A medical records company is hosting an application on Amazon EC2 instances. The application processes customer data files that are stored on Amazon S3. The EC2 instances are hosted in public subnets. The EC2 instances access Amazon S3 over the internet, but they do not require any other network access. A new requirement mandates that the network traffic for file transfers take a private route and not be sent over the internet.
Which change to the network architecture should a solutions architect recommend to meet this requirement?
A. Create a NAT gateway. Configure the route table for the public subnets to send traffic to Amazon S3 through the NAT gateway.
B. Configure the security group for the EC2 instances to restrict outbound traffic so that only traffic to the S3 prefix list is permitted.
C. Move the EC2 instances to private subnets. Create a VPC endpoint for Amazon S3, and link the endpoint to the route table for the private subnets.
D. Remove the internet gateway from the VPC. Set up an AWS Direct Connect connection, and route traffic to Amazon S3 over the Direct Connect connection.
C
一家醫療記錄公司在亞馬遜彈性計算云(Amazon EC2)實例上托管一個應用程序。該應用程序處理存儲在亞馬遜簡單存儲服務(Amazon S3)上的客戶數據文件。EC2實例托管在公有子網中。EC2實例通過互聯網訪問Amazon S3,但它們不需要其他任何網絡訪問。一項新要求規定,文件傳輸的網絡流量必須走私有路由,不能通過互聯網發送。為了滿足這一要求,解決方案架構師應建議對網絡架構做出何種更改?當前EC2實例在公有子網中通過互聯網訪問S3存儲數據文件,現需將文件傳輸的網絡流量改為私有路由,避免經過互聯網,需從四個選項中選擇合適的網絡架構更改方案。
技巧:排除明顯錯誤選項,在沒有明顯錯誤的選項中選擇最合理的選項。
A. 不正確。創建一個NAT網關。配置公有子網的路由表,使發往Amazon S3的流量通過NAT網關。NAT網關的作用是為私有子網中的實例提供訪問互聯網的途徑,本題要求不走互聯網,且EC2實例在公有子網,使用NAT網關不僅無法滿足不走互聯網的要求,還會增加不必要的網絡復雜度和成本,所以該選項不合適。
B. 不正確。配置EC2實例的安全組,限制出站流量,僅允許發往S3前綴列表的流量。安全組只能控制流量的允許或拒絕,無法改變流量的路由路徑。即使限制了出站流量僅到S3,流量仍然會通過互聯網傳輸,不能滿足不走互聯網的要求,因此該選項不正確。
C. 正確。將EC2實例移動到私有子網。創建一個Amazon S3的VPC端點,并將該端點關聯到私有子網的路由表。將EC2實例移至私有子網后,默認無法訪問互聯網。創建S3的VPC端點,可使私有子網中的實例通過私有網絡直接連接到S3,無需經過互聯網,滿足了文件傳輸走私有路由的要求,是合適的解決方案。
D. 不正確。從VPC中移除互聯網網關。設置一個AWS Direct Connect連接,并通過Direct Connect連接將流量路由到Amazon S3。移除互聯網網關會使VPC內的實例無法訪問互聯網(除通過Direct Connect等特殊方式),但設置Direct Connect需要與本地數據中心建立物理連接,成本高昂且配置復雜,對于僅需實現與S3私有連接的需求來說,過于繁瑣和不經濟,所以該選項不合適。
公有子網與私有子網特性:公有子網中的實例可通過互聯網網關訪問互聯網;私有子網中的實例默認無法直接訪問互聯網,通常需要借助NAT網關等設備實現出站互聯網訪問,但可利用VPC端點實現與AWS服務的私有連接。
VPC端點作用:VPC端點允許VPC內的實例無需通過互聯網網關或NAT設備,即可私有地連接到AWS服務(如S3),能滿足不走互聯網的流量路由需求。
網絡訪問控制方式:安全組主要用于控制實例的入站和出站流量,但無法改變流量的路由路徑;NAT網關用于為私有子網中的實例提供互聯網訪問,不符合本題不走互聯網的要求;移除互聯網網關并使用Direct Connect雖能實現不通過互聯網,但成本高且操作復雜。