[AWS][SAA][EXAMTOPICS] Question 110

A firm just launched a two-tier application in the us-east-1 Region's two Availability Zones. Databases are located on a private subnet, whereas web servers are located on a public subnet. The VPC is connected to the internet through an internet gateway. Amazon EC2 instances are used to host the application and database. The database servers are unable to connect to the internet in order to get fixes. A solutions architect must create a system that ensures database security while incurring the fewest operating costs.

Which solution satisfies these criteria?

• A. Deploy a NAT gateway inside the public subnet for each Availability Zone and associate it with an Elastic IP address. Update the routing table of the private subnet to use it as the default route.
• B. Deploy a NAT gateway inside the private subnet for each Availability Zone and associate it with an Elastic IP address. Update the routing table of the private subnet to use it as the default route.
• C. Deploy two NAT instances inside the public subnet for each Availability Zone and associate them with Elastic IP addresses. Update the routing table of the private subnet to use it as the default route.
• D. Deploy two NAT instances inside the private subnet for each Availability Zone and associate them with Elastic IP addresses. Update the routing table of the private subnet to use it as the default route.

 

한글 번역

한 회사가 us-east-1 리전의 2개 가용 영역에서 2계층 애플리케이션을 시작했습니다. 데이터베이스는 프라이빗 서브넷에 있는 반면 웹 서버는 퍼블릭 서브넷에 있습니다. VPC는 인터넷 게이트웨이를 통해 인터넷에 연결됩니다. Amazon EC2 인스턴스는 애플리케이션과 데이터베이스를 호스팅하는 데 사용됩니다. 데이터베이스 서버가 수정 사항을 얻기 위해 인터넷에 연결할 수 없습니다. 솔루션 설계자는 운영 비용을 최소화하면서 데이터베이스 보안을 보장하는 시스템을 만들어야 합니다.

어떤 솔루션이 이러한 기준을 충족합니까?

• A. 각 가용 영역의 퍼블릭 서브넷 내부에 NAT 게이트웨이를 배포하고 이를 탄력적 IP 주소와 연결합니다. 기본 경로로 사용하도록 프라이빗 서브넷의 라우팅 테이블을 업데이트합니다.
• B. 각 가용 영역의 프라이빗 서브넷 내부에 NAT 게이트웨이를 배포하고 이를 탄력적 IP 주소와 연결합니다. 기본 경로로 사용하도록 프라이빗 서브넷의 라우팅 테이블을 업데이트합니다.
• C. 각 가용 영역에 대해 퍼블릭 서브넷 내부에 두 개의 NAT 인스턴스를 배포하고 탄력적 IP 주소와 연결합니다. 기본 경로로 사용하도록 프라이빗 서브넷의 라우팅 테이블을 업데이트합니다.
• D. 각 가용 영역의 프라이빗 서브넷 내부에 두 개의 NAT 인스턴스를 배포하고 탄력적 IP 주소와 연결합니다. 기본 경로로 사용하도록 프라이빗 서브넷의 라우팅 테이블을 업데이트합니다.

 

 

 

정답

• A. Deploy a NAT gateway inside the public subnet for each Availability Zone and associate it with an Elastic IP address. Update the routing table of the private subnet to use it as the default route.

 

해설

NAT 디바이스를 사용하여 프라이빗 서브넷의 리소스가 인터넷, 다른 VPC 또는 온프레미스 네트워크에 연결되도록 허용할 수 있습니다. 이러한 인스턴스는 VPC 외부의 서비스와 통신할 수 있지만 원치 않는 연결 요청은 받을 수는 없습니다.

NAT 디바이스는 인스턴스의 소스 IPv4 주소를 NAT 디바이스의 주소로 바꿉니다. 인스턴스에 응답 트래픽을 전송할 때 NAT 디바이스는 주소를 원래 소스 IPv4 주소로 다시 변환합니다.

AWS에서 제공하는 NAT 게이트웨이라는 관리형 NAT 디바이스를 사용하거나, EC2 인스턴스에서 NAT 디바이스(여기서는 NAT 인스턴스라고 함)를 생성할 수 있습니다. NAT 게이트웨이는 더 나은 가용성과 대역폭을 제공하고 관리에 소요되는 작업이 줄어들기 때문에 권장합니다.

 

퍼블릭 및 프라이빗 서브넷이 있는 VPC(NAT)

이 시나리오의 구성에는 퍼블릭 서브넷과 프라이빗 서브넷이 있는 Virtual Private Cloud(VPC)가 포함됩니다. 이 시나리오는 백엔드 서버에 대한 공개적인 액세스를 차단하면서 퍼블릭 웹 애플리케이션을 실행하려는 경우에 권장됩니다. 일반적인 예로 웹 서버는 퍼블릭 서브넷에 두고 데이터베이스 서버는 프라이빗 서브넷에 두는 다중 계층 웹 사이트가 있습니다. 웹 서버가 데이터베이스 서버와 통신할 수 있도록 보안 및 라우팅을 설정할 수 있습니다.

퍼블릭 서브넷의 인스턴스는 인터넷에 바로 아웃바운드 트래픽을 전송할 수 있는 반면, 프라이빗 서브넷의 인스턴스는 그렇게 할 수 없습니다. 반면, 프라이빗 서브넷의 인스턴스는 퍼블릭 서브넷에 있는 NAT(Network Address Translation) 게이트웨이를 사용하여 인터넷에 액세스할 수 있습니다. 소프트웨어 업데이트 시 NAT 게이트웨이를 사용하여 데이터베이스 서버를 인터넷에 연결할 수 있지만, 인터넷에서 데이터베이스 서버 연결을 설정할 수 없습니다.

이 시나리오를 IPv6에 맞게 구성할 수도 있습니다. 즉 VPC 마법사를 이용해 연결된 IPv6 CIDR 블록이 있는 VPC 및 서브넷을 만들 수 있습니다. 서브넷에서 시작한 인스턴스는 IPv6 주소를 받아 IPv6를 사용해 통신할 수 있습니다. 프라이빗 서브넷의 인스턴스는 외부 전용 인터넷 게이트웨이를 사용하여 IPv6를 통해 인터넷에 연결하지만, 인터넷은 IPv6를 통해 프라이빗 인스턴스에 대한 연결을 설정할 수 없습니다. IPv4 및 IPv6 주소 지정에 대한 자세한 내용은 서브넷의 IP 주소 지정 동작 수정 단원을 참조하십시오.

 

 

참조 문서

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpc-nat.html

NAT 디바이스를 사용하여 서브넷을 인터넷 또는 다른 VPC에 연결 - Amazon Virtual Private Cloud

https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_Scenario2.html

퍼블릭 및 프라이빗 서브넷이 있는 VPC(NAT) - Amazon Virtual Private Cloud