Q60 — AWS SAP-C02 第3章

第 60/75 题 | ← 返回第3章

Q285. 一家公司使用AWS CloudFormation在多个VPC中部署应用程序,所有VPC都附加到Transit Gateway。每个向公共互联网发送流量的VPC必须通过共享服务VPC发送流量。VPC中的每个子网使用默认VPC路由表,流量路由到Transit Gateway。Transit Gateway对任何VPC附加使用其默认路由表。安全审计显示,部署在一个VPC中的Amazon EC2实例可以与公司任何其他VPC中部署的EC2实例通信。解决方案架构师需要限制VPC之间的流量。每个VPC必须仅能与预定义的有限授权VPC集合通信。 解决方案架构师应该怎么做来满足这些要求?

正确答案: C. 为每个VPC附加创建专用的Transit Gateway路由表。仅将流量路由到授权VPC。

解析

通过为每个VPC附加创建单独的路由表,每个VPC可以配置为仅将流量路由到授权VPC。与Transit Gateway关联的默认路由表可以保持不变,可以根据需要为特定路由要求创建额外的路由表。 选项A更新每个子网的网络ACL需要修改每个子网的规则,可能无法提供对VPC之间流量的充分控制。选项B更新安全组可能对控制同一VPC内实例之间的流量有效,但不适合限制VPC之间的流量。选项D更新每个VPC的主路由表可能不适合复杂的网络环境。