Q81
한 회사가 온프레미스에서 AWS로 애플리케이션을 마이그레이션하고 있습니다. 회사는 단일 VPC에 배포된 Amazon EC2 인스턴스에서 애플리케이션을 호스팅합니다. 마이그레이션 기간 동안 EC2 인스턴스의 DNS 쿼리는 온프레미스 서버의 이름을 확인할 수 있어야 합니다. 마이그레이션은 3개월이 소요될 것으로 예상됩니다. 3개월 마이그레이션 기간이 지나면 더 이상 온프레미스 서버의 해상도가 필요하지 않습니다. 최소한의 구성으로 이러한 요구 사항을 충족하려면 네트워크 엔지니어가 무엇을 해야 합니까?
A. 온프레미스와 AWS 간에 AWS Site-to-Site VPN 연결을 설정합니다. VPC를 호스팅하는 리전에 Amazon Route 53 Resolver 아웃바운드 엔드포인트를 배포합니다.
B. 프라이빗 VIF로 AWS Direct Connect 연결을 설정합니다. VPC를 호스팅하는 리전에 Amazon Route 53 Resolver 인바운드 엔드포인트와 Route 53 Resolver 아웃바운드 엔드포인트를 배포합니다.
C. 온프레미스와 AWS 간에 AWS 클라이언트 VPN 연결을 설정합니다. VPC에 Amazon Route 53 Resolver 인바운드 엔드포인트를 배포합니다.
D. 퍼블릭 VIF로 AWS Direct Connect 연결을 설정합니다. VPC를 호스팅하는 리전에 Amazon Route 53 Resolver 인바운드 엔드포인트를 배포합니다. 온프레미스 DNS 서버에 연결하기 위해 엔드포인트에 할당된 IP 주소를 사용합니다.
Answer
A. 온프레미스와 AWS 간에 AWS Site-to-Site VPN 연결을 설정합니다. VPC를 호스팅하는 리전에 Amazon Route 53 Resolver 아웃바운드 엔드포인트를 배포합니다.
Q82
회사는 Application Load Balancer 뒤의 Amazon EC2 인스턴스에서 애플리케이션을 호스팅하고 있습니다. 인스턴스는 Amazon EC2 Auto Scaling 그룹에 있습니다. 최근 보안 그룹이 변경되었기 때문에 외부 사용자는 애플리케이션에 액세스할 수 없습니다. 네트워크 엔지니어는 이러한 다운타임이 다시 발생하지 않도록 해야 합니다. 네트워크 엔지니어는 보안 그룹에 대한 비준수 변경 사항을 수정하는 솔루션을 구현해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 원하는 보안 그룹 구성과 현재 보안 그룹 구성 간의 불일치를 감지하도록 Amazon GuardDuty를 구성합니다. 규정을 준수하지 않는 보안 그룹을 수정하기 위해 AWS Systems Manager Automation Runbook을 생성합니다.
B. 원하는 보안 그룹 구성과 현재 보안 그룹 구성 간의 불일치를 감지하도록 AWS Config 규칙을 구성합니다. 비준수 보안 그룹을 수정하도록 AWS OpsWorks for Chef를 구성합니다.
C. 원하는 보안 그룹 구성과 현재 보안 그룹 구성 간의 불일치를 감지하도록 Amazon GuardDuty를 구성합니다. 비준수 보안 그룹을 수정하도록 AWS OpsWorks for Chef를 구성합니다.
D. 원하는 보안 그룹 구성과 현재 보안 그룹 구성 간의 불일치를 감지하도록 AWS Config 규칙을 구성합니다. 규정을 준수하지 않는 보안 그룹을 수정하기 위해 AWS Systems Manager Automation Runbook을 생성합니다.
Answer
D. 원하는 보안 그룹 구성과 현재 보안 그룹 구성 간의 불일치를 감지하도록 AWS Config 규칙을 구성합니다. 규정을 준수하지 않는 보안 그룹을 수정하기 위해 AWS Systems Manager Automation Runbook을 생성합니다.
Q83
한 회사에서 VPC의 트래픽 검사 및 NAT 기능을 위해 타사 방화벽 어플라이언스를 배포하고 있습니다. VPC는 프라이빗 서브넷과 퍼블릭 서브넷으로 구성됩니다. 회사는 로드 밸런서 뒤에 방화벽 어플라이언스를 배포해야 합니다. 이러한 요구 사항을 가장 비용 효율적으로 충족하는 아키텍처는 무엇입니까?
A. 방화벽 어플라이언스를 대상으로 하는 게이트웨이 로드 밸런서를 배포합니다. 프라이빗 서브넷에서 단일 네트워크 인터페이스로 방화벽 어플라이언스를 구성합니다. 검사 후 NAT 게이트웨이를 사용하여 트래픽을 인터넷으로 보냅니다.
B. 방화벽 어플라이언스를 대상으로 하는 게이트웨이 로드 밸런서를 배포합니다. 두 개의 네트워크 인터페이스로 방화벽 어플라이언스를 구성합니다. 하나는 프라이빗 서브넷에 있고 다른 하나는 퍼블릭 서브넷에 있습니다. 검사 후 방화벽 어플라이언스에서 NAT 기능을 사용하여 트래픽을 인터넷으로 보냅니다.
C. 방화벽 어플라이언스를 대상으로 하는 Network Load Balancer를 배포합니다. 프라이빗 서브넷에서 단일 네트워크 인터페이스로 방화벽 어플라이언스를 구성합니다. 검사 후 NAT 게이트웨이를 사용하여 트래픽을 인터넷으로 보냅니다.
D. 방화벽 어플라이언스를 대상으로 하는 Network Load Balancer를 배포합니다. 두 개의 네트워크 인터페이스로 방화벽 어플라이언스를 구성합니다. 하나는 프라이빗 서브넷에 있고 다른 하나는 퍼블릭 서브넷에 있습니다. 검사 후 방화벽 어플라이언스에서 NAT 기능을 사용하여 트래픽을 인터넷으로 보냅니다.
Answer
B. 방화벽 어플라이언스를 대상으로 하는 게이트웨이 로드 밸런서를 배포합니다. 두 개의 네트워크 인터페이스로 방화벽 어플라이언스를 구성합니다. 하나는 프라이빗 서브넷에 있고 다른 하나는 퍼블릭 서브넷에 있습니다. 검사 후 방화벽 어플라이언스에서 NAT 기능을 사용하여 트래픽을 인터넷으로 보냅니다.
Q84
회사의 AWS 아키텍처는 여러 VPC로 구성됩니다. VPC에는 공유 서비스 VPC와 여러 애플리케이션 VPC가 포함됩니다. 회사는 모든 VPC에서 온프레미스 DNS 서버로의 네트워크 연결을 설정했습니다. 애플리케이션 VPC에 배포된 애플리케이션은 온프레미스에서 내부적으로 호스팅되는 도메인에 대한 DNS를 확인할 수 있어야 합니다. 또한 애플리케이션은 Amazon Route 53 프라이빗 호스팅 영역에서 호스팅되는 로컬 VPC 도메인 이름과 도메인을 확인할 수 있어야 합니다.
네트워크 엔지니어는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. 공유 서비스 VPC에서 새 Route 53 Resolver 인바운드 엔드포인트를 생성합니다. 온프레미스 호스트 도메인에 대한 전달 규칙을 만듭니다. 규칙을 새 Resolver 엔드포인트 및 각 애플리케이션 VPC와 연결합니다. DNS 확인이 새 Resolver 엔드포인트를 가리키도록 각 애플리케이션 VPC의 DHCP 구성을 업데이트합니다.
B. 공유 서비스 VPC에서 새 Route 53 Resolver 아웃바운드 엔드포인트를 생성합니다. 온프레미스 호스트 도메인에 대한 전달 규칙을 만듭니다. 규칙을 새 Resolver 엔드포인트 및 각 애플리케이션 VPC와 연결합니다.
C. 공유 서비스 VPC에서 새로운 Route 53 Resolver 아웃바운드 엔드포인트를 생성합니다. 온프레미스 호스팅 도메인에 대한 전달 규칙을 생성합니다. 규칙을 새 Resolver 엔드포인트 및 각 애플리케이션 VPUpdate에 연결하고 각 애플리케이션 VPC의 DHCP 구성을 업데이트하여 DNS 확인을 새 Resolver 엔드포인트로 지정합니다.
D. 공유 서비스 VPC에서 새 Route 53 Resolver 인바운드 엔드포인트를 생성합니다. 온프레미스 호스트 도메인에 대한 전달 규칙을 만듭니다. 규칙을 새 Resolver 엔드포인트 및 각 애플리케이션 VPC와 연결합니다.
Answer
B. 공유 서비스 VPC에서 새 Route 53 Resolver 아웃바운드 엔드포인트를 생성합니다. 온프레미스 호스트 도메인에 대한 전달 규칙을 만듭니다. 규칙을 새 Resolver 엔드포인트 및 각 애플리케이션 VPC와 연결합니다.
Q85
회사에서 애플리케이션 간의 통신을 위해 오래된 애플리케이션 계층 프로토콜을 사용하고 있습니다. 회사는 이 프로토콜을 더 이상 사용하지 않기로 결정하고 모든 애플리케이션을 마이그레이션하여 새 프로토콜을 지원해야 합니다. 이전 프로토콜과 새 프로토콜은 TCP 기반이지만 서로 다른 포트 번호를 사용합니다.
몇 달 간의 작업 끝에 회사는 Amazon EC2 인스턴스와 컨테이너에서 실행되는 수십 개의 애플리케이션을 마이그레이션했습니다. 회사는 모든 애플리케이션이 마이그레이션되었다고 생각하지만 이 믿음을 확인하려고 합니다. 네트워크 엔지니어는 이전 프로토콜을 사용하는 애플리케이션이 없는지 확인해야 합니다. 다운타임 없이 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. Amazon Inspector 및 해당 네트워크 도달 가능성 규칙 패키지를 사용하십시오. 어떤 EC2 인스턴스가 아직 이전 포트를 수신하고 있는지 확인하려면 분석 실행이 완료될 때까지 기다리십시오.
B. Amazon GuardDuty를 활성화합니다. 그래픽 시각화를 사용하여 이전 프로토콜의 포트를 사용하는 트래픽을 필터링합니다. 동일한 포트가 임시 포트로 사용되는 경우를 필터링하기 위해 모든 인터넷 트래픽을 제외합니다.
C. Amazon S3 버킷으로 전달될 VPC 흐름 로그를 구성합니다. Amazon Athena를 사용하여 데이터를 쿼리하고 이전 프로토콜에서 사용하는 포트 번호를 필터링합니다.
D. 애플리케이션을 호스팅하는 EC2 인스턴스에 할당된 모든 보안 그룹을 검사합니다. 해당 포트가 허용된 포트 목록에 있는 경우 이전 프로토콜의 포트를 제거합니다. 보안 그룹에서 포트를 제거한 후 애플리케이션이 제대로 작동하는지 확인하십시오.
Answer
C. Amazon S3 버킷으로 전달될 VPC 흐름 로그를 구성합니다. Amazon Athena를 사용하여 데이터를 쿼리하고 이전 프로토콜에서 사용하는 포트 번호를 필터링합니다.
Q86
한 회사가 단일 AWS 리전에 AWS 환경을 배포했습니다. 환경은 수백 개의 애플리케이션 VPC, 공유 서비스 VPC 및 회사의 온프레미스 환경에 대한 VPN 연결로 구성됩니다. 네트워크 엔지니어는 다음 요구 사항을 충족하는 전송 게이트웨이를 구현해야 합니다.
• 애플리케이션 VPC는 서로 격리되어야 합니다.
• 애플리케이션 VPC와 온프레미스 네트워크 간에 양방향 통신이 허용되어야 합니다.
• 애플리케이션 VPC와 공유 서비스 VPC 간에 양방향 통신이 허용되어야 합니다.
네트워크 엔지니어는 기본 라우팅 테이블 연결 및 기본 라우팅 테이블 전파에 대해 비활성화된 옵션으로 전송 게이트웨이를 생성합니다. 또한 네트워크 엔지니어는 온프레미스 네트워크용 VPN 연결을 생성하고 애플리케이션 VPC 및 공유 서비스 VPC용 VPC 연결을 생성합니다.
네트워크 엔지니어는 최소한의 전송 게이트웨이 경로 테이블이 필요한 솔루션을 설계하여 전송 게이트웨이에 대한 모든 요구 사항을 충족해야 합니다. 이 목표를 달성하기 위해 네트워크 엔지니어가 수행해야 하는 작업 조합은 무엇입니까? (2개 선택)
A. 온프레미스용으로 별도의 Transit Gateway 라우팅 테이블을 구성합니다. VPN 연결을 이 Transit Gateway 라우팅 테이블과 연결합니다. 모든 애플리케이션 VPC 연결을 이 Transit Gateway 라우팅 테이블에 전파합니다.
B. 각 애플리케이션 VPC에 대해 별도의 전송 게이트웨이 라우팅 테이블을 구성합니다. 각 애플리케이션 VPC 연결을 해당 Transit Gateway 라우팅 테이블과 연결합니다. 공유 서비스 VPC 연결 및 VPN 연결을 이 Transit Gateway 라우팅 테이블에 전파합니다.
C. 모든 애플리케이션 VPC에 대해 별도의 전송 게이트웨이 라우팅 테이블을 구성합니다. 모든 애플리케이션 VPC를 이 Transit Gateway 라우팅 테이블과 연결합니다. 공유 서비스 VPC 연결 및 VPN 연결을 이 Transit Gateway 라우팅 테이블에 전파합니다.
D. 공유 서비스 VPC에 대해 별도의 전송 게이트웨이 라우팅 테이블을 구성합니다. 공유 서비스 VPC 연결을 이 Transit Gateway 라우팅 테이블과 연결합니다. 모든 애플리케이션 VPC 연결을 이 Transit Gateway 라우팅 테이블에 전파합니다.
E. 온프레미스 및 공유 서비스 VPC에 대해 별도의 전송 게이트웨이 라우팅 테이블을 구성합니다. VPN 연결 및 공유 서비스 VPC 연결을 이 transit gateway 라우팅 테이블과 연결합니다. 모든 애플리케이션 VPC 연결을 이 Transit Gateway 라우팅 테이블에 전파합니다.
Answer
C. 모든 애플리케이션 VPC에 대해 별도의 전송 게이트웨이 라우팅 테이블을 구성합니다. 모든 애플리케이션 VPC를 이 Transit Gateway 라우팅 테이블과 연결합니다. 공유 서비스 VPC 연결 및 VPN 연결을 이 Transit Gateway 라우팅 테이블에 전파합니다.
E. 온프레미스 및 공유 서비스 VPC에 대해 별도의 전송 게이트웨이 라우팅 테이블을 구성합니다. VPN 연결 및 공유 서비스 VPC 연결을 이 transit gateway 라우팅 테이블과 연결합니다. 모든 애플리케이션 VPC 연결을 이 Transit Gateway 라우팅 테이블에 전파합니다.
Q87
회사에는 기존 VPC와 온프레미스 네트워크 간에 AWS Site-to-Site VPN 연결이 있습니다. 기본 DHCP 옵션 세트는 VPC와 연결됩니다. 회사에는 VPC의 Amazon Linux 2 Amazon EC2 인스턴스에서 실행 중인 애플리케이션이 있습니다. 애플리케이션은 프라이빗 VPC 엔드포인트를 통해 AWS Secrets Manager에 저장된 Amazon RDS 데이터베이스 암호를 검색해야 합니다. 온프레미스 애플리케이션은 URL(https://api.example.internal)로 연결할 수 있는 내부 RESTful API 서비스를 제공합니다.
2개의 온프레미스 Windows DNS 서버가 내부 DNS 확인을 제공합니다. EC2 인스턴스의 애플리케이션은 온프레미스 환경에 배포된 내부 API 서비스를 호출해야 합니다. EC2 인스턴스의 애플리케이션이 서비스에 할당된 호스트 이름을 참조하여 내부 API 서비스를 호출하려고 하면 호출이 실패합니다. 네트워크 엔지니어가 API 서비스의 IP 주소를 사용하여 동일한 EC2 인스턴스에서 API 서비스 호출을 테스트하면 호출이 성공합니다. 네트워크 엔지니어는 이 문제를 해결하고 동일한 문제가 VPC의 다른 리소스에 영향을 미치지 않도록 하려면 어떻게 해야 합니까?
A. 온프레미스 Windows DNS 서버를 지정하는 새 DHCP 옵션 세트를 생성합니다. 새 DHCP 옵션 세트를 기존 VPC와 연결합니다. Amazon Linux 2 EC2 인스턴스를 재부팅합니다.
B. Amazon Route 53 Resolver 규칙을 생성합니다. 규칙을 VPC와 연결합니다. 도메인 이름이 example.internal과 일치하는 경우 DNS 쿼리를 온프레미스 Windows DNS 서버로 전달하도록 규칙을 구성합니다.
C. Amazon Linux 2 EC2 인스턴스의 로컬 호스트 파일을 VPMap에서 서비스 도메인 이름(api.example.internal)을 내부 API 서비스의 IP 주소로 수정합니다.
D. VPC의 Amazon Linux 2 EC2 인스턴스에서 로컬 /etc/resolv.conf 파일을 수정합니다. 파일에 있는 이름 서버의 IP 주소를 회사의 온프레미스 Windows DNS 서버의 IP 주소로 변경합니다.
Answer
B. Amazon Route 53 Resolver 규칙을 생성합니다. 규칙을 VPC와 연결합니다. 도메인 이름이 example.internal과 일치하는 경우 DNS 쿼리를 온프레미스 Windows DNS 서버로 전달하도록 규칙을 구성합니다.
Q88
회사는 AWS 클라우드의 여러 계정에 걸쳐 여러 프로덕션 애플리케이션을 보유하고 있습니다. 회사는 us-east-1 리전에서만 운영됩니다. 특정 협력사만 애플리케이션에 액세스할 수 있습니다. 애플리케이션은 Application Load Balancer(ALB) 뒤의 Auto Scaling 그룹에 있는 Amazon EC2 인스턴스에서 실행 중입니다. EC2 인스턴스는 프라이빗 서브넷에 있으며 ALB의 트래픽만 허용합니다. ALB는 퍼블릭 서브넷에 있으며 포트 80을 통한 파트너 네트워크 IP 주소 범위의 인바운드 트래픽만 허용합니다.
회사에서 새로운 파트너를 추가할 때 회사는 각 계정의 ALB와 연결된 보안 그룹에서 파트너 네트워크의 IP 주소 범위를 허용해야 합니다. 네트워크 엔지니어는 파트너 네트워크 IP 주소 범위를 중앙에서 관리하는 솔루션을 구현해야 합니다.
운영상 가장 효율적인 방식으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 업데이트가 필요한 모든 IP 주소 범위와 보안 그룹을 유지하기 위해 Amazon DynamoDB 테이블을 생성합니다. 회사에서 새 파트너를 추가하면 DynamoDB 테이블을 새 IP 주소 범위로 업데이트합니다. AWS Lambda 함수를 호출하여 DynamoDB 테이블에서 새 IP 주소 범위 및 보안 그룹을 읽어 보안 그룹을 업데이트합니다. 모든 계정에 이 솔루션을 배포합니다.
B. 새 접두사 목록을 만듭니다. 허용되는 모든 IP 주소 범위를 접두사 목록에 추가합니다. Amazon EventBridge(Amazon CloudWatch Events) 규칙을 사용하여 새 IP 주소 범위가 접두사 목록에 추가될 때마다 보안 그룹을 업데이트하는 AWS Lambda 함수를 호출합니다. 모든 계정에 이 솔루션을 배포합니다.
C. 새 접두사 목록을 만듭니다. 허용되는 모든 IP 주소 범위를 접두사 목록에 추가합니다. AWS Resource Access Manager(AWS RAM)를 사용하여 여러 계정에서 접두사 목록을 공유합니다. 파트너 IP 주소 범위 대신 접두사 목록을 사용하도록 보안 그룹을 업데이트합니다. 회사에서 새 파트너를 추가하면 새 IP 주소 범위로 접두사 목록을 업데이트합니다.
D. 업데이트해야 하는 모든 IP 주소 범위와 보안 그룹을 유지하기 위해 Amazon S3 버킷을 생성합니다. 회사에서 새 파트너를 추가하면 새 IP 주소 범위로 S3 버킷을 업데이트합니다. AWS Lambda 함수를 호출하여 S3 버킷에서 새 IP 주소 범위 및 보안 그룹을 읽어 보안 그룹을 업데이트합니다. 모든 계정에 이 솔루션을 배포합니다.
Answer
C. 새 접두사 목록을 만듭니다. 허용되는 모든 IP 주소 범위를 접두사 목록에 추가합니다. AWS Resource Access Manager(AWS RAM)를 사용하여 여러 계정에서 접두사 목록을 공유합니다. 파트너 IP 주소 범위 대신 접두사 목록을 사용하도록 보안 그룹을 업데이트합니다. 회사에서 새 파트너를 추가하면 새 IP 주소 범위로 접두사 목록을 업데이트합니다.
Q89
회사는 1Gbps AWS Direct Connect 연결을 사용하여 AWS 환경을 온프레미스 데이터 센터에 연결합니다. 연결을 통해 직원은 AWS에서 호스팅되는 애플리케이션 VPC에 액세스할 수 있습니다. 많은 원격 직원이 회사에서 제공하는 VPN을 사용하여 데이터 센터에 연결합니다. 이 직원들은 업무 시간 중에 애플리케이션에 액세스할 때 속도가 느려진다고 보고합니다. 온프레미스 사용자는 사무실에 있는 동안 유사한 속도 저하를 보고하기 시작했습니다.
이 회사는 AWS에 추가 애플리케이션을 구축할 계획입니다. 현장 및 원격 직원은 추가 애플리케이션을 사용합니다. 이 추가 애플리케이션을 배포한 후 회사는 현재 회사에서 사용하는 것보다 20% 더 많은 대역폭이 필요합니다. 사용량이 증가함에 따라 회사는 AWS 연결에 복원력을 추가하려고 합니다. 네트워크 엔지니어는 현재 구현을 검토하고 제한된 예산 내에서 개선해야 합니다. 네트워크 엔지니어는 이러한 요구 사항을 가장 비용 효율적으로 충족하기 위해 무엇을 해야 합니까?
A. 원격 직원 및 추가 애플리케이션의 추가 트래픽 로드를 수용하기 위해 새로운 1Gbps Direct Connect 전용 연결을 설정합니다. 링크 집계 그룹(LAG)을 생성합니다.
B. 애플리케이션 VPC에 대한 AWS Site-to-Site VPN 연결을 배포합니다. 원격 직원이 Site-to-Site VPN 연결에 연결할 수 있도록 온프레미스 라우팅을 구성합니다.
C. Amazon Workspaces를 애플리케이션 VP에 배포하여 원격 직원이 Workspaces에 연결하도록 지시합니다.
D. 기존 1Gbps Direct Connect 연결을 2개의 새로운 2Gbps Direct Connect 호스팅 연결로 교체합니다. 애플리케이션 VPC에서 AWS 클라이언트 VPN 엔드포인트를 생성합니다. 원격 직원에게 클라이언트 VPN 엔드포인트에 연결하도록 지시합니다.
Answer
B. 애플리케이션 VPC에 대한 AWS Site-to-Site VPN 연결을 배포합니다. 원격 직원이 Site-to-Site VPN 연결에 연결할 수 있도록 온프레미스 라우팅을 구성합니다.
Q90
회사는 글로벌 네트워크를 보유하고 있으며 전송 게이트웨이를 사용하여 AWS 리전을 함께 연결합니다. 회사는 서로 다른 지역에 있는 두 개의 Amazon EC2 인스턴스가 서로 통신할 수 없음을 확인했습니다. 네트워크 엔지니어는 이 연결 문제를 해결해야 합니다. 네트워크 엔지니어는 이 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. AWS Network Manager Route Analyzer를 사용하여 전송 게이트웨이 라우팅 테이블과 VPC 라우팅 테이블의 경로를 분석하십시오. VPC 흐름 로그를 사용하여 보안 그룹 규칙 및 네트워크 ACL 규칙이 VPC에서 수락하거나 거부하는 IP 트래픽을 분석합니다.
B. AWS Network Manager Route Analyzer를 사용하여 transit gateway 라우팅 테이블의 경로를 분석합니다. VPC 라우팅 테이블이 올바른지 확인하십시오. AWS Firewall Manager를 사용하여 보안 그룹 규칙 및 네트워크 ACL 규칙이 VPC에서 수락하거나 거부하는 IP 트래픽을 분석합니다.
C. AWS Network Manager Route Analyzer를 사용하여 transit gateway 라우팅 테이블의 경로를 분석합니다. VPC 라우팅 테이블이 올바른지 확인하십시오. VPC 흐름 로그를 사용하여 보안 그룹 규칙 및 네트워크 ACL 규칙이 VPC에서 수락하거나 거부하는 IP 트래픽을 분석합니다.
D. VPC 도달 가능성 분석기를 사용하여 전송 게이트웨이 경로 테이블의 경로를 분석합니다. VPC 라우팅 테이블이 올바른지 확인하십시오. VPC 흐름 로그를 사용하여 보안 그룹 규칙 및 네트워크 ACL 규칙이 VPC에서 수락하거나 거부하는 IP 트래픽을 분석합니다.
Answer
C. AWS Network Manager Route Analyzer를 사용하여 transit gateway 라우팅 테이블의 경로를 분석합니다. VPC 라우팅 테이블이 올바른지 확인하십시오. VPC 흐름 로그를 사용하여 보안 그룹 규칙 및 네트워크 ACL 규칙이 VPC에서 수락하거나 거부하는 IP 트래픽을 분석합니다.
Q91
회사는 VPC와 온프레미스 데이터 센터 간에 데이터를 전송해야 합니다. 데이터는 전용 대역폭이 있는 연결을 통해 이동해야 합니다. 또한 데이터는 전송 중에 암호화되어야 합니다. 이 회사는 AWS 파트너 네트워크(APN) 파트너와 협력하여 연결을 설정했습니다. 이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (3개 선택)
A. APN 파트너에게 호스팅 연결을 요청합니다.
B. APN 파트너에게 호스팅된 공개 VIF를 요청합니다.
C. AWS Site-to-Site VPN 연결을 생성합니다.
D. AWS 클라이언트 VPN 연결을 생성합니다.
E. 비공개 VIF를 생성합니다.
F. 공개 VIF를 생성합니다.
Answer
A. APN 파트너에게 호스팅 연결을 요청합니다.
C. AWS Site-to-Site VPN 연결을 생성합니다.
F. 공개 VIF를 생성합니다
Q92
회사의 보안 지침에 따르면 VPC에서 회사의 온프레미스 데이터 센터로 향하는 모든 아웃바운드 트래픽은 보안 어플라이언스를 통과해야 합니다. 보안 어플라이언스는 Amazon EC2 인스턴스에서 실행됩니다. 네트워크 엔지니어는 온프레미스 데이터 센터와 보안 어플라이언스 간의 네트워크 성능을 개선해야 합니다. 네트워크 엔지니어는 이러한 요구 사항을 충족하기 위해 어떤 조치를 취해야 합니까? (2개 선택)
A. 향상된 네트워킹을 지원하는 EC2 인스턴스를 사용하십시오.
B. 전송 게이트웨이를 통해 아웃바운드 트래픽을 보냅니다.
C. EC2 인스턴스 크기를 늘립니다.
D. VPC 내의 배치 그룹에 EC2 인스턴스를 배치합니다.
E. 여러 탄력적 네트워크 인터페이스를 EC2 인스턴스에 연결합니다.
Answer
A. 향상된 네트워킹을 지원하는 EC2 인스턴스를 사용하십시오.
C. EC2 인스턴스 크기를 늘립니다.
Q93
회사의 애플리케이션 팀이 VPC에서 새 리소스를 시작할 수 없습니다. 네트워크 엔지니어가 VPC에 사용 가능한 IP 주소가 부족함을 발견했습니다. VPC CIDR 블록은 172.16.0.0/16입니다. 네트워크 엔지니어가 VPC에 연결할 수 있는 추가 CIDR 블록은 무엇입니까?
A. 172.17.0.0/29
B. 10.0.0.0/16
C. 172.17.0.0/16
D. 192.168.0.0/16
Answer
C. 172.17.0.0/16
Q94
금융 거래 회사는 Amazon EC2 인스턴스를 사용하여 거래 플랫폼을 실행하고 있습니다. 회사 거래 플랫폼의 일부에는 EC2 인스턴스가 포트 50000에서 UDP를 통해 통신하는 타사 가격 책정 서비스가 포함되어 있습니다. 최근 회사는 가격 책정 서비스에 문제가 있습니다. 가격 책정 서비스의 응답 중 일부는 형식이 잘못되어 성공적으로 처리되지 않는 것 같습니다.
타사 공급업체는 가격 책정 서비스가 반환하는 데이터에 대한 액세스를 요청합니다. 타사 공급업체는 가격 책정 서비스에 액세스하는 EC2 인스턴스에 로그인하여 디버깅을 위해 요청 및 응답 데이터를 캡처하려고 합니다. 회사는 프로덕션 시스템에 대한 직접 액세스를 금지하고 모든 로그 분석을 전용 모니터링 계정에서 수행하도록 요구합니다. 네트워크 엔지니어는 데이터를 캡처하고 이러한 요구 사항을 충족하기 위해 어떤 단계를 수행해야 합니까?
A.
1. VPC에서 흐르는 데이터를 캡처하도록 VPC 흐름 로그를 구성합니다.
2. 데이터를 Amazon S3 버킷으로 보냅니다.
3. 모니터링 계정에서 EC2 인스턴스의 IP 주소로 흐르는 데이터를 추출하고 UDP 데이터에 대한 트래픽을 필터링합니다.
4. 타사 공급업체에 데이터를 제공합니다.
B.
1. UDP 데이터를 캡처하도록 트래픽 미러 필터를 구성합니다.
2. EC2 인스턴스의 탄력적 네트워크 인터페이스에 대한 트래픽을 캡처하도록 트래픽 미러링을 구성합니다.
3. 프로덕션 환경의 새 EC2 인스턴스에서 패킷 검사 패키지를 구성합니다. 새 EC2 인스턴스의 탄력적 네트워크 인터페이스를 트래픽 미러의 대상으로 사용합니다.
4. 패킷 검사 패키지를 사용하여 데이터를 추출합니다.
5. 타사 공급업체에 데이터를 제공합니다.
C.
1. UDP 데이터를 캡처하도록 트래픽 미러 필터를 구성합니다.
2. EC2 인스턴스의 탄력적 네트워크 인터페이스에 대한 트래픽을 캡처하도록 트래픽 미러링을 구성합니다.
3. 모니터링 계정의 새 EC2 인스턴스에서 패킷 검사 패키지를 구성합니다. 새 EC2 인스턴스의 탄력적 네트워크 인터페이스를 트래픽 미러의 대상으로 사용합니다.
4. 패킷 검사 패키지를 사용하여 데이터를 추출합니다.
5. 타사 공급업체에 데이터를 제공합니다.
D.
1. 새 Amazon Elastic Block Store(Amazon EBS) 볼륨을 생성합니다. EBS 볼륨을 EC2 인스턴스에 연결합니다.
2. 프로덕션 환경에서 EC2 인스턴스에 로그인합니다. tcpdump 명령을 실행하여 EBS 볼륨에서 UDP 데이터를 캡처합니다.
3. EBS 볼륨에서 Amazon S3로 데이터를 내보냅니다.
4. 타사 공급업체에 데이터를 제공합니다.
Answer
C.
1. UDP 데이터를 캡처하도록 트래픽 미러 필터를 구성합니다.
2. EC2 인스턴스의 탄력적 네트워크 인터페이스에 대한 트래픽을 캡처하도록 트래픽 미러링을 구성합니다.
3. 모니터링 계정의 새 EC2 인스턴스에서 패킷 검사 패키지를 구성합니다. 새 EC2 인스턴스의 탄력적 네트워크 인터페이스를 트래픽 미러의 대상으로 사용합니다.
4. 패킷 검사 패키지를 사용하여 데이터를 추출합니다.
5. 타사 공급업체에 데이터를 제공합니다.
Q95
회사의 네트워크 엔지니어가 전송 게이트웨이와 회사의 온프레미스 네트워크 간에 AWS Site-to-Site VPN 연결을 구성하고 있습니다. Site-to-Site VPN 연결은 transit gateway에서 활성화된 ECMP(equal-cost multi-path) 라우팅과 함께 활성/활성 모드에서 2개의 터널을 통해 BGP를 사용하도록 구성됩니다.
네트워크 엔지니어가 온프레미스 네트워크에서 Amazon EC2 인스턴스로 트래픽을 보내려고 하면 트래픽이 첫 번째 터널을 통해 전송됩니다. 그러나 반환 트래픽은 두 번째 터널을 통해 수신되고 고객 게이트웨이에서 삭제됩니다. 네트워크 엔지니어는 전체 VPN 대역폭을 줄이지 않고 이 문제를 해결해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. AS PATH 접두사 및 로컬 기본 설정을 사용하여 한 터널을 다른 터널보다 선호하도록 고객 게이트웨이를 구성합니다.
B. 첫 번째 터널을 기본 터널로 설정하여 비대칭 라우팅을 제거하도록 Site-to-Site VPN 옵션을 구성합니다.
C. 비대칭 라우팅을 허용하도록 고객 게이트웨이에서 가상 터널 인터페이스를 구성합니다.
D. 활성/활성 모드에서 정적 라우팅을 사용하도록 Site-to-Site VPN을 구성하여 트래픽이 기본 경로를 통해 흐르도록 합니다.
Answer
C. 비대칭 라우팅을 허용하도록 고객 게이트웨이에서 가상 터널 인터페이스를 구성합니다.
Q96
회사는 Amazon EC2 인스턴스에서 애플리케이션을 실행합니다. 네트워크 엔지니어는 자체 관리형 NAT 인스턴스를 교체하기 위해 애플리케이션의 VPC에 NAT 게이트웨이를 구현합니다. 네트워크 엔지니어가 자체 관리형 NAT 인스턴스에서 NAT 게이트웨이로 트래픽을 이동하면 사용자가 문제를 보고하기 시작합니다.
문제 해결 중에 네트워크 엔지니어는 약 6분 동안 활동이 없으면 애플리케이션에 대한 연결이 닫히는 것을 발견했습니다. 네트워크 엔지니어는 이 문제를 해결하기 위해 무엇을 해야 합니까?
A. NAT 게이트웨이에 대한 IdleTimeoutCount Amazon CloudWatch 지표의 증가를 확인하십시오. 애플리케이션 EC2 인스턴스에서 TCP keepalive를 구성합니다.
B. NAT 게이트웨이에 대한 ErrorPortAllocation Amazon CloudWatch 지표의 증가를 확인합니다. 애플리케이션 EC2 인스턴스에서 HTTP 제한 시간 값을 구성합니다.
C. NAT 게이트웨이에 대한 PacketsDropCount Amazon CloudWatch 지표의 증가를 확인합니다. 애플리케이션 EC2 인스턴스에서 HTTPS 제한 시간 값을 구성합니다.
D. NAT 게이트웨이에 대한 ActiveConnectionCount Amazon CloudWatch 지표의 감소를 확인합니다. 애플리케이션 EC2 인스턴스에서 UDP keepalive를 구성합니다.
Answer
A. NAT 게이트웨이에 대한 IdleTimeoutCount Amazon CloudWatch 지표의 증가를 확인하십시오. 애플리케이션 EC2 인스턴스에서 TCP keepalive를 구성합니다.
Q97
SaaS(Software-as-a-Service) 회사는 프라이빗 SaaS 애플리케이션을 AWS로 마이그레이션하고 있습니다. 이 회사에는 VPN 터널을 사용하여 여러 데이터 센터에 연결하는 수백 명의 고객이 있습니다. 고객 수가 증가함에 따라 회사는 복잡한 NAT 규칙으로 고객의 라우팅 및 세분화를 관리하는 데 더 많은 어려움을 겪었습니다.
AWS로의 마이그레이션이 완료된 후 회사의 AWS 고객은 VPC에서 직접 SaaS 애플리케이션에 액세스할 수 있어야 합니다. 한편 회사의 온프레미스 고객은 여전히 IPsec 암호화 터널을 통해 연결할 수 있어야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. AWS 고객 VPC를 공유 전송 게이트웨이에 연결합니다. 온프레미스 고객을 위해 전송 게이트웨이에 대한 AWS Site-to-Site VPN 연결을 사용하십시오.
B. AWS PrivateLink를 사용하여 AWS 고객을 연결합니다. SaaS 애플리케이션 VPC에서 타사 라우팅 어플라이언스를 사용하여 온프레미스 Site-to-Site VPN 연결을 종료합니다.
C. 각 AWS 고객의 VPC를 SaaS 애플리케이션을 호스팅하는 VPC에 피어링합니다. SaaS VPC 가상 프라이빗 게이트웨이에서 AWS Site-to-Site VPN 연결을 생성합니다.
D. Site-to-Site VPN 터널을 사용하여 각 AWS 고객의 VPC를 SaaS 애플리케이션을 호스팅하는 VPC에 연결합니다. AWS Site-to-Site VPN을 사용하여 온프레미스 고객을 연결하십시오.
Answer
B. AWS PrivateLink를 사용하여 AWS 고객을 연결합니다. SaaS 애플리케이션 VPC에서 타사 라우팅 어플라이언스를 사용하여 온프레미스 Site-to-Site VPN 연결을 종료합니다.
Q98
회사의 기존 AWS 환경에는 Amazon EC2 인스턴스에서 실행되는 퍼블릭 애플리케이션 서버가 포함되어 있습니다. 애플리케이션 서버는 VPC 서브넷에서 실행됩니다. 각 서버는 탄력적 IP 주소와 연결됩니다.
회사는 트래픽이 EC2 인스턴스에 도달하기 전에 인터넷의 모든 트래픽에 대한 방화벽 검사에 대한 새로운 요구 사항을 가지고 있습니다. 보안 엔지니어가 타사 방화벽이 있는 독립 실행형 VPC에 게이트웨이 로드 밸런서(GLB)를 배포하고 구성했습니다. 네트워크 엔지니어는 트래픽이 여러 방화벽을 통과하도록 환경을 어떻게 업데이트해야 합니까?
A. 전송 게이트웨이를 배포합니다. 전송 게이트웨이에 GLB 엔드포인트를 연결합니다. 애플리케이션 VPC를 전송 게이트웨이에 연결합니다. 애플리케이션 서브넷 라우팅 테이블의 기본 라우팅 대상을 GLB 엔드포인트로 업데이트합니다. EC2 인스턴스의 보안 그룹이 GLB 엔드포인트의 트래픽을 허용하는지 확인합니다.
B. 애플리케이션 서브넷 라우팅 테이블을 업데이트하여 방화벽 플릿이 포함된 독립형 VPC의 GLOn에 대한 기본 경로를 지정하고 GLB 엔드포인트를 대상으로 하는 애플리케이션 VPC의 CIDR 블록에 대한 경로 테이블에 경로를 추가합니다. GLB의 트래픽을 허용하도록 EC2 인스턴스의 보안 그룹을 업데이트합니다.
C. 새 서브넷의 애플리케이션 VPC에서 GLB 엔드포인트를 프로비저닝합니다. 애플리케이션 서브넷 CIDR 블록을 대상으로 지정하고 GLB 엔드포인트를 대상으로 지정하는 경로로 게이트웨이 경로 테이블을 생성합니다. 게이트웨이 라우팅 테이블을 애플리케이션 VPUpdate의 인터넷 게이트웨이와 연결합니다. 애플리케이션 서브넷 라우팅 테이블의 기본 라우팅 대상을 GLB 엔드포인트로 업데이트합니다.
D. 보안 엔지니어에게 GLB를 애플리케이션 VPC로 이동하도록 지시합니다. 게이트웨이 라우팅 테이블을 생성합니다. 게이트웨이 라우팅 테이블을 애플리케이션 서브넷과 연결합니다. GLB를 대상으로 하는 게이트웨이 경로 테이블에 기본 경로를 추가합니다. 인터넷 게이트웨이에서 애플리케이션 서버로 트래픽을 보내도록 GLB의 경로 테이블을 업데이트하십시오. EC2 인스턴스의 보안 그룹이 GLB의 트래픽을 허용하는지 확인합니다.
Answer
C. 새 서브넷의 애플리케이션 VPC에서 GLB 엔드포인트를 프로비저닝합니다. 애플리케이션 서브넷 CIDR 블록을 대상으로 지정하고 GLB 엔드포인트를 대상으로 지정하는 경로로 게이트웨이 경로 테이블을 생성합니다. 게이트웨이 라우팅 테이블을 애플리케이션 VPUpdate의 인터넷 게이트웨이와 연결합니다. 애플리케이션 서브넷 라우팅 테이블의 기본 라우팅 대상을 GLB 엔드포인트로 업데이트합니다.
Q99
회사에는 사무실과 VPC 간에 AWS Site-to-Site VPN 연결이 있습니다. 사용자는 VPC 내부에서 호스팅되는 애플리케이션에 대한 연결 실패가 가끔 발생한다고 보고합니다. 네트워크 엔지니어는 애플리케이션에 대한 연결이 실패하면 IKE(Internet Key Exchange) 세션이 종료된다는 것을 고객 게이트웨이 로그에서 발견합니다. IKE 세션이 중단된 경우 네트워크 엔지니어는 IKE 세션을 불러오기 위해 무엇을 해야 합니까?
A. DPD(Dead Peer Detection) 시간 초과 작업을 지우기로 설정합니다. VPC에서 온프레미스로의 트래픽을 시작합니다.
B. DPD(Dead Peer Detection) 시간 초과 작업을 다시 시작으로 설정합니다. 온프레미스에서 VPC로 트래픽을 시작합니다.
C. DPD(Dead Peer Detection) 시간 초과 작업을 없음으로 설정합니다. VPC에서 온프레미스로의 트래픽을 시작합니다.
D. DPD(Dead Peer Detection) 시간 초과 작업을 취소로 설정합니다. 온프레미스에서 VPC로 트래픽을 시작합니다.
Answer
B. DPD(Dead Peer Detection) 시간 초과 작업을 다시 시작으로 설정합니다. 온프레미스에서 VPC로 트래픽을 시작합니다.
Q100
네트워크 엔지니어는 회사의 회사 네트워크를 회사의 AWS 환경에 연결할 하이브리드 네트워킹 환경을 설계하고 있습니다. AWS 환경은 3개의 AWS 리전에 있는 30개의 VPC로 구성됩니다. 네트워크 엔지니어는 회사의 보안 팀이 승인한 방화벽을 사용하여 트래픽을 중앙에서 필터링하는 솔루션을 구현해야 합니다. 솔루션은 모든 VPC에 서로 연결할 수 있는 기능을 제공해야 합니다. AWS와 회사 네트워크 간의 연결은 2Gbps의 최소 대역폭 요구 사항을 충족해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 회사 네트워크와 새 전송 게이트웨이 간에 IPsec VPN 연결을 배포합니다. 모든 VPC를 전송 게이트웨이에 연결합니다. 승인된 방화벽을 전송 게이트웨이와 연결합니다.
B. 회사 네트워크와 각 VPC의 가상 프라이빗 게이트웨이 간에 단일 10Gbps AWS Direct Connect 연결을 배포합니다. 가상 프라이빗 게이트웨이를 Direct Connect 게이트웨이에 연결합니다. 새 전송 VPC에 대한 IPsec 터널을 구축합니다. 통과 VPC에 승인된 방화벽을 배포합니다.
C. 서로 다른 Direct Connect 위치에 두 개의 1Gbps AWS Direct Connect 연결을 배포하여 회사 네트워크에 연결합니다. Direct Connect 게이트웨이에 대한 각 연결에서 전송 VIF를 구축합니다. Direct Connect 게이트웨이를 각 리전의 새 전송 게이트웨이와 연결합니다. ECMP(equal-cost multipath) 라우팅을 사용하도록 VIF를 구성합니다. 세 지역의 모든 VPC를 전송 게이트웨이에 연결합니다. 트래픽을 검사 VP로 라우팅하도록 전송 게이트웨이 라우팅 테이블을 구성합니다. 승인된 방화벽을 검사 VPC에 배포합니다.
D. 서로 다른 Direct Connect 위치에 4개의 1Gbps AWS Direct Connect 연결을 배포하여 회사 네트워크에 연결합니다. Direct Connect 게이트웨이에 대한 각 연결에서 전송 VIF를 구축합니다. Direct Connect 게이트웨이를 각 리전의 새 전송 게이트웨이와 연결합니다. 전송 게이트웨이 피어링 연결을 사용하여 전송 게이트웨이를 연결합니다. ECMP(equal-cost multipath) 라우팅을 사용하도록 VIF를 구성합니다. 트래픽을 검사 VPC로 라우팅하도록 Transit Gateway 라우팅 테이블을 구성합니다. 검사 VPC에 승인된 방화벽을 배포합니다.
Answer
D. 서로 다른 Direct Connect 위치에 4개의 1Gbps AWS Direct Connect 연결을 배포하여 회사 네트워크에 연결합니다. Direct Connect 게이트웨이에 대한 각 연결에서 전송 VIF를 구축합니다. Direct Connect 게이트웨이를 각 리전의 새 전송 게이트웨이와 연결합니다. 전송 게이트웨이 피어링 연결을 사용하여 전송 게이트웨이를 연결합니다. ECMP(equal-cost multipath) 라우팅을 사용하도록 VIF를 구성합니다. 트래픽을 검사 VPC로 라우팅하도록 Transit Gateway 라우팅 테이블을 구성합니다. 검사 VPC에 승인된 방화벽을 배포합니다.
[ANS-C01 Dump] Question & Answer (Q21-40)
[ANS-C01 Dump] Question & Answer (Q61-80)
[용어/개념] Network - ARP Protocol