Q60 — AWS SAP-C02 第3章
第 60/75 题 | ← 返回第3章
Q285. 一家公司使用AWS CloudFormation在多个VPC中部署应用程序,所有VPC都附加到Transit Gateway。每个向公共互联网发送流量的VPC必须通过共享服务VPC发送流量。VPC中的每个子网使用默认VPC路由表,流量路由到Transit Gateway。Transit Gateway对任何VPC附加使用其默认路由表。安全审计显示,部署在一个VPC中的Amazon EC2实例可以与公司任何其他VPC中部署的EC2实例通信。解决方案架构师需要限制VPC之间的流量。每个VPC必须仅能与预定义的有限授权VPC集合通信。 解决方案架构师应该怎么做来满足这些要求?
- A. 更新VPC中每个子网的网络ACL,仅允许出站流量到授权VPC。删除除默认拒绝规则外的所有拒绝规则。
- B. 更新VPC中使用的所有安全组,拒绝出站流量到未授权VPC中使用的安全组。
- C. 为每个VPC附加创建专用的Transit Gateway路由表。仅将流量路由到授权VPC。 ✓
- D. 更新每个VPC的主路由表,仅通过Transit Gateway将流量路由到授权VPC。
正确答案: C. 为每个VPC附加创建专用的Transit Gateway路由表。仅将流量路由到授权VPC。
解析
通过为每个VPC附加创建单独的路由表,每个VPC可以配置为仅将流量路由到授权VPC。与Transit Gateway关联的默认路由表可以保持不变,可以根据需要为特定路由要求创建额外的路由表。 选项A更新每个子网的网络ACL需要修改每个子网的规则,可能无法提供对VPC之间流量的充分控制。选项B更新安全组可能对控制同一VPC内实例之间的流量有效,但不适合限制VPC之间的流量。选项D更新每个VPC的主路由表可能不适合复杂的网络环境。