAP-C02 第3章
第 28/75 题 | ← 返回第3章
Q253. 一家公司正在创建一个运行在Amazon EC2上的集中日志服务,该服务将从数百个AWS账户接收和分析日志。AWS PrivateLink用于提供客户端服务和日志服务之间的连接。在每个具有客户端的AWS账户中,已为日志服务创建了接口端点并可用。运行在EC2实例上的日志服务和Network Load Balancer (NLB)部署在不同的子网中。客户端无法使用VPC端点提交日志。 解决方案架构师应采取哪些步骤组合来解决此问题?(选择两项。)
- A. 检查附加到日志服务子网的NACL是否允许与NLB子网之间的通信。检查附加到NLB子网的NACL是否允许与运行在EC2实例上的日志服务子网之间的通信。 ✓
- B. 检查附加到日志服务子网的NACL是否允许与接口端点子网之间的通信。检查附加到接口端点子网的NACL是否允许与运行在EC2实例上的日志服务子网之间的通信。
- C. 检查运行在EC2实例上的日志服务的安全组是否允许来自NLB子网的入站流量。 ✓
- D. 检查运行在EC2实例上的日志服务的安全组是否允许来自客户端的入站流量。
- E. 检查NLB的安全组是否允许来自接口端点子网的入站流量。
正确答案: A. 检查附加到日志服务子网的NACL是否允许与NLB子网之间的通信。检查附加到NLB子网的NACL是否允许与运行在EC2实例上的日志服务子网之间的通信。, C. 检查运行在EC2实例上的日志服务的安全组是否允许来自NLB子网的入站流量。
解析
要解决客户端无法使用VPC端点提交日志的问题,解决方案架构师应采取以下步骤: A. 检查附加到日志服务子网的NACL是否允许与NLB子网之间的通信。确保与日志服务子网关联的NACL允许入站和出站流量往返NLB子网。 C. 检查运行在EC2实例上的日志服务的安全组是否允许来自NLB子网的入站流量。验证与运行日志服务的EC2实例关联的安全组是否有允许来自NLB子网的传入流量的规则。 其他选项不相关:B不必要;D不需要因为架构基于接口端点;E不需要因为NLB应该已经能从接口端点接收流量。