A company has a three-tier web application that is deployed on AWS. The web servers are deployed in a public subnet in a VPC. The application servers and database servers are deployed in private subnets in the same VPC. The company has deployed a third-party virtual firewall appliance from AWS Marketplace in an inspection VPC. The appliance is configured with an IP interface that can accept IP packets.
A solutions architect needs to integrate the web application with the appliance to inspect all traffic to the application before the traffic reaches the web server.
Which solution will meet these requirements with the LEAST operational overhead?
A. Create a Network Load Balancer in the public subnet of the application's VPC to route the traffic to the appliance for packet inspection.
B. Create an Application Load Balancer in the public subnet of the application's VPC to route the traffic to the appliance for packet inspection.
C. Deploy a transit gateway in the inspection VPC Configure route tables to route the incoming packets through the transit gateway.
D. Deploy a Gateway Load Balancer in the inspection VPC. Create a Gateway Load Balancer endpoint to receive the incoming packets and forward the packets to the appliance.
D
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
一家公司在 AWS 上部署了一个三层 Web 应用程序。Web 服务器部署在 VPC 的公共子网中,应用服务器和数据库服务器部署在同一 VPC 的私有子网中。公司已在检查 VPC 中部署了一个来自 AWS Marketplace 的第三方虚拟防火墙设备,该设备配置了一个可接受 IP 数据包的 IP 接口。解决方案架构师需要将 Web 应用程序与该设备集成,以便在流量到达 Web 服务器之前对所有流量进行检查。
A. 不正确。使用网络负载均衡器(NLB)。NLB工作在第四层(传输层),可以高效地转发流量,但是需要在公共子网中部署NLB,可能会增加安全风险。需要额外的配置来将流量从NLB路由到检查设备,然后再路由回Web服务器,增加了网络复杂性和运营开销。无法直接作为网关使用,可能需要额外的路由配置。
B. 不正确。使用应用负载均衡器(ALB)。ALB工作在第七层(应用层),支持基于HTTP/HTTPS的路由。但是ALB主要用于应用层的负载均衡,需要在公共子网中部署,增加了安全风险。不适合用于第四层的数据包检查,而且配置复杂,无法直接满足数据包检查的需求
C. 不正确。使用传输网关(Transit Gateway)。传输网关可以连接多个VPC和本地网络,提供中心化的路由。但是需要配置复杂的路由表,将流量从应用程序VPC路由到检查VPC,再路由回Web服务器。传输网关主要用于VPC间的连接,而不是专门用于流量检查。运营开销较大,需要管理多个路由和连接。
D. 正确。使用网关负载均衡器(GWLB)。GWLB专门设计用于将流量路由到第三方网络设备(如防火墙、IDS/IPS等)进行检查。可以通过GWLB端点直接将流量路由到检查设备,无需额外的负载均衡器或复杂的路由配置。提供了内置的流量分发和健康检查功能,减少了运营开销,设备可以以透明网关的形式工作,无需修改应用程序的路由表。