Q141 - Q160
Q141
회사는 Amazon Route 53을 사용하여 퍼블릭 도메인인 example.com을 AWS 계정에 등록합니다. 중앙 서비스 그룹이 계정을 관리합니다. 회사는 계정에서 호스팅되는 Amazon EC2 인스턴스에 대한 이름 서비스를 제공하기 위해 다른 AWS 계정에 하위 도메인인 test.example.com을 생성하려고 합니다. 회사는 상위 도메인을 하위 도메인 계정으로 마이그레이션하기를 원하지 않습니다. 네트워크 엔지니어는 두 번째 계정의 하위 도메인에 대한 새 Route 53 호스팅 영역을 생성합니다. 네트워크 엔지니어가 작업을 완료하기 위해 수행해야 하는 단계 조합은 무엇입니까? (2개 선택)
A. 새 하위 도메인의 호스트에 대한 레코드를 새 Route 53 호스팅 영역에 추가합니다.
B. 하위 도메인에 대한 NS(이름 서버) 레코드를 추가하여 상위 도메인에 대한 DNS 서비스를 업데이트합니다.
C. 상위 도메인에 대한 NS(이름 서버) 레코드를 추가하여 하위 도메인에 대한 DNS 서비스를 업데이트합니다.
D. 두 번째 계정의 하위 도메인에 대한 호스팅 영역을 가리키는 상위 도메인에서 별칭 레코드를 생성합니다.
E. 하위 도메인의 상위 도메인에 SOA(권한 시작) 레코드를 추가합니다.
Answer
A. 새 하위 도메인의 호스트에 대한 레코드를 새 Route 53 호스팅 영역에 추가합니다.
B. 하위 도메인에 대한 NS(이름 서버) 레코드를 추가하여 상위 도메인에 대한 DNS 서비스를 업데이트합니다
Q142
IoT 회사는 미국과 남아시아에 배포된 수천 개의 센서에서 데이터를 수집합니다. 센서는 UDP를 기반으로 구축된 독점 통신 프로토콜을 사용하여 데이터를 Amazon EC2 인스턴스 플릿으로 전송합니다. 인스턴스는 Auto Scaling 그룹에 있으며 NLB(Network Load Balancer) 뒤에서 실행됩니다. 인스턴스, Auto Scaling 그룹 및 NLB는 us-west-2 리전에 배포됩니다.
경우에 따라 남아시아에 있는 센서의 데이터가 인터넷을 통해 전송되는 동안 손실되어 EC2 인스턴스에 도달하지 않습니다. 어떤 솔루션이 이 문제를 해결할 것입니까? (2개 선택)
A. 기존 NLB와 함께 AWS Global Accelerator를 사용합니다.
B. Amazon CloudFront 배포를 생성합니다. 기존 NLB를 원본으로 지정합니다.
C. ap-south-1 지역에서 EC2 인스턴스와 NLB의 두 번째 배포를 생성합니다. Amazon Route 53 지연 시간 라우팅 정책을
사용하여 최소 지연 시간을 제공하는 리전으로 확인합니다.
D. ap-south-1 지역에서 EC2 인스턴스 및 NLB의 두 번째 배포를 생성합니다. 패킷이 삭제된 경우 Amazon Route 53 장애 조치 라우팅 정책을 사용하여 대체 리전으로 확인합니다.
E. 최신 ENA(Elastic Network Adapter) 드라이버를 사용하여 EC2 인스턴스에서 향상된 네트워킹을 켭니다.
Answer
A. 기존 NLB와 함께 AWS Global Accelerator를 사용합니다.
C. ap-south-1 지역에서 EC2 인스턴스와 NLB의 두 번째 배포를 생성합니다. Amazon Route 53 지연 시간 라우팅 정책을
사용하여 최소 지연 시간을 제공하는 리전으로 확인합니다.
Q143
회사에 Amazon EC2 인스턴스 플릿에서 실행되는 애플리케이션이 있습니다. 새로운 회사 규정에 따르면 콘텐츠 검사를 위해 EC2 인스턴스와 주고받는 모든 네트워크 트래픽을 중앙 집중식 타사 EC2 어플라이언스로 보내야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 각 EC2 네트워크 인터페이스에서 VPC 흐름 로그를 구성합니다. 흐름 로그를 Amazon S3 버킷에 게시합니다. 타사 EC2 어플라이언스를 생성하여 S3 버킷에서 흐름 로그를 가져옵니다. 네트워크 콘텐츠를 모니터링하려면 어플라이언스에 로그인하십시오.
B. NLB(Network Load Balancer)가 전면에 있는 Auto Scaling 그룹에 타사 EC2 어플라이언스를 생성합니다. 미러 세션을 구성합니다. NLB를 미러 대상으로 지정합니다. 인바운드 및 아웃바운드 트래픽을 캡처하려면 미러 필터를 지정하십시오. 미러 세션의 소스에 대해 애플리케이션을 호스팅하는 모든 인스턴스에 대한 EC2 탄력적 네트워크 인터페이스를 지정합니다.
C. 미러 세션을 구성합니다. Amazon Kinesis Data Firehose 전송 스트림을 미러 대상으로 지정합니다. 인바운드 및 아웃바운드 트래픽을 캡처하려면 미러 필터를 지정하십시오. 미러 세션의 소스에 대해 애플리케이션을 호스팅하는 모든 인스턴스에 대한 EC2 탄력적 네트워크 인터페이스를 지정합니다. 타사 EC2 어플라이언스를 생성합니다. 콘텐츠 검사를 위해 Kinesis Data Firehose 전송 스트림을 통해 모든 트래픽을 어플라이언스로 보냅니다.
D. 각 EC2 네트워크 인터페이스에서 VPC 흐름 로그를 구성합니다. 로그를 Amazon CloudWatch로 보냅니다. 타사 EC2 어플라이언스를 생성합니다. 흐름 로그를 Amazon Kinesis Data Firehose로 전송하여 로그를 어플라이언스로 로드하도록 CloudWatch 필터를 구성합니다.
Answer
B. NLB(Network Load Balancer)가 전면에 있는 Auto Scaling 그룹에 타사 EC2 어플라이언스를 생성합니다. 미러 세션을 구성합니다. NLB를 미러 대상으로 지정합니다. 인바운드 및 아웃바운드 트래픽을 캡처하려면 미러 필터를 지정하십시오. 미러 세션의 소스에 대해 애플리케이션을 호스팅하는 모든 인스턴스에 대한 EC2 탄력적 네트워크 인터페이스를 지정합니다.
Q144
회사에 두 개의 AWS Direct Connect 링크가 있습니다. 하나의 Direct Connect 링크는 us-east-1 리전에서 종료되고 다른 Direct Connect 링크는 af-south-1 리전에서 종료됩니다. 이 회사는 BGP를 사용하여 AWS와 경로를 교환하고 있습니다. 네트워크 엔지니어는 af-south-1이 AWS에 대한 보조 링크로 사용되도록 BGP를 어떻게 구성해야 합니까?
A.
• us-east-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7100을 사용하도록 BGP 피어링을 구성합니다.
• af-south-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7300을 사용하도록 BGP 피어링을 구성합니다.
• us-east-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 200으로 설정합니다.
• af-south-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 50으로 설정합니다.
B.
• us-east-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7300을 사용하도록 BGP 피어링을 구성합니다.
• af-south-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7100을 사용하도록 BGP 피어링을 구성합니다.
• us-east-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 200으로 설정합니다.
• af-south-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 50으로 설정합니다.
C.
• us-east-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7100을 사용하도록 BGP 피어링을 구성합니다.
• af-south-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7300을 사용하도록 BGP 피어링을 구성합니다.
• us-east-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 50으로 설정합니다.
• af-south-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 200으로 설정합니다.
D.
• us-east-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7300을 사용하도록 BGP 피어링을 구성합니다.
• af-south-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7100을 사용하도록 BGP 피어링을 구성합니다.
• us-east-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 50으로 설정합니다.
• af-south-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 200으로 설정합니다.
Answer
B.
• us-east-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7300을 사용하도록 BGP 피어링을 구성합니다.
• af-south-1에 대한 Direct Connect 링크에서 커뮤니티 태그 7224:7100을 사용하도록 BGP 피어링을 구성합니다.
• us-east-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 200으로 설정합니다.
• af-south-1에 대한 Direct Connect BGP 피어에서 로컬 기본 설정 값을 50으로 설정합니다.
Q145
인프라 엔지니어 팀이 AWS Cloud Development Kit(AWS CDK)를 사용하여 Application Load Balancer(ALB) 구성 요소의 배포를 자동화하려고 합니다. CDK 애플리케이션은 여러 환경, AWS 리전 및 AWS 계정에서 재사용 가능하고 일관된 인프라 스택을 배포해야 합니다. 프로젝트의 수석 네트워크 설계자는 이미 대상 계정을 부트스트랩했습니다.
수석 네트워크 설계자는 또한 여러 환경 및 리전에 걸쳐 VPC 및 Amazon Route 53 프라이빗 호스팅 영역과 같은 핵심 네트워크 구성 요소를 배포했습니다. 인프라 엔지니어는 기존 핵심 네트워크 구성 요소를 사용하도록 CDK 애플리케이션에서 ALB 구성 요소를 설계해야 합니다. 환경 배포 간에 최소한의 수동 작업으로 이 요구 사항을 충족하는 단계 조합은 무엇입니까? (2개 선택)
A. 환경 및 지역에 따라 달라지는 값에 대한 AWS CloudFormation 매개 변수를 읽도록 CDK 애플리케이션을 설계합니다. 변수가 필요한 리소스에 대해서는 CDK 스택에서 이러한 변수를 참조하십시오.
B. 런타임 시 계정 및 지역 세부 정보가 포함된 환경 변수를 읽도록 CDK 애플리케이션을 설계합니다. 이러한 변수를 CDK 스택의 속성으로 사용합니다. CDK 스택의 컨텍스트 메서드를 사용하여 변수 값을 검색합니다.
C. 다중 계정 환경에서 공유 응용 프로그램 서비스를 위한 전용 계정을 만듭니다. 전용 계정에 CDK 파이프라인을 배포합니다. 다양한 환경과 지역에 걸쳐 CDK 애플리케이션을 배포하는 파이프라인의 단계를 만듭니다.
D. 여러 환경 및 지역에 걸쳐 CDK 애플리케이션 배포를 자동화하는 스크립트를 작성합니다. 프로젝트에서 작업 중인 엔지니어에게 스크립트를 배포합니다.
E. 로컬에서 CDK 툴킷을 사용하여 각 환경 및 지역에 스택을 배포합니다. --context 플래그를 사용하여 CDK 애플리케이션이 런타임 시 참조할 수 있는 변수를 전달합니다.
Answer
B. 런타임 시 계정 및 지역 세부 정보가 포함된 환경 변수를 읽도록 CDK 애플리케이션을 설계합니다. 이러한 변수를 CDK 스택의 속성으로 사용합니다. CDK 스택의 컨텍스트 메서드를 사용하여 변수 값을 검색합니다.
C. 다중 계정 환경에서 공유 응용 프로그램 서비스를 위한 전용 계정을 만듭니다. 전용 계정에 CDK 파이프라인을 배포합니다. 다양한 환경과 지역에 걸쳐 CDK 애플리케이션을 배포하는 파이프라인의 단계를 만듭니다.
Q146
한 회사에 2개의 중복 활성-수동 AWS Direct Connect 연결을 통해 온프레미스 데이터 센터에 연결하는 중요한 VPC 워크로드가 있습니다. 그러나 최근 하나의 Direct Connect 연결이 중단되어 트래픽이 보조 Direct Connect 연결로 장애 조치되는 데 1분 이상 걸리는 것으로 나타났습니다. 회사는 장애 조치 시간을 몇 분에서 몇 초로 단축하려고 합니다. BGP 장애 조치 시간을 가장 많이 단축하는 솔루션은 무엇입니까?
A. Direct Connect 연결 VIF의 BGP 세션에 구성된 BGP 보류 타이머를 줄입니다.
B. AWS Lambda 함수를 호출하여 트래픽을 장애 조치하도록 Direct Connect 연결 상태에 대한 Amazon CloudWatch 경보를 구성합니다.
C. AWS 측의 Direct Connect 연결에서 BFD(Bidirectional Forwarding Detection)를 구성합니다.
D. 온프레미스 라우터의 Direct Connect 연결에서 BFD(Bidirectional Forwarding Detection)를 구성합니다.
Answer
D. 온프레미스 라우터의 Direct Connect 연결에서 BFD(Bidirectional Forwarding Detection)를 구성합니다.
Q147
유럽의 한 자동차 제조업체는 고객 대면 서비스와 분석 플랫폼을 2개의 온프레미스 데이터 센터에서 AWS 클라우드로 마이그레이션하려고 합니다. 이 회사는 온프레미스 데이터 센터 사이에 80.4km(50마일)의 거리를 두고 있으며 클라우드의 두 위치 사이에 이러한 거리를 유지해야 합니다. 회사는 또한 클라우드의 두 위치 간에 장애 조치 기능이 필요합니다.
회사의 인프라 팀은 워크로드와 책임을 구분하기 위해 여러 계정을 생성합니다. 회사는 eu-west-3 리전과 eu-central-1 리전에서 리소스를 프로비저닝합니다. 회사는 각 리전에서 AWS Direct Connect 파트너를 선택하고 각 제공자에게 2개의 탄력적인 1Gbps 파이버 연결을 요청합니다.
회사의 네트워크 엔지니어는 계정의 모든 VPC와 온프레미스 네트워크와 AWS 클라우드 간에 연결을 설정해야 합니다. 솔루션은 네트워크 문제가 발생할 경우 두 리전의 모든 서비스에 대한 액세스를 제공해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. Direct Connect 게이트웨이를 생성합니다. 각 Direct Connect 연결에서 비공개 VIF를 생성합니다. 프라이빗 VIF를 Direct Connect 게이트웨이에 연결합니다. ECMP(등가 다중 경로) 라우팅을 사용하여 두 리전에서 4개의 연결을 집계합니다. Direct Connect 게이트웨이를 각 VPC의 가상 프라이빗 게이트웨이에 직접 연결합니다.
B. Direct Connect 게이트웨이를 생성합니다. 전송 게이트웨이를 생성합니다. 전송 게이트웨이를 Direct Connect 게이트웨이에 연결합니다. 각 Direct Connect 연결에서 전송 VIF를 생성합니다. 전송 VIF를 Direct Connect 게이트웨이에 연결합니다. 링크 집계 그룹(LAG)을 사용하여 두 리전에서 4개의 연결을 집계합니다. 전송 게이트웨이를 각 VPC에 직접 연결합니다.
C. Direct Connect 게이트웨이를 생성합니다. 각 리전에서 전송 게이트웨이를 생성합니다. 전송 게이트웨이를 Direct Connect 게이트웨이에 연결합니다. 각 Direct Connect 연결에서 전송 VIF를 생성합니다. 전송 VIF를 Direct Connect 게이트웨이에 연결합니다. transit gateway를 피어링합니다. 각 리전의 transit gateway를 동일한 리전의 VPC에 연결합니다.
D. Direct Connect 게이트웨이를 생성합니다. 각 Direct Connect 연결에서 비공개 VIF를 생성합니다. 프라이빗 VIF를 Direct Connect 게이트웨이에 연결합니다. 링크 집계 그룹(LAG)을 사용하여 두 리전에서 4개의 연결을 집계합니다. 전송 게이트웨이를 생성합니다. 전송 게이트웨이를 Direct Connect 게이트웨이에 연결합니다. 전송 게이트웨이를 각 VPC에 직접 연결합니다.
Answer
C. Direct Connect 게이트웨이를 생성합니다. 각 리전에서 전송 게이트웨이를 생성합니다. 전송 게이트웨이를 Direct Connect 게이트웨이에 연결합니다. 각 Direct Connect 연결에서 전송 VIF를 생성합니다. 전송 VIF를 Direct Connect 게이트웨이에 연결합니다. transit gateway를 피어링합니다. 각 리전의 transit gateway를 동일한 리전의 VPC에 연결합니다.
Q148
회사에서 인터넷에 대한 TCP 트래픽을 분석하려고 합니다. 트래픽은 회사 VPC의 Amazon EC2 인스턴스에서 시작됩니다. EC2 인스턴스는 NAT 게이트웨이를 통해 연결을 시작합니다. 필수 정보에는 소스 및 대상 IP 주소, 포트, TCP 세그먼트 페이로드의 처음 8바이트가 포함됩니다. 회사는 필요한 모든 데이터 포인트를 수집, 저장 및 분석해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. EC2 인스턴스를 VPC 트래픽 미러 소스로 설정합니다. 트래픽 미러 대상에 소프트웨어를 배포하여 데이터를 Amazon CloudWatch Logs로 전달합니다. CloudWatch Logs Insights를 사용하여 데이터를 분석합니다.
B. NAT 게이트웨이를 VPC 트래픽 미러 소스로 설정합니다. 트래픽 미러 대상에 소프트웨어를 배포하여 데이터를 Amazon OpenSearch Service 클러스터로 전달합니다. OpenSearch 대시보드를 사용하여 데이터를 분석합니다.
C. EC2 인스턴스에서 VPC 흐름 로그를 켭니다. Amazon CloudWatch Logs의 기본 형식과 로그 대상을 지정합니다. CloudWatch Logs Insights를 사용하여 흐름 로그 데이터를 분석합니다.
D. EC2 인스턴스에서 VPC 흐름 로그를 켭니다. 사용자 지정 형식과 Amazon S3의 로그 대상을 지정합니다. Amazon Athena를 사용하여 흐름 로그 데이터를 분석합니다.
Answer
A. EC2 인스턴스를 VPC 트래픽 미러 소스로 설정합니다. 트래픽 미러 대상에 소프트웨어를 배포하여 데이터를 Amazon CloudWatch Logs로 전달합니다. CloudWatch Logs Insights를 사용하여 데이터를 분석합니다.
Q149
회사는 단일 AWS 리전에 3개의 VPC가 있습니다. 각 VPC에는 15개의 Amazon EC2 인스턴스가 포함되며 VPC 간에는 연결이 없습니다. 이 회사는 세 개의 VPC 모두에 새 애플리케이션을 배포하고 있습니다. 애플리케이션에는 노드 간에 높은 대역폭이 필요합니다. 네트워크 엔지니어는 VPC 간에 연결을 구현해야 합니다. 가장 높은 처리량으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 전송 게이트웨이를 구성합니다. 각 VPC를 전송 게이트웨이에 연결합니다. 전송 게이트웨이로 트래픽을 라우팅하도록 각 VPC에서 정적 라우팅을 구성합니다.
B. 3개의 VPC 간에 VPC 피어링을 구성합니다. 3개의 VPC 간에 트래픽을 라우팅하도록 정적 라우팅을 구성합니다.
C. 전송 VPC 구성각 VPC에서 VPN 게이트웨이 구성각 VPC에서 전송 VP로의 AWS Site-to-Site VPN 터널 생성 BGP 라우팅을 사용하여 VPC와 전송 VPC 간에 트래픽을 라우팅합니다.
D. 각 VPC 간에 AWS Site-to-Site VPN 연결을 구성합니다. 각 Site-to-Site VPN 연결에 대한 경로 전파를 활성화하여 VPC 간에 트래픽을 라우팅합니다.
Answer
B. 3개의 VPC 간에 VPC 피어링을 구성합니다. 3개의 VPC 간에 트래픽을 라우팅하도록 정적 라우팅을 구성합니다.
Q150
네트워크 엔지니어는 AWS Network Firewall 방화벽을 기존 AWS 환경에 배포해야 합니다. 환경은 다음으로 구성됩니다.
• 모든 VPC가 연결된 Transit Gateway
• 수백 개의 애플리케이션 VPC
• NAT 게이트웨이와 인터넷 게이트웨이가 있는 중앙 집중식 이그레스 인터넷 VPC
• 퍼블릭 Application Load Balancer를 호스팅하는 중앙 집중식 인그레스 인터넷 VPC
• AWS Direct Connect 게이트웨이 연결을 통한 온프레미스 연결
애플리케이션 VPC에는 전송 게이트웨이를 가리키는 VPC 라우팅 테이블의 기본 경로(0.0.0.0/0)가 있는 프라이빗 서브넷의 여러 가용 영역에 걸쳐 워크로드가 배포되어 있습니다. 네트워크 방화벽 방화벽은 Suricata 호환 규칙을 사용하여 동서(VPC-VPC) 트래픽 및 북-남(인터넷 바인딩 및 온프레미스 네트워크) 트래픽을 검사해야 합니다.
네트워크 엔지니어는 기존 생산 환경에 대한 최소한의 아키텍처 변경이 필요한 솔루션을 사용하여 방화벽을 배포해야 합니다. 네트워크 엔지니어는 이러한 요구 사항을 충족하기 위해 어떤 단계 조합을 수행해야 합니까? (3개 선택)
A. 각 애플리케이션 VPC의 모든 가용 영역에 네트워크 방화벽을 배포합니다.
B. 중앙 집중식 검사 VPC의 모든 가용 영역에 네트워크 방화벽을 배포합니다.
C. VPC 및 온프레미스 네트워크의 모든 CIDR 범위를 포함하도록 HOME_NET 규칙 그룹 변수를 업데이트합니다.
D. VPC 및 온프레미스 네트워크의 모든 CIDR 범위를 포함하도록 EXTERNAL_NET 규칙 그룹 변수를 업데이트합니다.
E. 단일 전송 게이트웨이 라우팅 테이블을 구성합니다. 모든 애플리케이션 VPC와 중앙 집중식 검사 VPC를 이 라우팅 테이블과 연결합니다.
F. 두 개의 전송 게이트웨이 경로 테이블을 구성합니다. 모든 애플리케이션 VPC를 하나의 Transit Gateway 라우팅 테이블과 연결합니다. 중앙 집중식 검사 VPC를 다른 Transit Gateway 라우팅 테이블과 연결합니다.
Answer
B. 중앙 집중식 검사 VPC의 모든 가용 영역에 네트워크 방화벽을 배포합니다.
C. VPC 및 온프레미스 네트워크의 모든 CIDR 범위를 포함하도록 HOME_NET 규칙 그룹 변수를 업데이트합니다.
F. 두 개의 전송 게이트웨이 경로 테이블을 구성합니다. 모든 애플리케이션 VPC를 하나의 Transit Gateway 라우팅 테이블과 연결합니다. 중앙 집중식 검사 VPC를 다른 Transit Gateway 라우팅 테이블과 연결합니다.
Q151 - 160
Q151
회사에서 두 개의 도메인 컨트롤러가 있는 공유 서비스 VPC를 사용하고 있습니다. 도메인 컨트롤러는 회사의 프라이빗 서브넷에 배포됩니다. 회사는 계정의 새 VPC에 새 애플리케이션을 배포하고 있습니다. 애플리케이션은 새 VPC의 Windows Server 인스턴스용 Amazon EC2에 배포됩니다. 인스턴스는 공유 서비스 VPC의 도메인 컨트롤러에서 지원하는 기존 Windows 도메인에 가입해야 합니다.
전송 게이트웨이는 공유 서비스 VPC와 새 VPC 모두에 연결됩니다. 회사는 전송 게이트웨이, 공유 서비스 VPC 및 새 VPC에 대한 라우팅 테이블을 업데이트했습니다. 도메인 컨트롤러 및 인스턴스에 대한 보안 그룹이 업데이트되고 도메인 작업에 필요한 포트에서만 트래픽을 허용합니다. 인스턴스가 도메인 컨트롤러에서 호스팅되는 도메인에 가입할 수 없습니다.
최소한의 운영 오버헤드로 이 문제의 원인을 식별하는 데 도움이 되는 작업 조합은 무엇입니까? (두 가지를 선택하세요.)
A. AWS Network Manager를 사용하여 전송 게이트웨이 네트워크에 대한 경로 분석을 수행하십시오. 기존 EC2 인스턴스를 소스로 지정합니다. 첫 번째 도메인 컨트롤러를 대상으로 지정합니다. 두 번째 도메인 컨트롤러에 대해 경로 분석을 반복합니다.
B. 기존 EC2 인스턴스를 소스로, 다른 EC2 인스턴스를 대상으로 포트 미러링을 사용하여 연결 시도의 패킷 캡처를 얻습니다.
C. 공유 서비스 VPC 및 새 VPC에서 VPC 흐름 로그를 검토합니다.
D. 도메인 컨트롤러 중 하나에서 기존 EC2 인스턴스로 ping 명령을 실행합니다.
E. 공유 서비스 VPC에서 경로 전파가 꺼져 있는지 확인하십시오.
Answer
A. AWS Network Manager를 사용하여 전송 게이트웨이 네트워크에 대한 경로 분석을 수행하십시오. 기존 EC2 인스턴스를 소스로 지정합니다. 첫 번째 도메인 컨트롤러를 대상으로 지정합니다. 두 번째 도메인 컨트롤러에 대해 경로 분석을 반복합니다.
C. 공유 서비스 VPC 및 새 VPC에서 VPC 흐름 로그를 검토합니다.
Q152
회사에는 신용 카드 번호를 암호화된 상태로 유지해야 하는 주문 처리 시스템이 있습니다. 이 회사의 고객 대면 애플리케이션은 us-west-2 리전에서 Application Load Balancer(ALB) 뒤에서 Amazon Elastic Container Service(Amazon ECS) 서비스로 실행됩니다. Amazon CloudFront 배포는 ALB를 원본으로 사용하여 구성됩니다. 회사는 타사의 신뢰할 수 있는 인증 기관을 사용하여 인증서를 프로비저닝합니다.
회사는 전송 중 암호화에 HTTPS를 사용하고 있습니다. 회사는 특정 응용 프로그램 구성 요소만 중요한 데이터를 해독할 수 있도록 처리 중에 중요한 데이터를 암호화된 상태로 유지하기 위해 추가 필드 수준 암호화가 필요합니다.
이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (2개 선택)
A. ALB에 대한 타사 인증서를 가져옵니다. 인증서를 ALB와 연결합니다. CloudFront 배포용 인증서를 us-west-2의 AWS Certificate Manager(ACM)에 업로드합니다.
B. ALB용 타사 인증서를 us-west-2의 AWS Certificate Manager(ACM)로 가져옵니다. 인증서를 us-east-1 리전의 ACM에 ALUpload the certificate for the CloudFront distribution에 연결합니다.
C. 민감한 데이터의 암호화를 처리하는 개인 키를 CloudFront 배포에 업로드합니다. 필드 수준 암호화 프로필을 생성하고 중요한 정보가 포함된 필드를 지정합니다. 필드 수준 암호화 구성을 생성하고 새로 생성된 프로필을 선택합니다. 중요한 POST 요청과 관련된 적절한 캐시 동작에 구성을 연결합니다.
D. 민감한 데이터의 암호화를 처리하는 공개 키를 CloudFront 배포에 업로드합니다. 필드 수준 암호화 구성을 생성하고 중요한 정보가 포함된 필드를 지정합니다. 필드 수준 암호화 프로필을 생성하고 새로 생성된 구성을 선택합니다. 중요한 GET 요청과 관련된 적절한 캐시 동작에 프로필을 연결합니다.
E. 민감한 데이터의 암호화를 처리하는 공개 키를 CloudFront 배포에 업로드합니다. 필드 수준 암호화 프로필을 생성하고 중요한 정보가 포함된 필드를 지정합니다. 필드 수준 암호화 구성을 생성하고 새로 생성된 프로필을 선택합니다. 중요한 POST 요청과 관련된 적절한 캐시 동작에 구성을 연결합니다.
Answer
B. ALB용 타사 인증서를 us-west-2의 AWS Certificate Manager(ACM)로 가져옵니다. 인증서를 us-east-1 리전의 ACM에 ALUpload the certificate for the CloudFront distribution에 연결합니다.
E. 민감한 데이터의 암호화를 처리하는 공개 키를 CloudFront 배포에 업로드합니다. 필드 수준 암호화 프로필을 생성하고 중요한 정보가 포함된 필드를 지정합니다. 필드 수준 암호화 구성을 생성하고 새로 생성된 프로필을 선택합니다. 중요한 POST 요청과 관련된 적절한 캐시 동작에 구성을 연결합니다.
Q153
한 회사가 AWS 클라우드에 다중 VPC 환경을 배포했습니다. 회사는 전송 게이트웨이를 사용하여 모든 VPC를 함께 연결합니다. 과거에 이 회사는 VPC에서 보안 그룹, 네트워크 ACL 및 경로 테이블을 변경한 후 애플리케이션 간의 연결이 끊기는 경험을 했습니다. 이러한 변경 사항이 발생하면 회사는 단일 VPC의 여러 리소스 간에 연결이 여전히 존재하는지 자동으로 확인하려고 합니다.
A. VPC 도달 가능성 분석기에서 확인할 서로 다른 리소스 간의 경로 목록을 만듭니다. 변경 사항이 발생하고 Amazon CloudWatch에 기록되는 시점을 모니터링하는 Amazon EventBridge 규칙을 생성합니다. Reachability Analyzer에서 다양한 경로를 테스트하기 위해 AWS Lambda 함수를 호출하도록 규칙을 구성합니다.
B. VPC 도달 가능성 분석기에서 확인할 서로 다른 리소스 간의 경로 목록을 만듭니다. Amazon EventBridge 규칙을 생성하여 변경 사항이 발생하고 AWS에 기록되는 시점을 모니터링합니다. CloudTrail. Reachability Analyzer에서 다양한 경로를 테스트하기 위해 AWS Lambda 함수를 호출하도록 규칙을 구성합니다.
C. AWS Transit Gateway Network Manager Route Analyzer에서 확인할 경로 목록을 생성합니다. 변경 사항이 발생하고 Amazon CloudWatch에 기록되는 시점을 모니터링하는 Amazon EventBridge 규칙을 생성합니다. Route Analyzer에서 다른 경로를 테스트하기 위해 AWS Lambda 함수를 호출하도록 규칙을 구성합니다.
D. AWS Transit Gateway Network Manager Route Analyzer에서 확인할 경로 목록을 생성합니다. 변경 사항이 발생하고 AWS CloudTrail에 기록되는 시점을 모니터링할 Amazon EventBridge 규칙을 생성합니다. Route Analyzer에서 다양한 경로를 테스트하기 위해 AWS Lambda 함수를 호출하도록 규칙을 구성합니다.
Answer
B. VPC 도달 가능성 분석기에서 확인할 서로 다른 리소스 간의 경로 목록을 만듭니다. Amazon EventBridge 규칙을 생성하여 변경 사항이 발생하고 AWS에 기록되는 시점을 모니터링합니다. CloudTrail. Reachability Analyzer에서 다양한 경로를 테스트하기 위해 AWS Lambda 함수를 호출하도록 규칙을 구성합니다.
Q154
회사는 ALB(Application Load Balancer) 뒤에 있는 Amazon EC2 인스턴스 플릿에서 실행되는 웹 애플리케이션을 호스팅합니다. 인스턴스는 Auto Scaling 그룹에 있습니다. 회사는 ALB를 오리진으로 사용하는 Amazon CloudFront 배포를 사용합니다.
응용 프로그램이 최근에 공격을 받았습니다. 이에 대한 응답으로 회사는 AWS WAF 웹 ACL을 CloudFront 배포와 연결했습니다. 회사는 Amazon Athena를 사용하여 AWS WAF가 탐지하는 애플리케이션 공격을 분석해야 합니다. 이 요구 사항을 충족하는 솔루션은 무엇입니까?
A. VPC 흐름 로그를 생성하도록 ALB 및 EC2 인스턴스 서브넷을 구성합니다. 로그 분석을 위해 Amazon S3 버킷에 로그를 전달하도록 VPC 흐름 로그를 구성합니다.
B. AWS CloudTrail에서 추적을 생성하여 데이터 이벤트를 캡처합니다. 로그 분석을 위해 Amazon S3 버킷에 로그를 전달하도록 추적을 구성합니다.
C. Amazon Kinesis Data Firehose 전송 스트림에 로그를 전송하도록 AWS WAF 웹 ACL을 구성합니다. 로그 분석을 위해 데이터를 Amazon S3 버킷으로 전달하도록 스트림을 구성합니다.
D. ALB에 대한 액세스 로깅을 켭니다. 로그 분석을 위해 Amazon S3 버킷에 로그를 전달하도록 액세스 로그를 구성합니다.
Answer
C. Amazon Kinesis Data Firehose 전송 스트림에 로그를 전송하도록 AWS WAF 웹 ACL을 구성합니다. 로그 분석을 위해 데이터를 Amazon S3 버킷으로 전달하도록 스트림을 구성합니다.
Q155
부동산 회사는 Amazon Workspaces를 사용하여 전 세계 부동산 중개인에게 기업 관리형 데스크탑 서비스를 제공하고 있습니다. 이러한 작업 공간은 7개의 VPC에 배포됩니다. 각 VPC는 서로 다른 AWS 리전에 있습니다. 새로운 요구 사항에 따라 회사의 클라우드 호스팅 보안 정보 및 이벤트 관리(SIEM) 시스템은 작업 영역에 연결된 대상 도메인을 식별하기 위해 작업 영역에서 생성된 DNS 쿼리를 분석해야 합니다. SIEM 시스템은 데이터 및 로그 수집을 위한 폴 및 푸시 방법을 지원합니다. 이러한 요구 사항을 가장 비용 효율적으로 충족하기 위해 네트워크 엔지니어가 구현해야 하는 솔루션은 무엇입니까?
A. Workspaces 인스턴스에 연결된 각 VPC에서 VPC 흐름 로그를 생성합니다. 로그 데이터를 중앙 Amazon S3 버킷에 게시합니다. S3 버킷을 주기적으로 폴링하도록 SIEM 시스템을 구성합니다.
B. Amazon CloudWatch Logs에 모든 DNS 요청을 기록하도록 Amazon CloudWatch 에이전트를 구성합니다. CloudWatch Logs에서 구독 필터를 구성합니다. Amazon Kinesis Data Firehose를 사용하여 로그를 SIEM 시스템으로 푸시합니다.
C. 각 Workspace에서 네트워크 트래픽을 복사하고 분석을 위해 트래픽을 SIEM 시스템 프로브로 보내도록 VPC 트래픽 미러링을 구성합니다.
D. Amazon Route 53 쿼리 로깅을 구성합니다. 데이터를 SIEM 시스템으로 푸시하도록 구성된 Amazon Kinesis Data Firehose 전송 스트림으로 대상을 설정합니다.
Answer
D. Amazon Route 53 쿼리 로깅을 구성합니다. 데이터를 SIEM 시스템으로 푸시하도록 구성된 Amazon Kinesis Data Firehose 전송 스트림으로 대상을 설정합니다.
Q156
네트워크 엔지니어는 고성능 컴퓨팅(HPC) 워크로드를 위한 아키텍처를 설계해야 합니다. Amazon EC2 인스턴스에는 지연 시간이 짧은 통신을 사용하여 많은 인스턴스에서 최대 100Gbps의 총 처리량과 10Gbps 흐름이 필요합니다. 이 워크로드를 최적화하는 아키텍처 솔루션은 무엇입니까?
A. VPC의 단일 서브넷에 노드를 배치합니다. 클러스터 배치 그룹을 구성합니다. 최신 Elastic Fabric Adapter(EFA) 드라이버가 지원되는 운영 체제가 있는 EC2 인스턴스에 설치되어 있는지 확인합니다.
B. 단일 VPC의 여러 서브넷에 노드를 배치합니다. 분산 배치 그룹을 구성합니다. EC2 인스턴스가 ENA(탄력적 네트워크 어댑터)를 지원하고 드라이버가 각 인스턴스 운영 체제에서 업데이트되는지 확인하십시오.
C. 여러 VPC에 노드 배치 AWS Transit Gateway를 사용하여 VPC 간에 트래픽을 라우팅합니다. 최신 Elastic Fabric Adapter(EFA) 드라이버가 지원되는 운영 체제가 있는 EC2 인스턴스에 설치되어 있는지 확인합니다.
D. 여러 가용 영역의 여러 서브넷에 노드를 배치합니다. 클러스터 배치 그룹을 구성합니다. EC2 인스턴스가 ENA(탄력적 네트워크 어댑터)를 지원하고 드라이버가 각 인스턴스 운영 체제에서 업데이트되는지 확인하십시오.
Answer
A. VPC의 단일 서브넷에 노드를 배치합니다. 클러스터 배치 그룹을 구성합니다. 최신 Elastic Fabric Adapter(EFA) 드라이버가 지원되는 운영 체제가 있는 EC2 인스턴스에 설치되어 있는지 확인합니다.
Q157
회사는 단일 AWS 리전에서 여러 AWS 계정과 VPC를 사용합니다. 회사는 Amazon EC2 인스턴스 및 Amazon RDS 데이터베이스에 대한 모든 네트워크 트래픽을 기록해야 합니다. 회사는 로그 정보를 사용하여 보안 사고 발생 시 트래픽 흐름을 모니터링하고 식별합니다. 정보는 12개월 동안 보관해야 하지만 처음 90일 이후에는 드물게 액세스됩니다. 회사는 vpc-id, subnet-id: 및 tcp-flags 필드를 포함하는 메타데이터를 볼 수 있어야 합니다. 최저 비용으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 기본 필드인 Amazon CloudWatch Logs에 로그 저장을 사용하여 VPC 흐름 로그를 구성합니다.
B. 미러링된 트래픽을 모니터링 인스턴스로 보낼 Network Load Balancer를 가리키도록 모든 AWS 리소스에서 트래픽 미러링을 구성합니다.
C. 추가 사용자 지정 형식 필드로 VPC 흐름 로그 구성 로그를 Amazon S3에 저장합니다.
D. 추가 사용자 지정 형식 필드로 VPC 흐름 로그 구성 Amazon CloudWatch Logs에 로그를 저장합니다.
Answer
C. 추가 사용자 지정 형식 필드로 VPC 흐름 로그 구성 로그를 Amazon S3에 저장합니다.
Q158
네트워크 엔지니어가 글로벌 소매 회사의 네트워크 설정을 평가하고 있습니다. 이 회사는 온프레미스 데이터 센터와 AWS 클라우드 간에 AWS Direct Connect 연결이 있습니다. 이 회사는 eu-west-2 리전에 AWS 리소스를 보유하고 있습니다. 이러한 리소스는 Transit Gateway에 연결된 여러 VPC로 구성됩니다.
이 회사는 최근 eu-central-1에서 몇 가지 AWS 리소스를 프로비저닝했습니다. 이 영역의 사용자와 가까운 단일 VPC의 영역. 네트워크 엔지니어는 eu-central-1의 리소스를 온프레미스 데이터 센터 및 eu-west-2의 리소스와 연결해야 합니다. 솔루션은 Direct Connect 연결에 대한 변경을 최소화해야 합니다. 네트워크 엔지니어는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. 새로운 가상 프라이빗 게이트웨이를 생성합니다. 새 가상 프라이빗 게이트웨이를 eu-central-1의 VPC에 연결합니다. 전송 VIF를 사용하여 VPC와 Direct Connect 라우터를 연결합니다.
B. eu-central-1에서 새 전송 게이트웨이를 생성합니다. eu-west-2에서 transit gateway에 대한 피어링 연결 요청을 생성합니다. transit gateway 피어링 연결을 가리키도록 eu-central-1의 transit gateway 경로 테이블에 정적 경로를 추가합니다. 피어링 요청을 수락합니다. 새 transit gateway 피어링 연결을 가리키도록 eu-west-2의 transit gateway 라우팅 테이블에 고정 경로를 추가합니다.
C. eu-central-1에서 새 전송 게이트웨이를 생성합니다. AWS Site-to-Site VPN 연결을 사용하여 두 Transit Gateway를 피어링합니다. transit gateway VPN 연결을 가리키도록 eu-central-1의 transit gateway 라우팅 테이블에 정적 경로를 추가합니다. 새 transit gateway 피어링 연결을 가리키도록 eu-west-2의 transit gateway 라우팅 테이블에 고정 경로를 추가합니다.
D. 새로운 가상 프라이빗 게이트웨이를 생성합니다. 새 가상 프라이빗 게이트웨이를 eu-central-1의 VPC에 연결합니다. 퍼블릭 VIF를 사용하여 VPC와 Direct Connect 라우터를 연결합니다.
Answer
B. eu-central-1에서 새 전송 게이트웨이를 생성합니다. eu-west-2에서 transit gateway에 대한 피어링 연결 요청을 생성합니다. transit gateway 피어링 연결을 가리키도록 eu-central-1의 transit gateway 경로 테이블에 정적 경로를 추가합니다. 피어링 요청을 수락합니다. 새 transit gateway 피어링 연결을 가리키도록 eu-west-2의 transit gateway 라우팅 테이블에 고정 경로를 추가합니다.
Q159
회사에는 회사 사무실에서 ap-southeast-2 리전의 VPC로 2Gbps AWS Direct Connect 호스팅 연결이 있습니다. 네트워크 엔지니어가 동일한 리전의 다른 Direct Connect 위치에서 5Gbps Direct Connect 호스팅 연결을 추가합니다. 호스트 연결은 라우터 사이에서 실행되는 iBGP 세션을 사용하여 사무실에서 다른 라우터에 연결됩니다.
네트워크 엔지니어는 VPC가 5Gbps 호스팅 연결을 사용하여 트래픽을 사무실로 라우팅하는지 확인하려고 합니다. 5Gbps 호스팅 연결이 중단되면 2Gbps 호스팅 연결로의 장애 조치가 발생해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 2Gbps 연결에 연결된 라우터에서 아웃바운드 BGP 정책을 구성합니다. AS_PATH 속성이 더 긴 경로를 AWS에 알립니다.
B. 2Gbps 연결에 연결된 라우터에서 더 긴 접두사 경로를 알립니다.
C. 5Gbps 연결에 연결된 라우터에서 덜 구체적인 경로를 알립니다.
D. 5Gbps 연결에 연결된 라우터에서 아웃바운드 BGP 정책을 구성합니다. AS_PATH 속성이 더 긴 경로를 AWS에 알립니다.
Answer
A. 2Gbps 연결에 연결된 라우터에서 아웃바운드 BGP 정책을 구성합니다. AS_PATH 속성이 더 긴 경로를 AWS에 알립니다.
Q160
전자 상거래 회사는 Amazon Route 53에서 호스팅되는 모든 도메인 이름에 대해 추가 보안 제어를 구현해야 합니다. 회사의 새로운 정책에서는 회사 도메인 이름에 대한 모든 쿼리에 대해 데이터 인증 및 데이터 무결성 확인을 요구합니다. 현재 Route 53 아키텍처에는 4개의 퍼블릭 호스팅 영역이 있습니다.
네트워크 엔지니어는 호스팅 영역에서 DNSSEC(DNS Security Extensions) 서명 및 유효성 검사를 구현해야 합니다. 솔루션에는 경고 기능이 포함되어야 합니다. 이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (3개 선택)
A. Route 53에 대한 DNSSEC 서명 활성화 Route 53이 AWS Key Management Service(AWS KMS)의 고객 관리형 키를 기반으로 키 서명 키(KSK)를 생성하도록 요청합니다.
B. Route 53에 대한 DNSSEC 서명 활성화 Route 53이 AWS Key Management Service(AWS KMS)의 고객 관리형 키를 기반으로 영역 서명 키(ZSK)를 생성하도록 요청합니다.
C. 각 하위 도메인에 대한 위임 서명자(DS) 레코드를 추가하여 호스팅 영역에 대한 신뢰 체인 생성
D. 상위 영역에 위임 서명자(DS) 레코드를 추가하여 호스팅 영역에 대한 신뢰 체인을 생성합니다.
E. DNSSECInternalFailure 오류 또는 DNSSECKeySigningKeysNeedingAction 오류가 감지될 때마다 알림을 제공하는 Amazon CloudWatch 경보를 설정합니다.
F. DNSSECInternalFailure 오류 또는 DNSSECKeySigningKeysNeedingAction 오류가 감지될 때마다 알림을 제공하는 AWS CloudTrail 경보를 설정합니다.
Answer
A. Route 53에 대한 DNSSEC 서명 활성화 Route 53이 AWS Key Management Service(AWS KMS)의 고객 관리형 키를 기반으로 키 서명 키(KSK)를 생성하도록 요청합니다.
D. 상위 영역에 위임 서명자(DS) 레코드를 추가하여 호스팅 영역에 대한 신뢰 체인을 생성합니다.
E. DNSSECInternalFailure 오류 또는 DNSSECKeySigningKeysNeedingAction 오류가 감지될 때마다 알림을 제공하는 Amazon CloudWatch 경보를 설정합니다.
[ANS-C01 Dump] Question & Answer (Q121-140)
[ANS-C01 Dump] Question & Answer (Q101-120)
[Fortinet] FortiAnalyer Log 분석 - Firewall Action