【问题标题】:AWS SOA-C01 exam preparation: Private VPCAWS SOA-C01 考试准备:私有 VPC
【发布时间】:2020-07-24 23:34:02
【问题描述】:

我目前正在使用学习指南 (https://www.amazon.com/dp/1119561558/) 准备 AWS SysOps 管理员助理考试。 在第 8 章 - Bastion Hosts 的复习问题中,有两个关于“私有 VPC”的问题我无法理解:

“2) 堡垒主机向私有 VPC 提供以下哪些功能?”

  • 我的答案:通过 VPC 内部的主机访问 VPC 中的资源
  • 正确答案:通过 VPC 外的主机访问 VPC 中的资源

“15) 您刚刚继承了一个新的网络架构,其中包含一个私有 VPC,其中包含大量资源和一个用于管理访问的堡垒主机。您会先执行以下哪个操作?”

  • 我的回答:删除私有 VPC 上的所有 Internet 网关。
  • 正确答案:将需要访问堡垒主机的所有 IP 列入白名单。

据我了解,典型的 VPC 架构是有一个公有子网,里面有一个 Internet 网关和堡垒主机,还有一个私有子网,两者都没有。

但这里的“私有 VPC”到底是什么意思?如果是根本无法从外部访问的 VPC?但是 VPC 之外的堡垒主机如何访问它呢?或者它们真的意味着私有子网?但是,如果子网中有一个 Internet 网关,它怎么可能是真正私有的呢?在其他课程中,IG 被定义为使子网公开的东西......

我在这里完全误解了一些概念吗?

【问题讨论】:

  • 请注意,您将其称为学习指南“来自亚马逊”,您显然是指来自销售书籍的知名网站, i> 这不是我最初的假设。这似乎不是官方认可的 Amazon/AWS 学习指南。
  • @Michael-sqlbot 你是对的,对不起。该系列的其他书籍具有完全相同的品牌,所有内容都是“官方”学习指南,而这本不是。

标签: amazon-web-services amazon-vpc


【解决方案1】:

2)

您的回答和理解是正确的。堡垒主机 vpc 中。这也是用aws写的docs

每个公有子网中的 Linux 堡垒主机具有弹性 IP 地址,以允许入站安全外壳 (SSH) 访问公有和私有子网中的 EC2 实例。

15)

我同意:“将需要访问堡垒主机的所有 IP 列入白名单”。理由是删除 Internet 网关可能会产生许多负面后果,最明显的是,无法登录堡垒主机进行任何管理工作,私有子网中的实例无法下载补丁,或者 ASG 中新启动的实例无法通过User Data下载他们需要的软件。

因此,从属于旧管理员的堡垒主机的安全组中删除旧 IP 并添加您自己的 IP 是最有意义的。

不知道这里的“私有 VPC”是什么意思。对我自己来说,私有 VPC 将是一种只能通过对等连接访问的 VPC、没有任何公共子网的 VPC,或者只能通过 VPC PrivateLink 提供对您的应用程序的访问权限的 VPC。在这种情况下,您可以使用 SSH 会话管理器登录实例,而无需任何堡垒主机和 Internet 网关。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2020-09-07
    • 2018-08-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-08-02
    相关资源
    最近更新 更多