A medical records company is hosting an application on Amazon EC2 instances. The application processes customer data files that are stored on Amazon S3. The EC2 instances are hosted in public subnets. The EC2 instances access Amazon S3 over the internet, but they do not require any other network access. A new requirement mandates that the network traffic for file transfers take a private route and not be sent over the internet.
Which change to the network architecture should a solutions architect recommend to meet this requirement?
A. Create a NAT gateway. Configure the route table for the public subnets to send traffic to Amazon S3 through the NAT gateway.
B. Configure the security group for the EC2 instances to restrict outbound traffic so that only traffic to the S3 prefix list is permitted.
C. Move the EC2 instances to private subnets. Create a VPC endpoint for Amazon S3, and link the endpoint to the route table for the private subnets.
D. Remove the internet gateway from the VPC. Set up an AWS Direct Connect connection, and route traffic to Amazon S3 over the Direct Connect connection.
C
一家医疗记录公司在亚马逊弹性计算云(Amazon EC2)实例上托管一个应用程序。该应用程序处理存储在亚马逊简单存储服务(Amazon S3)上的客户数据文件。EC2实例托管在公有子网中。EC2实例通过互联网访问Amazon S3,但它们不需要其他任何网络访问。一项新要求规定,文件传输的网络流量必须走私有路由,不能通过互联网发送。为了满足这一要求,解决方案架构师应建议对网络架构做出何种更改?当前EC2实例在公有子网中通过互联网访问S3存储数据文件,现需将文件传输的网络流量改为私有路由,避免经过互联网,需从四个选项中选择合适的网络架构更改方案。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。创建一个NAT网关。配置公有子网的路由表,使发往Amazon S3的流量通过NAT网关。NAT网关的作用是为私有子网中的实例提供访问互联网的途径,本题要求不走互联网,且EC2实例在公有子网,使用NAT网关不仅无法满足不走互联网的要求,还会增加不必要的网络复杂度和成本,所以该选项不合适。
B. 不正确。配置EC2实例的安全组,限制出站流量,仅允许发往S3前缀列表的流量。安全组只能控制流量的允许或拒绝,无法改变流量的路由路径。即使限制了出站流量仅到S3,流量仍然会通过互联网传输,不能满足不走互联网的要求,因此该选项不正确。
C. 正确。将EC2实例移动到私有子网。创建一个Amazon S3的VPC端点,并将该端点关联到私有子网的路由表。将EC2实例移至私有子网后,默认无法访问互联网。创建S3的VPC端点,可使私有子网中的实例通过私有网络直接连接到S3,无需经过互联网,满足了文件传输走私有路由的要求,是合适的解决方案。
D. 不正确。从VPC中移除互联网网关。设置一个AWS Direct Connect连接,并通过Direct Connect连接将流量路由到Amazon S3。移除互联网网关会使VPC内的实例无法访问互联网(除通过Direct Connect等特殊方式),但设置Direct Connect需要与本地数据中心建立物理连接,成本高昂且配置复杂,对于仅需实现与S3私有连接的需求来说,过于繁琐和不经济,所以该选项不合适。
公有子网与私有子网特性:公有子网中的实例可通过互联网网关访问互联网;私有子网中的实例默认无法直接访问互联网,通常需要借助NAT网关等设备实现出站互联网访问,但可利用VPC端点实现与AWS服务的私有连接。
VPC端点作用:VPC端点允许VPC内的实例无需通过互联网网关或NAT设备,即可私有地连接到AWS服务(如S3),能满足不走互联网的流量路由需求。
网络访问控制方式:安全组主要用于控制实例的入站和出站流量,但无法改变流量的路由路径;NAT网关用于为私有子网中的实例提供互联网访问,不符合本题不走互联网的要求;移除互联网网关并使用Direct Connect虽能实现不通过互联网,但成本高且操作复杂。