Q1
회사에서 전송 중 암호화가 필요한 서비스를 만들 계획입니다. 트래픽은 클라이언트와 서비스의 백엔드 간에 복호화되어서는 안 됩니다. 회사는 TCP 포트 443 을 통해 gRPC 프로토콜을 사용하여 서비스를 구현합니다. 이 서비스는 최대 수천 개의 동시 연결로 확장됩니다. 서비스의 백엔드는 Kubernetes Cluster Autoscaler 및 Horizontal Pod Autoscaler 가 구성된 Amazon Elastic Kubernetes Service(Amazon EKS) duster 에서 호스팅됩니다. 회사는 클라이언트와 백엔드 간의 양방향 인증을 위해 상호 TLS 를 사용해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. Kubernetes 용 AWS 로드 밸런서 컨트롤러를 설치합니다. 해당 컨트롤러를 사용하여 트래픽을 백엔드 서비스 포드의 IP 주소로 전달하도록 포트 443 에서 TCP 리스너로 Network Load Balancer 를 구성합니다.
B. Kubernetes 용 AWS 로드 밸런서 컨트롤러를 설치합니다. 해당 컨트롤러를 사용하여 트래픽을 백엔드 서비스 포드의 IP 주소로 전달하도록 포트 443 에서 HTTPS 리스너로 Application Load Balancer 를 구성합니다.
C. 대상 그룹을 만듭니다. EKS 관리형 노드 그룹의 Auto Scaling 그룹을 대상으로 추가 포트 443 에서 HTTPS 리스너가 있는 Application Load Balancer 를 생성하여 트래픽을 대상 그룹으로 전달합니다.
D. 대상 그룹을 만듭니다. EKS 관리형 노드 그룹의 Auto Scaling 그룹을 대상으로 추가합니다. 포트 443 에서 TLS 리스너가 있는 Network Load Balancer 를 생성하여 트래픽을 대상 그룹으로 전달합니다.
Answer
A. Kubernetes 용 AWS 로드 밸런서 컨트롤러를 설치합니다. 해당 컨트롤러를 사용하여 트래픽을 백엔드 서비스 포드의 IP 주소로 전달하도록 포트 443 에서 TCP 리스너로 Network Load Balancer 를 구성합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 1 discussion - ExamTopics
www.examtopics.com
설명
ALB는 HTTP/2 및 gRPC 워크로드를 지원합니다. 하지만 회사가 클라이언트와 백엔드 간의 상호 인증을 위해 상호 TLS를 사용해야 한다고 언급되어 있습니다. 이는 클라이언트와 서비스 백엔드 간의 트래픽을 해독할 수 없음을 의미합니다. ALB는 TLS 연결을 종료하고 트래픽을 복호화하므로 제목의 요구 사항을 충족하지 않습니다. 반면, NLB는 트래픽을 해독하지 않고 TCP 트래픽을 전달할 수 있으므로 제목에 설명된 요구 사항을 충족하는 데 더 적합합니다.
Q2
회사에서 AWS 클라우드에 새 애플리케이션을 배포하고 있습니다. 회사는 Elastic Load Balancer 뒤에 위치할 고가용성 웹 서버를 원합니다. 로드 밸런서는 요청의 URL 을 기반으로 여러 대상 그룹으로 요청을 라우팅합니다. 모든 트래픽은 HTTPS 를 사용해야 합니다. TLS 처리는 로드 밸런서로 오프로드 되어야 합니다. 웹 서버는 회사가 보안을 위해 정확한 로그를 유지할 수 있도록 사용자의 IP 주소를 알아야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. HTTPS 리스너로 Application Load Balancer 를 배포합니다. 경로 기반 라우팅 규칙을 사용하여 트래픽을 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽과 함께 XForwarded-For 요청 헤더를 포함합니다.
B. 각 도메인에 대해 HTTPS 리스너가 있는 Application Load Balancer 를 배포합니다. 호스트 기반 라우팅 규칙을 사용하여 트래픽을 각 도메인의 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽과 함께 X-Forwarded-For 요청 헤더를 포함합니다.
C. TLS 수신기와 함께 Network Load Balancer 를 배포합니다. 경로 기반 라우팅 규칙을 사용하여 트래픽을 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽에 대한 클라이언트 IP 주소 보존을 구성합니다.
D. 각 도메인에 대해 TLS 리스너가 있는 Network Load Balancer 를 배포합니다. 호스트 기반 라우팅 규칙을 사용하여 트래픽을 각 도메인의 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽에 대한 클라이언트 IP 주소 보존을 구성합니다.
Answer
A. HTTPS 리스너로 Application Load Balancer 를 배포합니다. 경로 기반 라우팅 규칙을 사용하여 트래픽을 올바른 대상 그룹으로 전달합니다. 대상에 대한 트래픽과 함께 XForwarded-For 요청 헤더를 포함합니다
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 2 discussion - ExamTopics
www.examtopics.com
설명
- ALB(Application Load Balancer)를 사용하여 요청의 URL 을 기반으로 여러 대상 그룹으로 트래픽을 라우팅할 수 있습니다. 모든 트래픽이 HTTPS 를 사용하도록 ALB 를 HTTPS 리스너로 구성할 수 있습니다. TLS 처리를 ALB 로 오프로드하여 웹 서버의 부하를 줄일 수 있습니다.
- 경로 기반 라우팅 규칙을 사용하여 요청의 URL 을 기반으로 올바른 대상 그룹으로 트래픽을 라우팅할 수 있습니다.
- X-Forwarded-For 요청 헤더는 웹 서버가 사용자의 IP 주소를 알고 보안을 위한 정확한 로그를 유지할 수 있도록 대상에 대한 트래픽에 포함될 수 있습니다.
Q3
한 회사가 자판기의 재고 수준을 추적하고 재입고 프로세스를 자동으로 시작하는 애플리케이션을 AWS 에서 개발했습니다. 이 회사는 이 애플리케이션을 자판기와 통합하고 전 세계 여러 시장에 자판기를 배포할 계획입니다. 애플리케이션은 us-east-1 리전의 VPC 에 상주합니다. 애플리케이션은 Application Load Balancer(ALB) 뒤에 있는 Amazon Elastic Container Service(Amazon ECS) 클러스터로 구성됩니다. 자판기에서 애플리케이션으로의 통신은 HTTPS 를 통해 이루어집니다. 이 회사는 AWS Global Accelerator 액셀러레이터를 사용하고 애플리케이션 엔드포인트 액세스를 위해 자판기에서 액셀러레이터의 정적 IP 주소를 구성할 계획입니다. 애플리케이션은 인터넷을 통해 ALB 엔드포인트에 직접 연결하는 것이 아니라 액셀러레이터를 통해서만 액세스할 수 있어야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. VPC 의 프라이빗 서브넷에 ALB 를 구성합니다. 인터넷 게이트웨이를 가리키도록 서브넷 라우팅 테이블에 경로를 추가하지 않고 인터넷 게이트웨이를 연결합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 인터넷의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
B. VPC 의 프라이빗 서브넷에서 ALB 를 구성합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 인터넷의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
C. 인터넷 게이트웨이에 연결된 VPA 의 퍼블릭 서브넷에서 ALB 를 구성합니다. 인터넷 게이트웨이를 가리키도록 서브넷 라우팅 테이블에 경로를 추가합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 액셀러레이터의 IP 주소로부터의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
D. VPC 의 프라이빗 서브넷에서 ALB 를 구성합니다. 인터넷 게이트웨이를 연결합니다. 인터넷 게이트웨이를 가리키도록 서브넷 라우팅 테이블에 경로를 추가합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 액셀러레이터의 IP 주소로부터의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
Answer
A. VPC 의 프라이빗 서브넷에 ALB 를 구성합니다. 인터넷 게이트웨이를 가리키도록 서브넷 라우팅 테이블에 경로를 추가하지 않고 인터넷 게이트웨이를 연결합니다. ALB 엔드포인트를 포함하는 엔드포인트 그룹으로 액셀러레이터를 구성합니다. ALB 수신기 포트에서 인터넷의 인바운드 트래픽만 허용하도록 ALB 의 보안 그룹을 구성합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 3 discussion - ExamTopics
www.examtopics.com
설명
- AWS Global Accelerator 에서 내부 Application Load Balancer 또는 Amazon EC2 인스턴스 엔드포인트를 추가하면 프라이빗 서브넷에서 대상을 지정하여 Virtual Private Cloud(VPC)의 엔드포인트 간에 인터넷 트래픽이 직접 흐르도록 할 수 있습니다.
- 로드 밸런서 또는 EC2 인스턴스를 포함하는 VPC 에는 VPC 가 인터넷 트래픽을 수락함을 나타내기 위해 인터넷 게이트웨이가 연결되어 있어야 합니다. 그러나 로드 밸런서 또는 EC2 인스턴스에는 퍼블릭 IP 주소가 필요하지 않습니다. 또한 서브넷에 연결된 인터넷 게이트웨이 경로가 필요하지 않습니다.
- 인터넷 게이트웨이 경로를 추가하지 않고 VPC의 프라이빗 서브넷에 ALB를 구성합니다. 액세스를 위해 Global Accelerator 엔드포인트 그룹을 사용하고 Global Accelerator의 인바운드 트래픽만 허용하도록 ALB의 보안 그룹을 설정하십시오.
- 이 구성은 Global Accelerator를 통해서만 애플리케이션에 액세스할 수 있도록 보장하여 ALB에 대한 직접 인터넷 액세스를 차단합니다.
https://docs.aws.amazon.com/global-accelerator/latest/dg/secure-vpc-connections.html
Q4
글로벌 배송 회사는 차량 관리 시스템을 현대화하고 있습니다. 회사에는 여러 사업부가 있습니다. 각 사업부는 동일한 AWS 리전에 있는 별도의 애플리케이션 VPC 에 있는 자체 AWS 계정에서 호스팅되는 애플리케이션을 설계하고 유지 관리합니다. 각 사업부의 애플리케이션은 중앙 공유 서비스 VPC 에서 데이터를 가져오도록 설계되었습니다. 회사는 세분화된 보안 제어를 제공하는 네트워크 연결 아키텍처를 원합니다. 아키텍처는 또한 향후 더 많은 사업부가 중앙 공유 서비스 VPC 의 데이터를 소비함에 따라 확장할 수 있어야 합니다. 가장 안전한 방식으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 중앙 전송 게이트웨이를 생성합니다. 각 애플리케이션 VPC 에 대한 VPC 연결을 생성합니다. 전송 게이트웨이를 사용하여 모든 VPC 간에 풀 메시 연결을 제공합니다.
B. 중앙 공유 서비스 VPC 와 각 사업부의 AWS 계정에 있는 각 애플리케이션 VPC 간에 VPC 피어링 연결을 생성합니다.
C. 중앙 공유 서비스 VPC 에서 AWS PrivateLink 로 구동되는 VPC 엔드포인트 서비스를 생성합니다. 각 애플리케이션 VPC 에서 VPC 엔드포인트를 생성합니다.
D. AWS Marketplace 에서 VPN 어플라이언스로 중앙 전송 VPC 를 생성합니다. 각 VPC 에서 전송 VPC 로의 VPN 연결을 생성합니다. 모든 VPC 간에 풀 메시 연결을 제공합니다.
Answer
C. 중앙 공유 서비스 VPC 에서 AWS PrivateLink 로 구동되는 VPC 엔드포인트 서비스를 생성합니다. 각 애플리케이션 VPC 에서 VPC 엔드포인트를 생성합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 4 discussion - ExamTopics
www.examtopics.com
설명
옵션 C 는 AWS PrivateLink 에서 제공하는 VPC 엔드포인트 서비스를 사용하여 안전하고 확장 가능한 솔루션을 제공합니다. AWS PrivateLink 는 데이터를 퍼블릭 인터넷에 노출하거나 VPN 연결을 사용하지 않고도 VPC 와 서비스 간의 프라이빗 연결을 지원합니다. 각 애플리케이션 VPC 에 VPC 엔드포인트를 생성함으로써 회사는 복잡한 네트워크 구성 없이도 중앙 공유 서비스 VPC 에 안전하게 액세스할 수 있습니다. 또한 PrivateLink 는 교차 계정 연결을 지원하므로 향후 더 많은 사업부가 중앙 공유 서비스 VPC 에서 데이터를 소비함에 따라 확장 가능한 솔루션이 됩니다.
Q5
회사는 링크 집계 그룹(LAG) 번들과 함께 4Gbps AWS Direct Connect 전용 연결을 사용하여 us-east-1 리전에 배포된 5 개의 VPC 에 연결합니다. 각 VPC 는 서로 다른 비즈니스 단위에 서비스를 제공하며 자체 프라이빗 VIF 를 사용하여 온프레미스 환경에 연결합니다. 사용자가 AWS 에서 호스팅되는 리소스에 액세스할 때 속도가 느려진다고 보고합니다. 네트워크 엔지니어는 처리량이 갑자기 증가하고 Direct Connect 연결이 매일 약 1 시간 동안 동시에 포화 상태가 된다는 사실을 발견했습니다. 회사는 어떤 사업부가 처리량의 급격한 증가를 초래하는지 알고 싶어합니다. 네트워크 엔지니어는 이 정보를 찾아 문제를 해결하기 위한 솔루션을 구현해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. VirtualInterfaceBpsEgress 및 VirtualInterfaceBpsIngress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내는지 확인합니다. 새로운 10Gbps 전용 연결을 만듭니다. 기존 전용 연결에서 새 전용 연결로 트래픽을 이동합니다.
B. VirtualInterfaceBpsEgress 및 VirtualInterfaceBpsIngress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내는지 확인합니다. 기존 전용 연결의 대역폭을 10Gbps 로 업그레이드합니다.
C. ConnectionBpsIngress 및 ConnectionPpsEgress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내고 있는지 확인합니다. 기존 전용 연결을 5Gbps 호스팅 연결로 업그레이드합니다.
D. ConnectionBpsIngress 및 ConnectionPpsEgress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내는지 확인합니다. 새로운 10Gbps 전용 연결을 만듭니다. 기존 전용 연결에서 새 전용 연결로 트래픽을 이동합니다.
Answer
A. VirtualInterfaceBpsEgress 및 VirtualInterfaceBpsIngress 에 대한 Amazon CloudWatch 지표를 검토하여 속도 저하가 관찰되는 기간 동안 어떤 VIF 가 가장 높은 처리량을 보내는지 확인합니다. 새로운 10Gbps 전용 연결을 만듭니다. 기존 전용 연결에서 새 전용 연결로 트래픽을 이동합니다.
Q6
SaaS(Software-as-a-Service) 공급자는 AWS 클라우드의 VPC 내 Amazon EC2 인스턴스에서 솔루션을 호스팅합니다. 공급자의 모든 고객도 AWS 클라우드에 환경을 가지고 있습니다. 최근 설계 회의에서 고객의 IP 주소가 공급자의 AWS 배포와 겹치는 것으로 나타났습니다. 고객은 내부 IP 주소를 공유하지 않을 것이며 인터넷을 통해 공급자의 SaaS 서비스에 연결하기를 원하지 않는다고 밝혔습니다. 이러한 요구 사항을 충족하는 솔루션의 일부인 단계 조합은 무엇입니까?
(2 개 선택)
A. Network Load Balancer 뒤에 SaaS 서비스 엔드포인트를 배포합니다.
B. 엔드포인트 서비스를 구성하고 고객에게 엔드포인트 서비스에 대한 연결을 생성할 수 있는 권한을 부여합니다.
C. Application Load Balancer 뒤에 SaaS 서비스 엔드포인트를 배포합니다.
D. 고객 VPC 에 대한 VPC 피어링 연결을 구성합니다. NAT 게이트웨이를 통해 트래픽을 라우팅합니다.
E. AWS Transit Gateway 를 배포하고 SaaS VPC 를 여기에 연결합니다. Transit Gateway 를 고객과 공유하십시오. 전송 게이트웨이에서 라우팅을 구성합니다.
Answer
A. Network Load Balancer 뒤에 SaaS 서비스 엔드포인트를 배포합니다.
B. 엔드포인트 서비스를 구성하고 고객에게 엔드포인트 서비스에 대한 연결을 생성할 수 있는 권한을 부여합니다.
참고
Q7
네트워크 엔지니어가 AWS 클라우드로 이동하는 의료 회사의 워크로드에 대한 아키텍처를 설계하고 있습니다. 온프레미스 환경에서 들어오고 나가는 모든 데이터는 전송 중에 암호화되어야 합니다. 또한 트래픽이 클라우드를 떠나 온프레미스 환경이나 인터넷으로 이동하기 전에 클라우드에서 모든 트래픽을 검사해야 합니다. 회사는 환자가 약속을 예약할 수 있도록 워크로드의 구성 요소를 인터넷에 노출할 것입니다. 아키텍처는 이러한 구성 요소를 보호하고 DDoS 공격으로부터 보호해야 합니다. 아키텍처는 또한 DDoS 이벤트 중에 확장되는 서비스에 대한 재정적 책임에 대한 보호를 제공해야 합니다. 워크로드에 대한 이러한 모든 요구 사항을 충족하기 위해 네트워크 엔지니어가 수행해야 하는 단계 조합은 무엇입니까?
(3 개 선택)
A. 트래픽 미러링을 사용하여 모든 트래픽을 트래픽 캡처 어플라이언스 플릿에 복사합니다.
B. 모든 네트워크 구성 요소에 AWS WAF 를 설정합니다.
C. 악의적인 IP 주소를 차단하기 위해 보안 그룹에서 거부 규칙을 생성하도록 AWS Lambda 함수를 구성합니다.
D. 클라우드 연결을 위해 MACsec 지원과 함께 AWS Direct Connect 를 사용합니다.
E. 게이트웨이 로드 밸런서를 사용하여 인라인 트래픽 검사를 위해 타사 방화벽을 삽입합니다.
F. AWS Shield Advanced 를 구성하고 모든 퍼블릭 자산에서 구성되었는지 확인합니다.
Answer
D. 클라우드 연결을 위해 MACsec 지원과 함께 AWS Direct Connect 를 사용합니다.
E. 게이트웨이 로드 밸런서를 사용하여 인라인 트래픽 검사를 위해 타사 방화벽을 삽입합니다.
F. AWS Shield Advanced 를 구성하고 모든 퍼블릭 자산에서 구성되었는지 확인합니다.
https://www.examtopics.com/discussions/amazon/view/103059-exam-aws-certified advanced-networking-specialty-ans-c01/
설명
AWS 클라우드로 이동하는 의료 회사의 워크로드에 대한 요구 사항을 충족하려면 네트워크 엔지니어가 다음 단계를 수행해야 합니다. 클라우드 연결을 위해 MACsec 지원과 함께 AWS Direct Connect 를 사용하여 온프레미스 환경에서 들어오고 나가는 모든 데이터가 전송 중에 암호화되도록 합니다(옵션 D).
게이트웨이 로드 밸런서를 사용하여 인라인 트래픽 검사를 위한 타사 방화벽을 삽입하여 클라우드에서 나가는 것이 허용되기 전에 클라우드의 모든 트래픽을 검사합니다(옵션 E).
DDoS 공격으로부터 인터넷에 노출된 구성 요소를 보호하고 DDoS 이벤트 중에 확장되는 서비스에 대한 재정적 책임으로부터 보호하기 위해 AWS Shield Advanced 를 구성하고 모든 퍼블릭 자산에 구성되었는지 확인합니다(옵션 F).
이러한 단계는 모든 데이터가 전송 중에 암호화되고 모든 트래픽이 클라우드를 떠나기 전에 검사되며 인터넷에 노출된 구성 요소가 DDoS 공격으로부터 보호되도록 하는 데 도움이 됩니다.
Q8
소매 회사는 AWS 에서 서비스를 실행하고 있습니다. 회사의 아키텍처에는 퍼블릭 서브넷의 ALB(Application Load Balancer)가 포함됩니다. ALB 대상 그룹은 프라이빗 서브넷의 백엔드 Amazon EC2 인스턴스로 트래픽을 보내도록 구성됩니다. 이러한 백엔드 EC2 인스턴스는 NAT 게이트웨이를 사용하여 인터넷을 통해 외부 호스팅 서비스를 호출할 수 있습니다. 회사는 청구서에서 NAT 게이트웨이 사용량이 크게 증가했음을 확인했습니다. 네트워크 엔지니어는 이러한 사용량 증가의 원인을 찾아야 합니다. NAT 게이트웨이를 통한 트래픽을 조사하기 위해 네트워크 엔지니어가 사용할 수 있는 옵션은 무엇입니까? (2 개 선택)
A. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화합니다. Amazon CloudWatch Logs 의 로그 그룹에 로그를 게시합니다. CloudWatch Logs Insights 를 사용하여 로그를 쿼리하고 분석합니다.
B. NAT 게이트웨이 액세스 로그를 활성화합니다. Amazon CloudWatch Logs 의 로그 그룹에 로그를 게시합니다. CloudWatch Logs Insights 를 사용하여 로그를 쿼리하고 분석합니다.
C. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 트래픽 미러링을 구성합니다. 트래픽을 추가 EC2 인스턴스로 보냅니다. tcpdump 및 Wireshark 와 같은 도구를 사용하여 미러링된 트래픽을 쿼리하고 분석합니다.
D. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화합니다. Amazon S3 버킷에 로그를 게시합니다. Amazon Athena 에서 S3 버킷에 대한 사용자 지정 테이블을 생성하여 로그 구조를 설명합니다. Athena 를 사용하여 로그를 쿼리하고 분석합니다.
E. NAT 게이트웨이 액세스 로그를 활성화합니다. Amazon S3 버킷에 로그를 게시합니다. Amazon Athena 에서 S3 버킷에 대한 사용자 지정 테이블을 생성하여 로그 구조를 설명합니다. Athena 를 사용하여 로그를 쿼리하고 분석합니다.
Answer
A. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화합니다. Amazon CloudWatch Logs 의 로그 그룹에 로그를 게시합니다. CloudWatch Logs Insights 를 사용하여 로그를 쿼리하고 분석합니다.
D. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화합니다. Amazon S3 버킷에 로그를 게시합니다. Amazon Athena 에서 S3 버킷에 대한 사용자 지정 테이블을 생성하여 로그 구조를 설명합니다. Athena 를 사용하여 로그를 쿼리하고 분석합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 8 discussion - ExamTopics
www.examtopics.com
설명
ALB 및 백엔드 EC2 인스턴스가 있는 VPC 아키텍처에서 NAT 게이트웨이의 사용량 증가를 조사하기 위해 네트워크 엔지니어는 다음 옵션을 사용할 수 있습니다. NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화하고 Amazon CloudWatch Logs 의 로그 그룹에 로그를 게시합니다. CloudWatch Logs Insights 를 사용하여 로그를 쿼리하고 분석합니다. (옵션 A)
NAT 게이트웨이의 탄력적 네트워크 인터페이스에서 VPC 흐름 로그를 활성화하고 로그를 Amazon S3 버킷에 게시합니다. Amazon Athena 에서 S3 버킷에 대한 사용자 지정 테이블을 생성하여 로그 구조를 설명하고 Athena 를 사용하여 로그를 쿼리하고 분석합니다. (옵션 D)
이 옵션을 사용하면 NAT 게이트웨이를 통한 트래픽을 자세히 분석하여 사용량 증가의 원인을 식별할 수 있습니다.
Q9
은행 회사는 AWS 에서 퍼블릭 모바일 뱅킹 스택을 성공적으로 운영하고 있습니다. 모바일 뱅킹 스택은 프라이빗 서브넷과 퍼블릭 서브넷을 포함하는 VPC 에 배포됩니다. 이 회사는 IPv4 네트워킹을 사용하고 있으며 환경에 IPv6 를 배포하거나 지원하지 않았습니다. 회사는 타사 서비스 제공자의 API 를 채택하기로 결정했으며 API 를 기존 환경과 통합해야 합니다. 서비스 공급자의 API 는 IPv6 을 사용해야 합니다. 네트워크 엔지니어는 프라이빗 서브넷에 배포된 기존 워크로드에 대해 IPv6 연결을 켜야 합니다. 회사는 공용 인터넷의 IPv6 트래픽을 허용하지 않으려고 하며 회사 서버에서 모든 IPv6 연결을 시작해야 합니다. 네트워크 엔지니어는 VPC 와 프라이빗 서브넷에서 IPv6 를 켭니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. VPC 에서 인터넷 게이트웨이와 NAT 게이트웨이를 생성합니다. IPv6 트래픽이 NAT 게이트웨이를 가리키도록 기존 서브넷 라우팅 테이블에 경로를 추가합니다.
B. VPC 에서 인터넷 게이트웨이와 NAT 인스턴스를 생성합니다. IPv6 트래픽이 NAT 인스턴스를 가리키도록 기존 서브넷 라우팅 테이블에 경로를 추가합니다.
C. VP 에서 외부 전용 인터넷 게이트웨이를 생성합니다. IPv6 트래픽이 외부 전용 인터넷 게이트웨이를 가리키도록 기존 서브넷 경로 테이블에 대한 경로를 추가합니다.
D. VPC 에서 외부 전용 인터넷 게이트웨이를 생성합니다. 모든 인바운드 트래픽을 거부하는 보안 그룹을 구성합니다. 보안 그룹을 외부 전용 인터넷 게이트웨이와 연결합니다.
Answer
C. VP 에서 외부 전용 인터넷 게이트웨이를 생성합니다. IPv6 트래픽이 외부 전용 인터넷 게이트웨이를 가리키도록 기존 서브넷 경로 테이블에 대한 경로를 추가합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 9 discussion - ExamTopics
www.examtopics.com
설명
옵션 C는 VPC에 외부 전용 인터넷 게이트웨이를 생성하고 기존 서브넷 라우팅 테이블에 경로를 추가하여 IPv6 트래픽이 외부 전용 인터넷 게이트웨이를 가리키도록 제안하므로 정답입니다. 이는 공용 인터넷에서 IPv6 트래픽을 허용하지 않는다는 요구 사항을 충족하며 회사 서버가 모든 IPv6 연결을 시작해야 함을 요구합니다. 외부 전용 인터넷 게이트웨이는 IPv6를 통한 아웃바운드 통신을 허용하지만 인바운드 트래픽은 차단합니다.
Q10
회사에서 AWS Network Firewall 방화벽을 VPC 에 배포했습니다. 네트워크 엔지니어는 최대한 짧은 시간에 회사의 Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터에 네트워크 방화벽 흐름 로그를 제공하는 솔루션을 구현해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. Amazon S3 버킷을 생성합니다. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터에 로그를 로드하는 AWS Lambda 함수를 생성합니다. S3 버킷에서 Amazon Simple Notification Service(Amazon SNS) 알림을 활성화하여 Lambda 함수를 호출합니다. 방화벽에 대한 흐름 로그를 구성합니다. S3 버킷을 대상으로 설정합니다.
B. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터를 대상으로 포함하는 Amazon Kinesis Data Firehose 전송 스트림을 생성합니다. 방화벽에 대한 흐름 로그 구성 Kinesis Data Firehose 전송 스트림을 네트워크 방화벽 흐름 로그의 대상으로 설정합니다.
C. 방화벽에 대한 흐름 로그를 구성합니다. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터를 네트워크 방화벽 흐름 로그의 대상으로 설정합니다.
D. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터를 대상으로 포함하는 Amazon Kinesis 데이터 스트림을 생성합니다. 방화벽에 대한 흐름 로그를 구성합니다. Kinesis 데이터 스트림을 네트워크 방화벽 흐름 로그의 대상으로 설정합니다.
Answer
B. Amazon OpenSearch Service(Amazon Elasticsearch Service) 클러스터를 대상으로 포함하는 Amazon Kinesis Data Firehose 전송 스트림을 생성합니다. 방화벽에 대한 흐름 로그 구성 Kinesis Data Firehose 전송 스트림을 네트워크 방화벽 흐름 로그의 대상으로 설정합니다.
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 10 discussion - ExamTopics
www.examtopics.com
설명
요청 시간이 가장 짧기 때문입니다. Firehose는 가장 짧은 목적지 중 하나이며 OpenSearch와 더 잘 통합됩니다.
네트워크 방화벽 로그 전송 시간은 위치 유형에 따라 다르며, Amazon CloudWatch Logs 및 Amazon Kinesis Data Firehose의 경우 평균 3~6분, Amazon Simple Storage Service 버킷의 경우 8~12분입니다.
Q11
회사는 VPC에서 이름 확인을 위해 BIND를 실행하는 사용자 지정 DNS 서버를 사용하고 있습니다. VPC는 AWS Organizations에서 동일한 조직의 일부인 여러 AWS 계정에 배포됩니다. 모든 VPC는 전송 게이트웨이에 연결됩니다. BIND 서버는 중앙 VPC에서 실행 중이며 온프레미스 DNS 도메인에 대한 모든 쿼리를 온프레미스 데이터 센터에서 호스팅 되는 DNS 서버로 전달하도록 구성됩니다. 모든 VPC 가 사용자 지정 DNS 서버를 사용하도록 하기 위해 네트워크 엔지니어는 도메인 이름 서버로 사용할 사용자 지정 DNS 서버를 지정하는 모든 VPC에 설정된 VPC DHCP 옵션을 구성했습니다.
회사의 여러 개발 팀이 Amazon Elastic File System(Amazon EFS)을 사용하려고 합니다. 개발팀이 새 EFS 파일 시스템을 생성했지만 Amazon EC2 인스턴스 중 하나에 파일 시스템을 탑재할 수 없습니다. 네트워크 엔지니어는 EC2 인스턴스가 EFS 탑재 지점 fs-33444567d.efs.us-east1.amazonaws.com의 IP 주소를 확인할 수 없음을 발견했습니다. 네트워크 엔지니어는 조직 전체의 개발 팀이 EFS 파일 시스템을 탑재할 수 있도록 솔루션을 구현해야 합니다. 이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (2 개 선택)
A. efs.us-east-1.amazonaws.com에 대한 쿼리를 Amazon 제공 DNS 서버(169.254.169.253)로 전달하도록 중앙 VPC의 BIND DNS 서버를 구성합니다.
B. 중앙 VPC에서 Amazon Route 53 Resolver 아웃바운드 엔드포인트를 생성합니다. 이름 확인에 AmazonProvidedDNS를 사용하도록 모든 VPC DHCP 옵션 세트를 업데이트합니다.
C. 이름 확인을 위해 중앙 VPC에서 Route 53 Resolver 인바운드 엔드포인트를 사용하도록 모든 VPC DHCP 옵션 세트를 중앙 VPUpdate에 Amazon Route 53 Resolver 인바운드 엔드포인트를 생성합니다.
D. 온프레미스 도메인에 대한 쿼리를 온프레미스 DNS 서버로 전달하는 Amazon Route 53 Resolver 규칙을 생성합니다. AWS Resource Access Manager(AWS RAM)를 사용하여 조직과 규칙을 공유합니다. 규칙을 모든 VPC와 연결합니다.
E. efs.us-east-1.amazonaws.com 도메인에 대한 Amazon Route 53 프라이빗 호스팅 영역을 생성합니다. 프라이빗 호스팅 영역을 EC2 인스턴스가 배포된 VPC와 연결합니다. 프라이빗 호스팅 영역에서 fs-33444567d.efs.us-east-1.amazonaws.com에 대한 A 레코드를 생성합니다. EFS 탑재 지점의 탑재 대상을 반환하도록 A 레코드를 구성합니다.
Answer
B. 중앙 VPC에서 Amazon Route 53 Resolver 아웃바운드 엔드포인트를 생성합니다. 이름 확인에 AmazonProvidedDNS를 사용하도록 모든 VPC DHCP 옵션 세트를 업데이트합니다.
D. 온프레미스 도메인에 대한 쿼리를 온프레미스 DNS 서버로 전달하는 Amazon Route 53 Resolver 규칙을 생성합니다. AWS Resource Access Manager(AWS RAM)를 사용하여 조직과 규칙을 공유합니다. 규칙을 모든 VPC와 연결합니다.
https://www.examtopics.com/discussions/amazon/view/103070-exam-aws-certifiedadvanced-networking-specialty-ans-c01/
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 11 discussion - ExamTopics
www.examtopics.com
설명
옵션 B는 이름 확인을 위해 기존 BIND DNS 서버를 AmazonProvidedDNS로 대체하는 Amazon Route 53 Resolver 아웃바운드 엔드포인트 사용을 제안합니다. 그러나 시나리오에서는 회사가 VPC에서 이름 확인을 위해 BIND를 실행하는 사용자 지정 DNS 서버를 사용하고 있으므로 이 솔루션이 작동하지 않는다고 구체적으로 언급합니다.
옵션 D는 온프레미스 도메인에 대한 쿼리를 온프레미스 DNS 서버로 전달하는 Route 53 Resolver 규칙을 생성할 것을 제안합니다. 이렇게 하면 EFS 탑재 지점을 해결하는 문제가 해결되지 않습니다. 문제는 온프레미스 도메인에 대한 쿼리를 확인하는 것이 아니라 EFS 탑재 지점에 대한 IP 주소를 확인하는 데 있습니다.
Q12
전자 상거래 회사는 지속적으로 변화하는 고객 수요를 처리하기 위해 Amazon EC2 인스턴스에서 웹 애플리케이션을 호스팅 하고 있습니다. EC2 인스턴스는 Auto Scaling 그룹의 일부입니다. 회사는 고객의 트래픽을 EC2 인스턴스로 분산하는 솔루션을 구현하려고 합니다. 회사는 고객과 애플리케이션 서버 사이의 모든 단계에서 모든 트래픽을 암호화해야 합니다. 중간 지점에서 암호 해독이 허용되지 않습니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. Application Load Balancer(ALB)를 생성합니다. ALB에 HTTPS 수신기를 추가합니다. ALB의 대상 그룹에 인스턴스를 등록하도록 Auto Scaling 그룹을 구성합니다.
B. Amazon CloudFront 배포를 생성합니다. 사용자 지정 SSL/TLS 인증서로 배포를 구성합니다. Auto Scaling 그룹을 배포의 원본으로 설정합니다.
C. NLB(Network Load Balancer)를 생성합니다. NLB에 TCP 수신기를 추가합니다. NLB의 대상 그룹에 인스턴스를 등록하도록 Auto Scaling 그룹을 구성합니다.
D. 게이트웨이 로드 밸런서(GLB)를 생성합니다. GLB의 대상 그룹에 인스턴스를 등록하도록 Auto Scaling 그룹을 구성합니다.
Answer
C. NLB(Network Load Balancer)를 생성합니다. NLB에 TCP 수신기를 추가합니다. NLB의 대상그룹에 인스턴스를 등록하도록 Auto Scaling 그룹을 구성합니다.
https://www.examtopics.com/discussions/amazon/view/103071-exam-aws-certifiedadvanced-networking-specialty-ans-c01/
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 12 discussion - ExamTopics
www.examtopics.com
설명
Auto Scaling 그룹의 EC2 인스턴스로 고객의 트래픽을 분산시키고 중간 지점에서 암호 해독 없이 고객과 애플리케이션 서버 간의 모든 단계에서 모든 트래픽을 암호화하려면, 회사는 TCP 수신기가 있는 네트워크 로드 밸런서(NLB)를 생성하고 NLB의 대상 그룹(옵션 C)에 인스턴스를 등록하도록 자동 스케일링 그룹을 구성해야 합니다. 이 솔루션을 사용하면 중간 지점에서 암호해독 없이 트래픽을 종단 간 암호화할 수 있습니다.
Q13
회사에는 두 개의 온프레미스 데이터 센터 위치가 있습니다. 각 데이터 센터에는 회사에서 관리하는 라우터가 있습니다. 각 데이터 센터에는 프라이빗 가상 인터페이스를 통해 Direct Connect 게이트웨이에 대한 전용 AWS Direct Connect 연결이 있습니다.
첫 번째 위치의 라우터는 BGP를 사용하여 Direct Connect 게이트웨이에 110 개의 경로를 알리고 두 번째 위치의 라우터는 BGP를 사용하여 Direct Connect 게이트웨이에 60개의 경로를 알립니다. Direct Connect 게이트웨이는 가상 프라이빗 게이트웨이를 통해 회사 VPC에 연결됩니다.
네트워크 엔지니어는 두 데이터 센터의 다양한 위치에서 VPC의 리소스에 연결할 수 없다는 보고를 받습니다. 네트워크 엔지니어는 VPC 경로 테이블을 확인하고 첫 번째 데이터 센터 위치의 경로가 경로 테이블에 채워지지 않는지 확인합니다. 네트워크 엔지니어는 운영상 가장 효율적인 방식으로 이 문제를 해결해야 합니다. 네트워크 엔지니어는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. Direct Connect 게이트웨이를 제거하고 각 회사 라우터에서 VPC의 가상 프라이빗 게이트웨이로의 새로운 프라이빗 가상 인터페이스를 만듭니다.
B. 알려진 경로를 요약하도록 라우터 구성을 변경합니다.
C. 지원 티켓을 열어 VPC 라우팅 테이블에 대한 알려진 경로의 할당량을 늘립니다.
D. AWS Transit Gateway를 생성합니다. 전송 게이트웨이를 VPC에 연결하고 Direct Connect 게이트웨이를 전송 게이트웨이에 연결합니다.
Answer
B. 알려진 경로를 요약하도록 라우터 구성을 변경합니다.
https://www.examtopics.com/discussions/amazon/view/103072-exam-aws-certifiedadvanced-networking-specialty-ans-c01/
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 13 discussion - ExamTopics
www.examtopics.com
설명
BGP 세션을 통해 IPv4 및 IPv6에 대해 각각 100 개 이상의 경로를 알리면 BGP 세션이 BGP
세션이 중지된 상태에서 유휴 상태가 됩니다.
https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html
AWS Direct Connect quotas - AWS Direct Connect
Thanks for letting us know this page needs work. We're sorry we let you down. If you've got a moment, please tell us how we can make the documentation better.
docs.aws.amazon.com
Q14
한 회사에서 여러 AWS 계정이 포함된 하이브리드 아키텍처를 사용하여 네트워크를 AWS Cloud로 확장했습니다. 회사는 온프레미스 데이터 센터 및 회사 사무실에 연결하기 위해 공유 AWS 계정을 설정했습니다. 워크로드는 내부 사용을 위한 비공개 웹 기반 서비스로 구성됩니다. 이러한 서비스는 서로 다른 AWS 계정에서 실행됩니다.
사무실 직원은 example.internal이라는 온-프레미스 DNS 영역에서 DNS 이름을 사용하여 이러한 서비스를 사용합니다. AWS에서 실행되는 새 서비스를 등록하는 프로세스에는 내부 DNS에 대한 수동적이고 복잡한 변경 요청이 필요합니다. 이 프로세스에는 많은 팀이 참여합니다.
회사는 서비스 생성자에게 DNS 레코드를 등록할 수 있는 액세스 권한을 부여하여 DNS 등록 프로세스를 업데이트하려고 합니다. 네트워크 엔지니어는 이 목표를 달성할 솔루션을 설계해야 합니다. 솔루션은 비용 효율성을 극대화하고 구성 변경 횟수를 최소화해야 합니다. 네트워크 엔지니어는 이러한 요구 사항을 충족하기 위해 어떤 단계 조합을 수행해야 합니까? (3 개 선택)
A. 로컬 프라이빗 호스팅 영역(serviceA.account1.aws.example.internal)에서 각 서비스에 대한 레코드를 생성합니다. 액세스가 필요한 직원에게 이 DNS 레코드를 제공합니다.
B. 공유 계정 VPC에서 Amazon Route 53 Resolver 인바운드 엔드포인트를 생성합니다. 온프레미스 DNS 서버에서 aws.example.internal이라는 도메인에 대한 조건부 전달자를 생성합니다. 전달 IP 주소를 생성된 인바운드 엔드포인트의 IP 주소로 설정합니다.
C. onprem.example.internal 에 대한 모든 쿼리를 온프레미스 DNS 서버로 전달하는 Amazon Route 53 Resolver 규칙을 생성합니다.
D. 이 도메인에 대한 쿼리를 해결하기 위해 공유 AWS 계정에 aws.example.internal이라는 Amazon Route 53 프라이빗 호스팅 영역을 생성합니다.
E. 공유 AWS 계정에서 두 개의 Amazon EC2 인스턴스를 시작합니다. 각 인스턴스에 BIND를 설치합니다. 각 BIND 서버에서 DNS 조건부 전달자를 생성하여 aws.example.internal 아래의 각 하위 도메인에 대한 쿼리를 각 AWS 계정의 적절한 프라이빗 호스팅 영역으로 전달합니다. 온프레미스 DNS 서버에서 aws.example.internal이라는 도메인에 대한 조건부 전달자를 생성합니다. 전달 IP 주소를 BIND 서버의 IP 주소로 설정합니다.
F. 서비스를 실행하는 각 계정에 대해 공유 AWS 계정에 프라이빗 호스팅 영역을 생성합니다. 도메인(account1.aws.example.internal)에 aws.example.internal을 포함하도록 프라이빗 호스팅 영역을 구성합니다. 프라이빗 호스팅 영역을 서비스를 실행하는 VPC 및 공유 계정 VPC와 연결합니다.
Answer
B. 공유 계정 VPC에서 Amazon Route 53 Resolver 인바운드 엔드포인트를 생성합니다. 온프레미스 DNS 서버에서 aws.example.internal이라는 도메인에 대한 조건부 전달자를 생성합니다. 전달 IP 주소를 생성된 인바운드 엔드포인트의 IP 주소로 설정합니다.
D. 이 도메인에 대한 쿼리를 해결하기 위해 공유 AWS 계정에 aws.example.internal이라는 Amazon Route 53 프라이빗 호스팅 영역을 생성합니다.
F. 서비스를 실행하는 각 계정에 대해 공유 AWS 계정에 프라이빗 호스팅 영역을 생성합니다. 도메인(account1.aws.example.internal)에 aws.example.internal을 포함하도록 프라이빗 호스팅 영역을 구성합니다. 프라이빗 호스팅 영역을 서비스를 실행하는 VPC 및 공유 계정 VPC와 연결합니다.
https://www.examtopics.com/discussions/amazon/view/103105-exam-aws-certifiedadvanced-networking-specialty-ans-c01/
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 14 discussion - ExamTopics
www.examtopics.com
Q15
회사에 여러 AWS 계정이 있습니다. 각 계정에는 하나 이상의 VPC 가 포함됩니다. 새로운 보안 지침에서는 VPC 간의 모든 트래픽을 검사해야 합니다. 이 회사는 모든 VPC 간에 연결을 제공하는 전송 게이트웨이를 배포했습니다. 또한 이 회사는 상태 저장 검사를 위한 IDS 서비스를 포함하는 Amazon EC2 인스턴스와 함께 공유 서비스 VPC를 배포했습니다. EC2 인스턴스는 3 개의 가용 영역에 배포됩니다.
회사는 전송 게이트웨이에서 VPC 연결 및 라우팅을 설정했습니다. 회사는 몇 가지 테스트 VPC를 트래픽 검사를 위한 새로운 솔루션으로 마이그레이션 했습니다. 라우팅 구성 직후 회사는 가용 영역을 통과하는 트래픽에 대한 간헐적 연결에 대한 보고를 받습니다. 네트워크 엔지니어는 이 문제를 해결하기 위해 무엇을 해야 합니까?
A. 교차 가용 영역 로드 밸런싱을 활성화하여 공유 서비스 VPC에서 전송 게이트웨이 VPC 연결을 수정합니다.
B. 어플라이언스 모드 지원을 활성화하여 공유 서비스 VPC에서 전송 게이트웨이 VPC 연결을 수정합니다.
C. VPN ECMP(equal-cost multi-path) 라우팅 지원을 선택하여 전송 게이트웨이를 수정합니다.
D. 멀티캐스트 지원을 선택하여 전송 게이트웨이를 수정합니다.
Answer
B. 어플라이언스 모드 지원을 활성화하여 공유 서비스 VPC에서 전송 게이트웨이 VPC 연결을 수정합니다.
https://www.examtopics.com/discussions/amazon/view/103106-exam-aws-certifiedadvanced-networking-specialty-ans-c01/
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 15 discussion - ExamTopics
www.examtopics.com
설명
전송 게이트웨이를 사용하는 VPC와 공유 서비스 VPC에서 IDS 서비스가 있는 EC2 인스턴스 간의 트래픽 검사를 위한 라우팅을 구성한 후 가용 영역을 통과하는 트래픽에 대한 간헐적 연결 문제를 해결하려면 네트워크 엔지니어가 공유 서버에서 전송 게이트웨이 VPC 연결을 수정해야 합니다. 어플라이언스 모드 지원을 활성화하여 VPC에 서비스를 제공합니다(옵션 B). 이렇게 하면 상태 기반 검사를 위해 트래픽이 동일한 EC2 인스턴스로 라우팅 되고 간헐적인 연결이 방지됩니다.
Q16
회사는 NAT 게이트웨이를 사용하여 us-west-2 리전의 VPC에서 프라이빗 서브넷에 대한 인터넷 연결을 허용합니다. 보안 감사 후 회사는 NAT 게이트웨이를 제거해야 합니다. 프라이빗 서브넷에서 회사는 통합 Amazon CloudWatch 에이전트를 사용하는 리소스를 보유하고 있습니다. 네트워크 엔지니어는 NAT 게이트웨이를 제거한 후에도 통합 CloudWatch 에이전트가 계속 작동하도록 보장하는 솔루션을 만들어야 합니다. 네트워크 엔지니어는 이러한 요구 사항을 충족하기 위해 어떤 단계 조합을 수행해야 합니까? (3 개 선택)
A. enableDnsHostnames VPC 속성 및 enableDnsSupport VPC 속성을 true로 설정하여 VPC에서 프라이빗 DNS 가 활성화되었는지 확인합니다.
B. 대상 0.0.0.0/0에 대한 포트 443에서 TCP 프로토콜을 사용하는 아웃바운드 트래픽을 허용하는 항목이 있는 새 보안 그룹을 생성합니다.
C. 프라이빗 서브넷의 IP 접두사에서 포트 443의 TCP 프로토콜을 사용하는 인바운드 트래픽을 허용하는 항목으로 새 보안 그룹을 만듭니다.
D. VPC에서 com.amazonaws.us-west-2.logs 및 com.amazonaws.us-west-2.monitoring
인터페이스 VPC 엔드포인트를 생성합니다. 새 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결합니다.
E. VPC에서 인터페이스 VPC 엔드포인트 com.amazonaws.us-west-2.cloudwatch를 생성합니다. 새 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결합니다.
F. VPC 엔드포인트 또는 엔드포인트를 프라이빗 서브넷이 사용하는 라우팅 테이블과 연결합니다.
Answer
A. enableDnsHostnames VPC 속성 및 enableDnsSupport VPC 속성을 true로 설정하여 VPC에서 프라이빗 DNS 가 활성화되었는지 확인합니다.
C. 프라이빗 서브넷의 IP 접두사에서 포트 443의 TCP 프로토콜을 사용하는 인바운드 트래픽을 허용하는 항목으로 새 보안 그룹을 만듭니다.
D. VPC에서 com.amazonaws.us-west-2.logs 및 com.amazonaws.us-west-2.monitoring
인터페이스 VPC 엔드포인트를 생성합니다. 새 보안 그룹을 엔드포인트 네트워크 인터페이스와 연결합니다.
https://www.examtopics.com/discussions/amazon/view/103107-exam-aws-certifiedadvanced-networking-specialty-ans-c01/
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 16 discussion - ExamTopics
www.examtopics.com
설명
인터페이스 VPC 엔드포인트는 NAT 게이트웨이 없이 CloudWatch에 안정적이고 확장 가능한 연결을 제공합니다.
https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-and-interface-VPC.html
https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html
프라이빗 DNS를 사용하려면 VPC에 대해 DNS 호스트 이름과 DNS 확인을 활성화해야 합니다. 인터페이스 엔드포인트의 보안 그룹은 엔드포인트 네트워크 인터페이스와 서비스와 통신해야 하는 VPC의 리소스 간의 통신을 허용해야 합니다.
https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html
Q17
다국적 기업이 쓰나미에 대한 조기 경보를 제공합니다. 이 회사는 IoT 장치를 사용하여 전 세계의 파도를 모니터링할 계획입니다. IoT 장치에서 수집한 데이터는 가능한 한 빨리 AWS의 회사 인프라에 도달해야 합니다. 이 회사는 전 세계에 3 개의 운영 센터를 사용하고 있습니다. 각 운영 센터는 자체 AWS Direct Connect 연결을 통해 AWS에 연결됩니다. 각 운영 센터는 적어도 두 개의 업스트림 인터넷 서비스 공급자를 통해 인터넷에 연결됩니다. 회사에는 고유한 공급자 독립적(PI) 주소 공간이 있습니다. IoT 장치는 수집한 데이터의 안정적인 전송을 위해 TCP 프로토콜을 사용합니다. IoT 장치에는 유선 및 모바일 인터넷 연결이 모두 있습니다. 인프라와 솔루션은 여러 AWS 리전에 배포됩니다. 회사는 DNS 서비스에 Amazon Route 53을 사용할 것입니다. 네트워크 엔지니어는 IoT 장치와 AWS 클라우드에서 실행되는 서비스 간의 연결을 설계해야 합니다. 가장 높은 가용성으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 원본 장애 조치로 Amazon CloudFront 배포를 설정합니다. 솔루션이 배포된 각 지역에 대해 오리진 그룹을 생성합니다.
B. Route 53 대기 시간 기반 라우팅을 설정합니다. 대기 시간 별칭 레코드를 추가합니다. 대기시간 별칭 레코드의 경우 대상 상태 평가 값을 예로 설정합니다.
C. AWS Global Accelerator에서 액셀러레이터를 설정합니다. 지역 엔드포인트 그룹 및 상태확인을 구성합니다.
D. BYOIP(Bring Your Own IP) 주소를 설정합니다. 솔루션이 배포된 각 지역에 대해 동일한 PI 주소를 사용합니다.
Answer
C. AWS Global Accelerator에서 액셀러레이터를 설정합니다. 지역 엔드포인트 그룹 및 상태
확인을 구성합니다.
https://www.examtopics.com/discussions/amazon/view/103108-exam-aws-certifiedadvanced-networking-specialty-ans-c01/
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 17 discussion - ExamTopics
www.examtopics.com
Q18
회사는 온프레미스 데이터 센터에서 Amazon EC2 인스턴스로 중요한 워크로드를 마이그레이션 할 계획입니다. 계획에는 온프레미스 데이터 센터에서 Transit Gateway에 연결된 VPC 로의 새로운 10 Gbps AWS Direct Connect 전용 연결이 포함됩니다. 마이그레이션은 온프레미스 데이터 센터와 AWS 클라우드 사이의 암호화된 경로를 통해 이루어져야 합니다. 가장 높은 처리량을 제공하면서 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. Direct Connect 연결에서 퍼블릭 VIF를 구성합니다. Transit Gateway에 대한 AWS Site-toSite
VPN 연결을 VPN 연결로 구성합니다.
B. Direct Connect 연결에서 전송 VIF를 구성합니다. 타사 VPN 소프트웨어를 실행 중인 EC2 인스턴스에 대한 IPsec VPN 연결을 구성합니다.
C. Direct Connect 연결을 위해 MACsec을 구성합니다. 전송 게이트웨이와 연결된 Direct Connect 게이트웨이에 대한 전송 VIF를 구성합니다.
D. Direct Connect 연결에서 퍼블릭 VIF를 구성합니다. 전송 게이트웨이에 대한 2 개의 AWS Site-to-Site VPN 연결을 구성합니다. ECMP(등가 다중 경로) 라우팅을 활성화합니다.
Answer
C. Direct Connect 연결을 위해 MACsec을 구성합니다. 전송 게이트웨이와 연결된 Direct Connect 게이트웨이에 대한 전송 VIF를 구성합니다.
https://www.examtopics.com/discussions/amazon/view/103109-exam-aws-certifiedadvanced-networking-specialty-ans-c01
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 18 discussion - ExamTopics
www.examtopics.com
Q19
네트워크 엔지니어는 라우팅 테이블에서 가상 프라이빗 게이트웨이, 고객 게이트웨이, VPN 연결 및 정적 경로를 생성할 수 있는 AWS CloudFormation 템플릿을 개발해야 합니다. 템플릿을 테스트하는 동안 네트워크 엔지니어는 CloudFormation 템플릿에 오류가 발생하여 롤백 중임을 확인합니다. 네트워크 엔지니어는 오류를 해결하기 위해 무엇을 해야 합니까?
A. CloudFormation 템플릿에서 리소스 생성 순서를 변경합니다.
B. 가상 프라이빗 게이트웨이에 대한 리소스 선언에 DependsOn 속성을 추가합니다. 라우팅 테이블 항목 리소스를 지정합니다.
C. 템플릿에 대기 조건을 추가하여 가상 프라이빗 게이트웨이 생성을 기다립니다.
D. 라우팅 테이블 항목에 대한 리소스 선언에 DependsOn 속성을 추가합니다. 가상 프라이빗
게이트웨이 리소스를 지정합니다.
Answer
D. 라우팅 테이블 항목에 대한 리소스 선언에 DependsOn 속성을 추가합니다. 가상 프라이빗
게이트웨이 리소스를 지정합니다.
https://www.examtopics.com/discussions/amazon/view/103110-exam-aws-certifiedadvanced-networking-specialty-ans-c01/
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 19 discussion - ExamTopics
www.examtopics.com
Q20
회사는 다중 사이트 하이브리드 인프라를 통해 IT 서비스를 운영합니다. 회사는 us-east-1 지역과 eu-west-2 지역의 AWS에 리소스를 배포합니다. 또한 회사는 미국(US) 및 영국(UK)에 위치한 자체 데이터 센터에 리소스를 배포합니다. 두 AWS 리전에서 회사는 전송 게이트웨이를 사용하여 15 개의 VPC를 서로 연결합니다.
회사는 두 Transit Gateway 사이에 Transit Gateway 피어링 연결을 생성했습니다. VPC CIDR 블록은 서로 겹치거나 데이터 센터 내에서 사용되는 IP 주소와 겹치지 않습니다. VPC CIDR 접두사는 지역 수준에서 또는 회사의 전체 AWS 환경에 대해 집계될 수도 있습니다. 데이터 센터는 사설 WAN 연결을 통해 서로 연결됩니다. IP 라우팅 정보는 iBGP(Interior BGP) 세션을 통해 동적으로 교환됩니다.
데이터 센터는 미국에서 하나의 AWS Direct Connect 연결과 영국에서 하나의 Direct Connect 연결을 통해 AWS에 대한 연결을 유지합니다. 각 Direct Connect 연결은 Direct Connect 게이트웨이에서 종료되며 전송 VIF를 통해 로컬 전송 게이트웨이와 연결됩니다. 트래픽은 소스에서 대상까지 가장 짧은 지리적 경로를 따릅니다.
예를 들어 eu-west-2의 리소스를 대상으로 하는 영국 데이터 센터의 패킷은 로컬 Direct Connect 연결을 통해 이동합니다. UK 데이터센터에서 us-east-1의 VPC 로의 교차 리전 데이터 전송의 경우 프라이빗 WAN 연결을 사용하여 AWS 비용을 최소화해야 합니다.
네트워크 엔지니어는 로컬 리전에서만 VPC 별 CIDR IP 접두사를 알리도록 Direct Connect 게이트웨이에서 각 Transit Gateway 연결을 구성했습니다. 다른 지역으로 향하는 경로는 집계되지 않은 원래 형태로 다른 데이터센터의 라우터에서 BGP를 통해 학습되어야 합니다.
이 회사는 최근 사설 WAN 연결 문제로 인해 리전 간 데이터 전송 문제를 경험했습니다. 네트워크 엔지니어는 향후 유사한 중단을 방지하기 위해 라우팅 설정을 수정해야 합니다. 솔루션은 네트워크가 정상적으로 작동할 때 원래 트래픽 라우팅 목표를 수정할 수 없습니다. 어떤 수정이 이러한 요구 사항을 충족합니까? (2 개 선택)
A. 로컬 Direct Connect 연결을 통해 알려진 서브넷 목록에서 모든 VPC CIDR 접두사를 제거합니다. 회사의 전체 AWS 환경 집계 경로를 로컬 Direct Connect 연결을 통해 알려진 서브넷 목록에 추가합니다.
B. 로컬 Direct Connect 연결을 통해 알려진 서브넷 목록에 다른 리전 VPC 및 로컬 VPC CIDR 블록의 CIDR 접두사를 추가합니다. 수신된 BGP 커뮤니티를 기반으로 라우팅 결정을 내리도록 데이터 센터 라우터를 구성합니다.
C. 로컬 Direct Connect 연결을 통해 알려진 서브넷 목록에 다른 리전 및 로컬 VPC CIDR 블록에 대한 집계 IP 접두사를 추가합니다.
D. 로컬 Direct Connect 연결을 통해 알려진 서브넷 목록에 회사의 전체 AWS 환경 및 로컬 VPC CIDR 블록에 대한 집계 IP 접두사를 추가합니다.
E. 로컬 Direct Connect 연결을 통해 알려진 서브넷 목록에서 모든 VPC CIDR 접두사를 제거합니다. 네트워크 양쪽의 Direct Connect 연결을 통해 알려진 서브넷 목록에 두 지역 집계 IP 접두사를 모두 추가합니다. 수신된 BGP 커뮤니티를 기반으로 라우팅 결정을 내리도록 데이터 센터 라우터를 구성합니다.
Answer
C. 로컬 Direct Connect 연결을 통해 알려진 서브넷 목록에 다른 리전 및 로컬 VPC CIDR 블록에 대한 집계 IP 접두사를 추가합니다.
D. 로컬 Direct Connect 연결을 통해 알려진 서브넷 목록에 회사의 전체 AWS 환경 및 로컬 VPC CIDR 블록에 대한 집계 IP 접두사를 추가합니다.
https://www.examtopics.com/discussions/amazon/view/103111-exam-aws-certifiedadvanced-networking-specialty-ans-c01/
Exam AWS Certified Advanced Networking - Specialty ANS-C01 topic 1 question 20 discussion - ExamTopics
www.examtopics.com
또는 C, E??
[ANS-C01 Dump] Question & Answer (Q21-40)
[ANS-C01 Dump] Question & Answer (Q21-40)
Q21회사의 네트워크 엔지니어는 네트워크 이상을 감지하고 문제를 해결하는 데 도움이 되는 새로운 솔루션을 설계해야 합니다. 네트워크 엔지니어가 트래픽 미러링을 구성했습니다. 그러나 미
infoofit.tistory.com
[ANS-C01 Dump] Question & Answer (Q41-60)
[ANS-C01 Dump] Question & Answer (Q41-60)
Q41회사에서 전자상거래 웹사이트를 위한 새로운 기능을 만들고 있습니다. 이러한 기능은 서로 다른 경로를 통해 액세스되는 여러 마이크로 서비스를 사용합니다. 마이크로서비스는 Amazon Elastic
infoofit.tistory.com
[FCF] Technical Introduction - 암호화 및 PKI 모듈 Part 1 ( PKI, 암호 유형, 암호화 모듈 )
[FCF] Technical Introduction - 암호화 및 PKI 모듈 Part 1 ( PKI, 암호 유형, 암호화 모듈 )
A. 개요1. PKI 란? 공개키 기반구조(Public Key Infrastructure)라는 뜻의 PKI는 온라인에서 디지털 정보를 안전하게 교환하는데 필요한 정책, 절차 및 기술의 조합입니다. 간단히 말해서 PKI는 공개 디지털
infoofit.tistory.com