Q53 — AWS SCS-C02 第1章

第 53/100 题 | ← 返回第1章

两个位于不同子网的 Amazon EC2 实例应能相互通信,但实际无法连接。已确认同一子网内的其他主机通信正常,且安全组已配置有效的 ALLOW 规则以允许该流量。

正确答案: B. 检查入站和出站网络 ACL 规则,查找 DENY 规则

解析

网络 ACL 是无状态的,负责控制子网级别的流量进出,必须显式允许入站和出站规则。若两个子网的实例无法通信,但同一子网内正常,且安全组已正确配置,需排查网络 ACL 是否存在阻止流量的拒绝规则。不同子网可能关联不同的网络 ACL,规则顺序或未明确放行相关端口可能导致流量被拒绝。AWS 官方文档指出,网络 ACL 规则按规则号从小到大执行,存在拒绝规则可能覆盖后续允许规则。选项 C 的 VPC 流日志虽能记录流量,但直接检查网络 ACL 更快捷;选项 A 的安全组已确认允许,选项 D 涉及应用层跟踪。