Q1
회사에서 전송 중 암호화가 필요한 서비스를 만들 계획입니다. 트래픽은 클라이언트와 서비스의 백엔드 간에 복호화되어서는 안 됩니다. 회사는 TCP 포트 443 을 통해 gRPC 프로토콜을 사용하여 서비스를 구현합니다. 이 서비스는 최대 수천 개의 동시 연결로 확장됩니다. 서비스의 백엔드는 Kubernetes Cluster Autoscaler 및 Horizontal Pod Autoscaler 가 구성된 Amazon Elastic Kubernetes Service(Amazon EKS) duster 에서 호스팅됩니다. 회사는 클라이언트와 백엔드 간의 양방향 인증을 위해 상호 TLS 를 사용해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. Kubernetes 용 AWS 로드 밸런서 컨트롤러를 설치합니다. 해당 컨트롤러를 사용하여 트래픽을 백엔드 서비스 포드의 IP 주소로 전달하도록 포트 443 에서 TCP 리스너로 Network Load Balancer 를 구성합니다.
B. Kubernetes 용 AWS 로드 밸런서 컨트롤러를 설치합니다. 해당 컨트롤러를 사용하여 트래픽을 백엔드 서비스 포드의 IP 주소로 전달하도록 포트 443 에서 HTTPS 리스너로 Application Load Balancer 를 구성합니다.
C. 대상 그룹을 만듭니다. EKS 관리형 노드 그룹의 Auto Scaling 그룹을 대상으로 추가 포트 443 에서 HTTPS 리스너가 있는 Application Load Balancer 를 생성하여 트래픽을 대상 그룹으로 전달합니다.
D. 대상 그룹을 만듭니다. EKS 관리형 노드 그룹의 Auto Scaling 그룹을 대상으로 추가합니다. 포트 443 에서 TLS 리스너가 있는 Network Load Balancer 를 생성하여 트래픽을 대상 그룹으로 전달합니다.
Answer
A. Kubernetes 용 AWS 로드 밸런서 컨트롤러를 설치합니다. 해당 컨트롤러를 사용하여 트래픽을 백엔드 서비스 포드의 IP 주소로 전달하도록 포트 443 에서 TCP 리스너로 Network Load Balancer 를 구성합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 1 discussion - ExamTopics
www.examtopics.com
설명
ALB는 HTTP/2 및 gRPC 워크로드를 지원합니다. 하지만 회사가 클라이언트와 백엔드 간의 상호 인증을 위해 상호 TLS를 사용해야 한다고 언급되어 있습니다. 이는 클라이언트와 서비스 백엔드 간의 트래픽을 해독할 수 없음을 의미합니다. ALB는 TLS 연결을 종료하고 트래픽을 복호화하므로 제목의 요구 사항을 충족하지 않습니다. 반면, NLB는 트래픽을 해독하지 않고 TCP 트래픽을 전달할 수 있으므로 제목에 설명된 요구 사항을 충족하는 데 더 적합합니다.
Q2
회사에서 AWS 클라우드에 새 애플리케이션을 배포하고 있습니다. 회사는 Elastic Load Balancer 뒤에 위치할 고가용성 웹 서버를 원합니다. 로드 밸런서는 요청의 URL 을 기반으로 여러 대상 그룹으로 요청을 라우팅합니다. 모든 트래픽은 HTTPS 를 사용해야 합니다. TLS 처리는 로드 밸런서로 오프로드 되어야 합니다. 웹 서버는 회사가 보안을 위해 정확한 로그를 유지할 수 있도록 사용자의 IP 주소를 알아야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. HTTPS 리스너로 Application Load Balancer 를 배포합니다. 경로 기반 라우팅 규칙을 사용하여 트래픽을 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽과 함께 XForwarded-For 요청 헤더를 포함합니다.
B. 각 도메인에 대해 HTTPS 리스너가 있는 Application Load Balancer 를 배포합니다. 호스트 기반 라우팅 규칙을 사용하여 트래픽을 각 도메인의 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽과 함께 X-Forwarded-For 요청 헤더를 포함합니다.
C. TLS 수신기와 함께 Network Load Balancer 를 배포합니다. 경로 기반 라우팅 규칙을 사용하여 트래픽을 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽에 대한 클라이언트 IP 주소 보존을 구성합니다.
D. 각 도메인에 대해 TLS 리스너가 있는 Network Load Balancer 를 배포합니다. 호스트 기반 라우팅 규칙을 사용하여 트래픽을 각 도메인의 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽에 대한 클라이언트 IP 주소 보존을 구성합니다.
Answer
A. HTTPS 리스너로 Application Load Balancer 를 배포합니다. 경로 기반 라우팅 규칙을 사용하여 트래픽을 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽과 함께 XForwarded-For 요청 헤더를 포함합니다
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 2 discussion - ExamTopics
www.examtopics.com
설명
- ALB(Application Load Balancer)를 사용하여 요청의 URL 을 기반으로 여러 대상 그룹으로 트래픽을 라우팅할 수 있습니다. 모든 트래픽이 HTTPS 를 사용하도록 ALB 를 HTTPS 리스너로 구성할 수 있습니다. TLS 처리를 ALB 로 오프로드하여 웹 서버의 부하를 줄일 수 있습니다.
- 경로 기반 라우팅 규칙을 사용하여 요청의 URL 을 기반으로 올바른 대상 그룹으로 트래픽을 라우팅할 수 있습니다.
- X-Forwarded-For 요청 헤더는 웹 서버가 사용자의 IP 주소를 알고 보안을 위한 정확한 로그를 유지할 수 있도록 대상에 대한 트래픽에 포함될 수 있습니다.
Q3
한 회사가 자판기의 재고 수준을 추적하고 재입고 프로세스를 자동으로 시작하는 애플리케이션을 AWS 에서 개발했습니다. 이 회사는 이 애플리케이션을 자판기와 통합하고 전 세계 여러 시장에 자판기를 배포할 계획입니다. 애플리케이션은 us-east-1 리전의 VPC 에 상주합니다. 애플리케이션은 Application Load Balancer(ALB) 뒤에 있는 Amazon Elastic Container Service(Amazon ECS) 클러스터로 구성됩니다. 자판기에서 애플리케이션으로의 통신은 HTTPS 를 통해 이루어집니다. 이 회사는 AWS Global Accelerator 액셀러레이터를 사용하고 애플리케이션 엔드포인트 액세스를 위해 자판기에서 액셀러레이터의 정적 IP 주소를 구성할 계획입니다. 애플리케이션은 인터넷을 통해 ALB 엔드포인트에 직접 연결하는 것이 아니라 액셀러레이터를 통해서만 액세스할 수 있어야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. VPC 의 프라이빗 서브넷에 ALB 를 구성합니다. 인터넷 게이트웨이를 가리키도록 서브넷 라우팅 테이블에 경로를 추가하지 않고 인터넷 게이트웨이를 연결합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 인터넷의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
B. VPC 의 프라이빗 서브넷에서 ALB 를 구성합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 인터넷의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
C. 인터넷 게이트웨이에 연결된 VPA 의 퍼블릭 서브넷에서 ALB 를 구성합니다. 인터넷 게이트웨이를 가리키도록 서브넷 라우팅 테이블에 경로를 추가합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 액셀러레이터의 IP 주소로부터의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
D. VPC 의 프라이빗 서브넷에서 ALB 를 구성합니다. 인터넷 게이트웨이를 연결합니다. 인터넷 게이트웨이를 가리키도록 서브넷 라우팅 테이블에 경로를 추가합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 액셀러레이터의 IP 주소로부터의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
Answer
A. VPC 의 프라이빗 서브넷에 ALB 를 구성합니다. 인터넷 게이트웨이를 가리키도록 서브넷 라우팅 테이블에 경로를 추가하지 않고 인터넷 게이트웨이를 연결합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 인터넷의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 3 discussion - ExamTopics
www.examtopics.com
설명
- AWS Global Accelerator 에서 내부 Application Load Balancer 또는 Amazon EC2 인스턴스 엔드포인트를 추가하면 프라이빗 서브넷에서 대상을 지정하여 Virtual Private Cloud(VPC)의 엔드포인트 간에 인터넷 트래픽이 직접 흐르도록 할 수 있습니다.
- 로드 밸런서 또는 EC2 인스턴스를 포함하는 VPC 에는 VPC 가 인터넷 트래픽을 수락함을 나타내기 위해 인터넷 게이트웨이가 연결되어 있어야 합니다. 그러나 로드 밸런서 또는 EC2 인스턴스에는 퍼블릭 IP 주소가 필요하지 않습니다. 또한 서브넷에 연결된 인터넷 게이트웨이 경로가 필요하지 않습니다.
- 인터넷 게이트웨이 경로를 추가하지 않고 VPC의 프라이빗 서브넷에 ALB를 구성합니다. 액세스를 위해 Global Accelerator 엔드포인트 그룹을 사용하고 Global Accelerator의 인바운드 트래픽만 허용하도록 ALB의 보안 그룹을 설정하십시오.
- 이 구성은 Global Accelerator를 통해서만 애플리케이션에 액세스할 수 있도록 보장하여 ALB에 대한 직접 인터넷 액세스를 차단합니다.
https://docs.aws.amazon.com/global-accelerator/latest/dg/secure-vpc-connections.html
Q4
글로벌 배송 회사는 차량 관리 시스템을 현대화하고 있습니다. 회사에는 여러 사업부가 있습니다. 각 사업부는 동일한 AWS 리전에 있는 별도의 애플리케이션 VPC 에 있는 자체 AWS 계정에서 호스팅되는 애플리케이션을 설계하고 유지 관리합니다. 각 사업부의 애플리케이션은 중앙 공유 서비스 VPC 에서 데이터를 가져오도록 설계되었습니다. 회사는 세분화된 보안 제어를 제공하는 네트워크 연결 아키텍처를 원합니다. 아키텍처는 또한 향후 더 많은 사업부가 중앙 공유 서비스 VPC 의 데이터를 소비함에 따라 확장할 수 있어야 합니다. 가장 안전한 방식으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 중앙 전송 게이트웨이를 생성합니다. 각 애플리케이션 VPC 에 대한 VPC 연결을 생성합니다. 전송 게이트웨이를 사용하여 모든 VPC 간에 풀 메시 연결을 제공합니다.
B. 중앙 공유 서비스 VPC 와 각 사업부의 AWS 계정에 있는 각 애플리케이션 VPC 간에 VPC 피어링 연결을 생성합니다.
C. 중앙 공유 서비스 VPC 에서 AWS PrivateLink 로 구동되는 VPC 엔드포인트 서비스를 생성합니다. 각 애플리케이션 VPC 에서 VPC 엔드포인트를 생성합니다.
D. AWS Marketplace 에서 VPN 어플라이언스로 중앙 전송 VPC 를 생성합니다. 각 VPC 에서 전송 VPC 로의 VPN 연결을 생성합니다. 모든 VPC 간에 풀 메시 연결을 제공합니다.
Answer
C. 중앙 공유 서비스 VPC 에서 AWS PrivateLink 로 구동되는 VPC 엔드포인트 서비스를 생성합니다. 각 애플리케이션 VPC 에서 VPC 엔드포인트를 생성합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 4 discussion - ExamTopics
www.examtopics.com
설명
옵션 C 는 AWS PrivateLink 에서 제공하는 VPC 엔드포인트 서비스를 사용하여 안전하고 확장 가능한 솔루션을 제공합니다. AWS PrivateLink 는 데이터를 퍼블릭 인터넷에 노출하거나 VPN 연결을 사용하지 않고도 VPC 와 서비스 간의 프라이빗 연결을 지원합니다. 각 애플리케이션 VPC 에 VPC 엔드포인트를 생성함으로써 회사는 복잡한 네트워크 구성 없이도 중앙 공유 서비스 VPC 에 안전하게 액세스할 수 있습니다. 또한 PrivateLink 는 교차 계정 연결을 지원하므로 향후 더 많은 사업부가 중앙 공유 서비스 VPC 에서 데이터를 소비함에 따라 확장 가능한 솔루션이 됩니다.
Q5
회사는 링크 집계 그룹(LAG) 번들과 함께 4Gbps AWS Direct Connect 전용 연결을 사용하여 us-east-1 리전에 배포된 5 개의 VPC 에 연결합니다. 각 VPC 는 서로 다른 비즈니스 단위에 서비스를 제공하며 자체 프라이빗 VIF 를 사용하여 온프레미스 환경에 연결합니다. 사용자가 AWS 에서 호스팅되는 리소스에 액세스할 때 속도가 느려진다고 보고합니다. 네트워크 엔지니어는 처리량이 갑자기 증가하고 Direct Connect 연결이 매일 약 1 시간 동안 동시에 포화 상태가 된다는 사실을 발견했습니다. 회사는 어떤 사업부가 처리량의 급격한 증가를 초래하는지 알고 싶어합니다. 네트워크 엔지니어는 이 정보를 찾아 문제를 해결하기 위한 솔루션을 구현해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. VirtualInterfaceBpsEgress 및 VirtualInterfaceBpsIngress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내는지 확인합니다. 새로운 10Gbps 전용 연결을 만듭니다. 기존 전용 연결에서 새 전용 연결로 트래픽을 이동합니다.
B. VirtualInterfaceBpsEgress 및 VirtualInterfaceBpsIngress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내는지 확인합니다. 기존 전용 연결의 대역폭을 10Gbps 로 업그레이드합니다.
C. ConnectionBpsIngress 및 ConnectionPpsEgress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내고 있는지 확인합니다. 기존 전용 연결을 5Gbps 호스팅 연결로 업그레이드합니다.
D. ConnectionBpsIngress 및 ConnectionPpsEgress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내는지 확인합니다. 새로운 10Gbps 전용 연결을 만듭니다. 기존 전용 연결에서 새 전용 연결로 트래픽을 이동합니다.
Answer
A. VirtualInterfaceBpsEgress 및 VirtualInterfaceBpsIngress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내는지 확인합니다. 새로운 10Gbps 전용 연결을 만듭니다. 기존 전용 연결에서 새 전용 연결로 트래픽을 이동합니다.
Q6
SaaS(Software-as-a-Service) 공급자는 AWS 클라우드의 VPC 내 Amazon EC2 인스턴스에서 솔루션을 호스팅합니다. 공급자의 모든 고객도 AWS 클라우드에 환경을 가지고 있습니다. 최근 설계 회의에서 고객의 IP 주소가 공급자의 AWS 배포와 겹치는 것으로 나타났습니다. 고객은 내부 IP 주소를 공유하지 않을 것이며 인터넷을 통해 공급자의 SaaS 서비스에 연결하기를 원하지 않는다고 밝혔습니다. 이러한 요구 사항을 충족하는 솔루션의 일부인 단계 조합은 무엇입니까?
(2 개 선택)
A. Network Load Balancer 뒤에 SaaS 서비스 엔드포인트를 배포합니다.
B. 엔드포인트 서비스를 구성하고 고객에게 엔드포인트 서비스에 대한 연결을 생성할 수 있는 권한을 부여합니다.
C. Application Load Balancer 뒤에 SaaS 서비스 엔드포인트를 배포합니다.
D. 고객 VPC 에 대한 VPC 피어링 연결을 구성합니다. NAT 게이트웨이를 통해 트래픽을 라우팅합니다.
E. AWS Transit Gateway 를 배포하고 SaaS VPC 를 여기에 연결합니다. Transit Gateway 를 고객과 공유하십시오. 전송 게이트웨이에서 라우팅을 구성합니다.
Answer
A. Network Load Balancer 뒤에 SaaS 서비스 엔드포인트를 배포합니다.
B. 엔드포인트 서비스를 구성하고 고객에게 엔드포인트 서비스에 대한 연결을 생성할 수 있는 권한을 부여합니다.
참고
Q7
네트워크 엔지니어가 AWS 클라우드로 이동하는 의료 회사의 워크로드에 대한 아키텍처를 설계하고 있습니다. 온프레미스 환경에서 들어오고 나가는 모든 데이터는 전송 중에 암호화되어야 합니다. 또한 트래픽이 클라우드를 떠나 온프레미스 환경이나 인터넷으로 이동하기 전에 클라우드에서 모든 트래픽을 검사해야 합니다. 회사는 환자가 약속을 예약할 수 있도록 워크로드의 구성 요소를 인터넷에 노출할 것입니다. 아키텍처는 이러한 구성 요소를 보호하고 DDoS 공격으로부터 보호해야 합니다. 아키텍처는 또한 DDoS 이벤트 중에 확장되는 서비스에 대한 재정적 책임에 대한 보호를 제공해야 합니다. 워크로드에 대한 이러한 모든 요구 사항을 충족하기 위해 네트워크 엔지니어가 수행해야 하는 단계 조합은 무엇입니까?
(3 개 선택)
A. 트래픽 미러링을 사용하여 모든 트래픽을 트래픽 캡처 어플라이언스 플릿에 복사합니다.
B. 모든 네트워크 구성 요소에 AWS WAF 를 설정합니다.
C. 악의적인 IP 주소를 차단하기 위해 보안 그룹에서 거부 규칙을 생성하도록 AWS Lambda 함수를 구성합니다.
D. 클라우드 연결을 위해 MACsec 지원과 함께 AWS Direct Connect 를 사용합니다.
E. 게이트웨이 로드 밸런서를 사용하여 인라인 트래픽 검사를 위해 타사 방화벽을 삽입합니다.
F. AWS Shield Advanced 를 구성하고 모든 퍼블릭 자산에서 구성되었는지 확인합니다.
Answer
D. 클라우드 연결을 위해 MACsec 지원과 함께 AWS Direct Connect 를 사용합니다.
E. 게이트웨이 로드 밸런서를 사용하여 인라인 트래픽 검사를 위해 타사 방화벽을 삽입합니다.
F. AWS Shield Advanced 를 구성하고 모든 퍼블릭 자산에서 구성되었는지 확인합니다.
https://www.examtopics.com/discussions/amazon/view/103059-exam-aws-certified advanced-networking-specialty-ans-c01/
설명
AWS 클라우드로 이동하는 의료 회사의 워크로드에 대한 요구 사항을 충족하려면 네트워크 엔지니어가 다음 단계를 수행해야 합니다. 클라우드 연결을 위해 MACsec 지원과 함께 AWS Direct Connect 를 사용하여 온프레미스 환경에서 들어오고 나가는 모든 데이터가 전송 중에 암호화되도록 합니다(옵션 D).
게이트웨이 로드 밸런서를 사용하여 인라인 트래픽 검사를 위한 타사 방화벽을 삽입하여 클라우드에서 나가는 것이 허용되기 전에 클라우드의 모든 트래픽을 검사합니다(옵션 E).
DDoS 공격으로부터 인터넷에 노출된 구성 요소를 보호하고 DDoS 이벤트 중에 확장되는 서비스에 대한 재정적 책임으로부터 보호하기 위해 AWS Shield Advanced 를 구성하고 모든 퍼블릭 자산에 구성되었는지 확인합니다(옵션 F).
이러한 단계는 모든 데이터가 전송 중에 암호화되고 모든 트래픽이 클라우드를 떠나기 전에 검사되며 인터넷에 노출된 구성 요소가 DDoS 공격으로부터 보호되도록 하는 데 도움이 됩니다.
Q8
소매 회사는 AWS 에서 서비스를 실행하고 있습니다. 회사의 아키텍처에는 퍼블릭 서브넷의 ALB(Application Load Balancer)가 포함됩니다. ALB 대상 그룹은 프라이빗 서브넷의 백엔드 Amazon EC2 인스턴스로 트래픽을 보내도록 구성됩니다. 이러한 백엔드 EC2 인스턴스는 NAT 게이트웨이를 사용하여 인터넷을 통해 외부 호스팅 서비스를 호출할 수 있습니다. 회사는 청구서에서 NAT 게이트웨이 사용량이 크게 증가했음을 확인했습니다. 네트워크 엔지니어는 이러한 사용량 증가의 원인을 찾아야 합니다. NAT 게이트웨이를 통한 트래픽을 조사하기 위해 네트워크 엔지니어가 사용할 수 있는 옵션은 무엇입니까? (2 개 선택)
A. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화합니다. Amazon CloudWatch Logs 의 로그 그룹에 로그를 게시합니다. CloudWatch Logs Insights 를 사용하여 로그를 쿼리하고 분석합니다.
B. NAT 게이트웨이 액세스 로그를 활성화합니다. Amazon CloudWatch Logs 의 로그 그룹에 로그를 게시합니다. CloudWatch Logs Insights 를 사용하여 로그를 쿼리하고 분석합니다.
C. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 트래픽 미러링을 구성합니다. 트래픽을 추가 EC2 인스턴스로 보냅니다. tcpdump 및 Wireshark 와 같은 도구를 사용하여 미러링된 트래픽을 쿼리하고 분석합니다.
D. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화합니다. Amazon S3 버킷에 로그를 게시합니다. Amazon Athena 에서 S3 버킷에 대한 사용자 지정 테이블을 생성하여 로그 구조를 설명합니다. Athena 를 사용하여 로그를 쿼리하고 분석합니다.
E. NAT 게이트웨이 액세스 로그를 활성화합니다. Amazon S3 버킷에 로그를 게시합니다. Amazon Athena 에서 S3 버킷에 대한 사용자 지정 테이블을 생성하여 로그 구조를 설명합니다. Athena 를 사용하여 로그를 쿼리하고 분석합니다.
Answer
A. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화합니다. Amazon CloudWatch Logs 의 로그 그룹에 로그를 게시합니다. CloudWatch Logs Insights 를 사용하여 로그를 쿼리하고 분석합니다.
D. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화합니다. Amazon S3 버킷에 로그를 게시합니다. Amazon Athena 에서 S3 버킷에 대한 사용자 지정 테이블을 생성하여 로그 구조를 설명합니다. Athena 를 사용하여 로그를 쿼리하고 분석합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 8 discussion - ExamTopics
www.examtopics.com
설명
ALB 및 백엔드 EC2 인스턴스가 있는 VPC 아키텍처에서 NAT 게이트웨이의 사용량 증가를 조사하기 위해 네트워크 엔지니어는 다음 옵션을 사용할 수 있습니다. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화하고 Amazon CloudWatch Logs 의 로그 그룹에 로그를 게시합니다. CloudWatch Logs Insights 를 사용하여 로그를 쿼리하고 분석합니다. (옵션 A)
NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화하고 로그를 Amazon S3 버킷에 게시합니다. Amazon Athena 에서 S3 버킷에 대한 사용자 지정 테이블을 생성하여 로그 구조를 설명하고 Athena 를 사용하여 로그를 쿼리하고 분석합니다. (옵션 D)
이 옵션을 사용하면 NAT 게이트웨이를 통한 트래픽을 자세히 분석하여 사용량 증가의 원인을 식별할 수 있습니다.
Q9
은행 회사는 AWS 에서 퍼블릭 모바일 뱅킹 스택을 성공적으로 운영하고 있습니다. 모바일 뱅킹 스택은 프라이빗 서브넷과 퍼블릭 서브넷을 포함하는 VPC 에 배포됩니다. 이 회사는 IPv4 네트워킹을 사용하고 있으며 환경에 IPv6 를 배포하거나 지원하지 않았습니다. 회사는 타사 서비스 제공자의 API 를 채택하기로 결정했으며 API 를 기존 환경과 통합해야 합니다. 서비스 공급자의 API 는 IPv6 을 사용해야 합니다. 네트워크 엔지니어는 프라이빗 서브넷에 배포된 기존 워크로드에 대해 IPv6 연결을 켜야 합니다. 회사는 공용 인터넷의 IPv6 트래픽을 허용하지 않으려고 하며 회사 서버에서 모든 IPv6 연결을 시작해야 합니다. 네트워크 엔지니어는 VPC 와 프라이빗 서브넷에서 IPv6 를 켭니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. VPC 에서 인터넷 게이트웨이와 NAT 게이트웨이를 생성합니다. IPv6 트래픽이 NAT 게이트웨이를 가리키도록 기존 서브넷 라우팅 테이블에 경로를 추가합니다.
B. VPC 에서 인터넷 게이트웨이와 NAT 인스턴스를 생성합니다. IPv6 트래픽이 NAT 인스턴스를 가리키도록 기존 서브넷 라우팅 테이블에 경로를 추가합니다.
C. VP 에서 외부 전용 인터넷 게이트웨이를 생성합니다. IPv6 트래픽이 외부 전용 인터넷 게이트웨이를 가리키도록 기존 서브넷 경로 테이블에 대한 경로를 추가합니다.
D. VPC 에서 외부 전용 인터넷 게이트웨이를 생성합니다. 모든 인바운드 트래픽을 거부하는 보안 그룹을 구성합니다. 보안 그룹을 외부 전용 인터넷 게이트웨이와 연결합니다.
Answer
C. VP 에서 외부 전용 인터넷 게이트웨이를 생성합니다. IPv6 트래픽이 외부 전용 인터넷 게이트웨이를 가리키도록 기존 서브넷 경로 테이블에 대한 경로를 추가합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 9 discussion - ExamTopics
www.examtopics.com
설명
옵션 C는 VPC에 외부 전용 인터넷 게이트웨이를 생성하고 기존 서브넷 라우팅 테이블에 경로를 추가하여 IPv6 트래픽이 외부 전용 인터넷 게이트웨이를 가리키도록 제안하므로 정답입니다. 이는 공용 인터넷에서 IPv6 트래픽을 허용하지 않는다는 요구 사항을 충족하며 회사 서버가 모든 IPv6 연결을 시작해야 함을 요구합니다. 외부 전용 인터넷 게이트웨이는 IPv6를 통한 아웃바운드 통신을 허용하지만 인바운드 트래픽은 차단합니다.
Q10
회사에서 AWS Network Firewall 방화벽을 VPC 에 배포했습니다. 네트워크 엔지니어는 최대한 짧은 시간에 회사의 Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터에 네트워크 방화벽 흐름 로그를 제공하는 솔루션을 구현해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. Amazon S3 버킷을 생성합니다. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터에 로그를 로드하는 AWS Lambda 함수를 생성합니다. S3 버킷에서 Amazon Simple Notification Service(Amazon SNS) 알림을 활성화하여 Lambda 함수를 호출합니다. 방화벽에 대한 흐름 로그를 구성합니다. S3 버킷을 대상으로 설정합니다.
B. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터를 대상으로 포함하는 Amazon Kinesis Data Firehose 전송 스트림을 생성합니다. 방화벽에 대한 흐름 로그 구성 Kinesis Data Firehose 전송 스트림을 네트워크 방화벽 흐름 로그의 대상으로 설정합니다.
C. 방화벽에 대한 흐름 로그를 구성합니다. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터를 네트워크 방화벽 흐름 로그의 대상으로 설정합니다.
D. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터를 대상으로 포함하는 Amazon Kinesis 데이터 스트림을 생성합니다. 방화벽에 대한 흐름 로그를 구성합니다. Kinesis 데이터 스트림을 네트워크 방화벽 흐름 로그의 대상으로 설정합니다.
Answer
B. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터를 대상으로 포함하는 Amazon Kinesis Data Firehose 전송 스트림을 생성합니다. 방화벽에 대한 흐름 로그 구성 Kinesis Data Firehose 전송 스트림을 네트워크 방화벽 흐름 로그의 대상으로 설정합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 10 discussion - ExamTopics
www.examtopics.com
설명
요청 시간이 가장 짧기 때문입니다. Firehose는 가장 짧은 목적지 중 하나이며 OpenSearch와 더 잘 통합됩니다.
네트워크 방화벽 로그 전송 시간은 위치 유형에 따라 다르며, Amazon CloudWatch Logs 및 Amazon Kinesis Data Firehose의 경우 평균 3~6분, Amazon Simple Storage Service 버킷의 경우 8~12분입니다.
'AWS Cloud > ANS - Certification' 카테고리의 다른 글
| ANS Dump - 문제 및 해설 Q51 - Q60 (0) | 2024.06.27 |
|---|---|
| ANS Dump - 문제 및 해설 Q41 - Q50 (0) | 2024.06.27 |
| ANS Dump - 문제 및 해설 Q31 - Q40 (0) | 2024.06.27 |
| ANS Dump - 문제 및 해설 Q21 - Q30 (0) | 2024.06.27 |
| ANS Dump - 문제 및 해설 Q11 - Q20 (0) | 2024.06.26 |