ASai
Internet Gateway (IGW)
Một IGW cho phép giao tiếp internet hai chiều và cũng cho phép truy cập đến từ internet.
Nó không khớp với yêu cầu chỉ cho phép giao tiếp ra ngoài trong khi ngăn truy cập trực tiếp, nên đáp án này sai.
Các máy chủ trong một private subnet chỉ được phép giao tiếp ra ngoài tới internet để cập nhật phần mềm, và KHÔNG được nhận truy cập trực tiếp từ internet. Thành phần nào phù hợp NHẤT?
1 / 1
Hãy chọn một đáp án
ĐúngB
Giải thích
Chọn một thành phần cho phép giao tiếp ra ngoài từ một private subnet.
- 1「private subnet」Một subnet cô lập khỏi internet
- 2「chỉ được phép giao tiếp ra ngoài」Chỉ chiều ra = NAT gateway
- 3「KHÔNG được nhận truy cập trực tiếp」Chiều vào nên bị chặn
BĐúng
NAT gateway
Đúng. Một NAT gateway là một thành phần cho phép các instance trong một private subnet giao tiếp ra ngoài trong khi không cho phép chiều vào trực tiếp từ internet. Nó phù hợp với giao tiếp ra ngoài như cập nhật phần mềm.
CSai
Egress-Only Internet Gateway
Một Egress-Only Internet Gateway cũng chỉ cho phép giao tiếp ra ngoài, nhưng nó là một thành phần chuyên cho lưu lượng IPv6.
Với giao tiếp ra ngoài IPv4 dùng trong các bản cập nhật phần mềm thông thường, một NAT gateway được dùng, nên đáp án này sai.
DSai
VPC endpoint
Một VPC endpoint là một đường riêng tư để truy cập các dịch vụ AWS như S3 mà không đi qua internet.
Đích đến của nó giới hạn ở các dịch vụ AWS, nên nó không thể đáp ứng yêu cầu vươn ra các máy chủ cập nhật trên internet, như các repository bên ngoài, và đáp án này sai.
Điểm cần nhớ
'Private subnet' và 'chỉ giao tiếp ra ngoài' chỉ tới một NAT gateway. Kết nối internet hai chiều (public) là một IGW, chỉ ra ngoài IPv6 là một Egress-Only IGW, và một đường riêng tới các dịch vụ AWS là một VPC endpoint. Phân biệt theo chiều và đích đến.