A company has a three-tier web application that is deployed on AWS. The web servers are deployed in a public subnet in a VPC. The application servers and database servers are deployed in private subnets in the same VPC. The company has deployed a third-party virtual firewall appliance from AWS Marketplace in an inspection VPC. The appliance is configured with an IP interface that can accept IP packets.
A solutions architect needs to integrate the web application with the appliance to inspect all traffic to the application before the traffic reaches the web server.
Which solution will meet these requirements with the LEAST operational overhead?
A. Create a Network Load Balancer in the public subnet of the application's VPC to route the traffic to the appliance for packet inspection.
B. Create an Application Load Balancer in the public subnet of the application's VPC to route the traffic to the appliance for packet inspection.
C. Deploy a transit gateway in the inspection VPC Configure route tables to route the incoming packets through the transit gateway.
D. Deploy a Gateway Load Balancer in the inspection VPC. Create a Gateway Load Balancer endpoint to receive the incoming packets and forward the packets to the appliance.
D
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
一家公司在 AWS 上部署了一個三層 Web 應用程序。Web 服務器部署在 VPC 的公共子網中,應用服務器和數據庫服務器部署在同一 VPC 的私有子網中。公司已在檢查 VPC 中部署了一個來自 AWS Marketplace 的第三方虛擬防火墻設備,該設備配置了一個可接受 IP 數據包的 IP 接口。解決方案架構師需要將 Web 應用程序與該設備集成,以便在流量到達 Web 服務器之前對所有流量進行檢查。
A. 不正確。使用網絡負載均衡器(NLB)。NLB工作在第四層(傳輸層),可以高效地轉發流量,但是需要在公共子網中部署NLB,可能會增加安全風險。需要額外的配置來將流量從NLB路由到檢查設備,然后再路由回Web服務器,增加了網絡復雜性和運營開銷。無法直接作為網關使用,可能需要額外的路由配置。
B. 不正確。使用應用負載均衡器(ALB)。ALB工作在第七層(應用層),支持基于HTTP/HTTPS的路由。但是ALB主要用于應用層的負載均衡,需要在公共子網中部署,增加了安全風險。不適合用于第四層的數據包檢查,而且配置復雜,無法直接滿足數據包檢查的需求
C. 不正確。使用傳輸網關(Transit Gateway)。傳輸網關可以連接多個VPC和本地網絡,提供中心化的路由。但是需要配置復雜的路由表,將流量從應用程序VPC路由到檢查VPC,再路由回Web服務器。傳輸網關主要用于VPC間的連接,而不是專門用于流量檢查。運營開銷較大,需要管理多個路由和連接。
D. 正確。使用網關負載均衡器(GWLB)。GWLB專門設計用于將流量路由到第三方網絡設備(如防火墻、IDS/IPS等)進行檢查。可以通過GWLB端點直接將流量路由到檢查設備,無需額外的負載均衡器或復雜的路由配置。提供了內置的流量分發和健康檢查功能,減少了運營開銷,設備可以以透明網關的形式工作,無需修改應用程序的路由表。