[AWS][SAA][EXAMTOPICS] Question 324

A single AWS account allows a business to host its internet-facing containerized web application on an Amazon Elastic Kubernetes Service (Amazon EKS) cluster.
The EKS cluster is located inside a VPC's private subnet. The EKS cluster is accessed by system administrators through a bastion server on a public network.
The company's new security policy prohibits the usage of bastion hosts. Additionally, the organization must prohibit internet access to the EKS cluster.

Which option best fits these criteria in terms of cost-effectiveness?

• A. Set up an AWS Direct Connect connection.
• B. Create a transit gateway.
• C. Establish a VPN connection.
• D. Use AWS Storage Gateway.

 

한글 번역

단일 AWS 계정을 통해 기업은 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에서 인터넷 연결 컨테이너화된 웹 애플리케이션을 호스팅할 수 있습니다.
EKS 클러스터는 VPC의 프라이빗 서브넷 내부에 있습니다. EKS 클러스터는 공용 네트워크의 배스천 서버를 통해 시스템 관리자가 액세스합니다.
회사의 새로운 보안 정책은 배스천 호스트의 사용을 금지합니다. 또한 조직은 EKS 클러스터에 대한 인터넷 액세스를 금지해야 합니다.

비용 효율성 측면에서 이러한 기준에 가장 적합한 옵션은 무엇입니까?

• A. AWS Direct Connect 연결을 설정합니다.
• B. 전송 게이트웨이를 만듭니다.
• C. VPN 연결을 설정합니다.
• D. AWS Storage Gateway를 사용합니다.

 

 

 

정답

• C. Establish a VPN connection.

 

해설

프라이빗 서브넷만 있고 AWS Site-to-Site VPN 액세스가 있는 VPC

이 시나리오의 구성에는 단일 사설 서브넷이 있는 가상 사설 클라우드(VPC)와 IPsec VPN 터널을 통해 자체 네트워크와 통신할 수 있는 가상 사설 게이트웨이가 포함됩니다. 인터넷을 통한 통신을 가능하게 하는 인터넷 게이트웨이가 없습니다. 네트워크를 클라우드 로 확장하려는 경우 이 시나리오를 권장합니다 .네트워크를 인터넷에 노출하지 않고 Amazon의 인프라를 사용합니다.

이 시나리오는 IPv6에 대해 선택적으로 구성할 수도 있습니다. 서브넷으로 시작된 인스턴스는 IPv6 주소를 수신할 수 있습니다. 우리는 가상 프라이빗 게이트웨이에서 AWS Site-to-Site VPN 연결을 통한 IPv6 통신을 지원하지 않습니다. 그러나 VPC의 인스턴스는 IPv6을 통해 서로 통신할 수 있습니다. IPv4 및 IPv6 주소 지정에 대한 자세한 내용은 IP 주소 지정 을 참조하십시오 .

 

참조 문서

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Scenario4.html