一家公司正在 AWS 上设计基础设施,其中三个 VPC 连接到一个 Transit Gateway。这三个 VPC 是应用程序 VPC、后端 VPC 和检查 VPC。应用程序 VPC 和后端 VPC 在可用区 A 和可用区 B 中部署了计算实例。在检查 VPC(这是一个共享服务 VPC)的同一可用区中部署了有状态防火墙。 所有流量通过检查 VPC 的有状态第 7 层虚拟防火墙设备进行路由,以符合要求进行流量检查的安全策略。这三个 VPC 之间没有重叠的 IP 地址。网络工程师必须确保应用程序 VPC 和后端 VPC 之间的流量可以通过检查VPC 的有状态防火墙进行路由。
哪种解决方案将满足这些要求?
A. 在 Transit Gateway 和虚拟防火墙设备之间创建 IPsec VPN 连接。
B. 在虚拟防火墙设备上配置虚拟路由器冗余协议 (VRRP)。
C. 在 Transit Gateway 和虚拟防火墙设备之间设置 BGP。
D. 为到检查 VPC 的 VPC 连接启用 Transit Gateway 设备模式。
D
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
针对这家公司的基础设施设计需求,需要确保应用程序VPC和后端VPC的的流量能够通过检查VPC的有状态防火墙进行路由。
A. 不正确。该方案将创建不必要的连接。IPsec VPN 连接通常用于在不同网络之间建立安全的加密通道。然而,在这个场景中,由于所有VPC已经通过Transit Gateway连接,再建立IPsec VPN连接可能会增加不必要的复杂性。此外,IPsec VPN不是Transit Gateway的标准配置方式,且不一定能满足通过特定防火墙进行流量检查的需求。
B. 不正确。该方案使用虚拟路由器冗余协议 (VRRP) 以提供实例负载共享。VRRP是一种用于提高网络可靠性的协议,它允许在网络设备之间实现虚拟路由器的冗余。该协议依赖于多播,在 VPC 中不支持多播,AWS 不直接支持该协议。而且VRRP并不直接解决流量路由的问题,特别是当涉及到通过特定防火墙进行流量检查时。
C. 不正确。BGP(边界网关协议)是一种用于在自治系统之间交换路由信息的协议,虽然BGP在网络路由中非常重要,BGP主要用于不同自治系统之间的路由交换。而该公司的需求是确保流量通过特定的防火墙进行路由,而不是在不同自治系统之间路由。另外,虚拟防火墙设备无法将 BGP 对等连接与 Transit Gateway 一起使用
D. 正确。Transit Gateway的设备模式允许将流量从一个VPC通过Transit Gateway路由到另一个VPC,同时可以通过特定的附加组件(如防火墙)进行流量检查。本案例中,启用设备模式可以确保应用程序VPC和后端VPC的流量通过检查VPC的有状态防火墙进行路由。