一家公司收集大量运输数据,并将数据存储在本地数据中心。网络工程师希望在迁移到 AWS 的第一阶段使用 Amazon S3 存储数据。在该阶段,一个位于数据中心的应用程序需要私密访问公司创建的 S3 存储桶中的数据。该公司已与私有 VIF 建立 AWS Direct Connect 连接 以将本地数据中心连接到 VPC。网络工程师计划将该 Direct Connect 连接用于混合云设置。解决方案必须高度可用。
网络工程师接下来应采取哪种措施以实施该构架?
A. 在 VPC 中配置一个 S3 网关终端节点。更新 VPC 路由表以将流量路由到 S3 网关终端节点。在本地应用程序中配置 S3 网关终端节点 DNS 名称。
B. 在 VPC 中配置一个 S3 接口终端节点。在本地应用程序中配置 S3 接口终端节点 DNS 名称。
C. 在 VPC 中配置一个 S3 网关终端节点。更新 VPC 路由表以将流量路由到 S3 网关终端节点。在 VPC 中的 Amazon EC2 实例上配置一个 HTTP 代理,以将流量路由到 S3 网关终端节点。在本地应用程序中配置 HTTP 代理 DNS 名称。
D. 在 VPC 中配置一个 S3 接口终端节点。更新 VPC 路由表以将流量路由到 S3 接口终端节点。在 VPC 中的 Amazon EC2 实例上配置一个 HTTP 代理,以将流量路由到 S3 接口终端节点。在本地应用程序中配置 HTTP 代理 DNS 名称。
B
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
该公司的需求是,实现通过 AWS Direct Connect 连接将本地数据中心的应用程序私密访问 AWS S3 存储桶中的数据。也就是说,需要一个解决方案来提供到 Amazon S3 的连接,让不管是从 AWS 上的工作负载还是从本地数据中心都可以访问。
A. 不正确。S3 网关终端节点(Gateway Endpoint)通常用于 VPC 与 S3 之间的路由,但它实际上并不直接将流量路由到 S3。相反,它允许 VPC 内的实例通过 VPC 路由表将 S3 请求路由到 AWS 骨干网,而不是通过互联网。路由到网关终端节点取决于 VPC 的路由表,并且路由表不支持将 DNS 终端节点用于本地应用程序。S3 网关终端节点本身也是为 VPC 内的资源设计的。
B. 正确。S3 接口终端节点(Interface Endpoint)是 VPC 内的一个弹性网络接口,允许 VPC 内的资源通过私有连接安全地访问 S3,无需通过互联网。这完全符合通过 AWS Direct Connect 连接本地数据中心到 VPC 的场景。同时,建立了AWS Direct Connect 连接之后,本地应用程序可以通过配置 VPC 中 S3 接口终端节点的 DNS 名称来访问 S3。
C. 不正确。与选项 A 类似,S3 网关终端节点(Gateway Endpoint)用于本地应用程序;并且HTTP 代理配置也是不必要的。
D. 不正确。HTTP 代理配置是不必要的,使用 AWS Direct Connect 和 S3 接口终端节点的帮助下,本地应用程序可以直接、私密且高效地访问 S3,无需额外的代理层。另外,使用该HTTP代理,它还会产生额外的单点故障。