一家公司正在 AWS 上設計基礎設施,其中三個 VPC 連接到一個 Transit Gateway。這三個 VPC 是應用程序 VPC、后端 VPC 和檢查 VPC。應用程序 VPC 和后端 VPC 在可用區 A 和可用區 B 中部署了計算實例。在檢查 VPC(這是一個共享服務 VPC)的同一可用區中部署了有狀態防火墻。 所有流量通過檢查 VPC 的有狀態第 7 層虛擬防火墻設備進行路由,以符合要求進行流量檢查的安全策略。這三個 VPC 之間沒有重疊的 IP 地址。網絡工程師必須確保應用程序 VPC 和后端 VPC 之間的流量可以通過檢查VPC 的有狀態防火墻進行路由。
哪種解決方案將滿足這些要求?
A. 在 Transit Gateway 和虛擬防火墻設備之間創建 IPsec VPN 連接。
B. 在虛擬防火墻設備上配置虛擬路由器冗余協議 (VRRP)。
C. 在 Transit Gateway 和虛擬防火墻設備之間設置 BGP。
D. 為到檢查 VPC 的 VPC 連接啟用 Transit Gateway 設備模式。
D
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
針對這家公司的基礎設施設計需求,需要確保應用程序VPC和后端VPC的的流量能夠通過檢查VPC的有狀態防火墻進行路由。
A. 不正確。該方案將創建不必要的連接。IPsec VPN 連接通常用于在不同網絡之間建立安全的加密通道。然而,在這個場景中,由于所有VPC已經通過Transit Gateway連接,再建立IPsec VPN連接可能會增加不必要的復雜性。此外,IPsec VPN不是Transit Gateway的標準配置方式,且不一定能滿足通過特定防火墻進行流量檢查的需求。
B. 不正確。該方案使用虛擬路由器冗余協議 (VRRP) 以提供實例負載共享。VRRP是一種用于提高網絡可靠性的協議,它允許在網絡設備之間實現虛擬路由器的冗余。該協議依賴于多播,在 VPC 中不支持多播,AWS 不直接支持該協議。而且VRRP并不直接解決流量路由的問題,特別是當涉及到通過特定防火墻進行流量檢查時。
C. 不正確。BGP(邊界網關協議)是一種用于在自治系統之間交換路由信息的協議,雖然BGP在網絡路由中非常重要,BGP主要用于不同自治系統之間的路由交換。而該公司的需求是確保流量通過特定的防火墻進行路由,而不是在不同自治系統之間路由。另外,虛擬防火墻設備無法將 BGP 對等連接與 Transit Gateway 一起使用
D. 正確。Transit Gateway的設備模式允許將流量從一個VPC通過Transit Gateway路由到另一個VPC,同時可以通過特定的附加組件(如防火墻)進行流量檢查。本案例中,啟用設備模式可以確保應用程序VPC和后端VPC的流量通過檢查VPC的有狀態防火墻進行路由。