选项1:问题有缺陷。
如果您在客户网关设备和 EC2 实例之间构建了一条隧道,并通过 Direct Connect 互连进行流量路由,那么您是完全正确的——该流量将使用现有的 Direct Connect 连接。
另一方面,如果您通过 Internet 构建了从客户网关到 EC2 实例的隧道,那么该流量当然不会使用 Direct Connect 路由。
似乎有一个隐含的假设,即客户端设备和 EC2 实例之间的隧道必然会穿越 Internet,这是一个有缺陷的假设。
当然,还有其他原因可以说明本机解决方案可能比使用 EC2 的手动解决方案更可取(例如,在完全丢失 AZ 的情况下生存或避免由于最终实例硬件故障而导致的停机),但那不是t 场景的一部分。
选项 2。由于与所提供的解释不同的原因,答案是错误的。
在编写并反映上述内容后,我意识到可能有一个更简单的解释:“它不会利用已经存在的 Direct Connect 连接”只是拒绝这个答案的错误理由。
由于选择 3的指示,它必须以程序为由拒绝。以下是另外两个正确答案。
A) 使用虚拟私有网关设置 VPC。
C) 在 Direct Connect 连接上配置公共虚拟接口。
您无需具备上述任何一项即可通过 Direct Connect 在内部部署和 EC2 之间实施滚动您自己的 IPSec 隧道。虚拟专用网关是 AWS 管理的 VPN 的 AWS 端,需要公共虚拟接口才能从 Direct Connect 内部访问其中一个(除其他外,但访问 VPC 内的虚拟机不是必需的)通过 Direct Connect 使用私有 IP)。
我建议您选择的答案可能根本不正确,因为它不属于其他两个,并且提供的解释完全没有抓住重点,而且解释本身就是不正确的。