AWS Advanced Networking Specialty问题的官方示例包含有关本地数据中心和 AWS 之间最具成本效益的连接的问题,以确保传输到 VPC 的数据的机密性和完整性(问题#7)。
正确答案意味着通过 Direct Connect 连接在客户网关设备和虚拟专用网关之间建立托管 VPN连接。
但是,答案列表中的一个可能选项提供了软件 VPN 解决方案(“在 VPC 中的 Amazon EC2 上设置您的客户网关和软件 VPN 之间的 IPsec 隧道”)。这个答案不正确的解释是:
它不会利用现有的 Direct Connect 连接
我的问题是:为什么这个软件 VPN 连接不利用已经存在的 DC 连接?这里的主要区别是什么?
选项1:问题有缺陷。
如果您在客户网关设备和 EC2 实例之间构建了一条隧道,并通过 Direct Connect 互连进行流量路由,那么您是完全正确的——该流量将使用现有的 Direct Connect 连接。
另一方面,如果您通过 Internet 构建了从客户网关到 EC2 实例的隧道,那么该流量当然不会使用 Direct Connect 路由。
似乎有一个隐含的假设,即客户端设备和 EC2 实例之间的隧道必然会穿越 Internet,这是一个有缺陷的假设。
当然,还有其他原因可以说明本机解决方案可能比使用 EC2 的手动解决方案更可取(例如,在完全丢失 AZ 的情况下生存或避免由于最终实例硬件故障而导致的停机),但那不是t 场景的一部分。
选项 2。由于与所提供的解释不同的原因,答案是错误的。
在编写并反映上述内容后,我意识到可能有一个更简单的解释:“它不会利用已经存在的 Direct Connect 连接”只是拒绝这个答案的错误理由。
由于选择 3的指示,它必须以程序为由拒绝。以下是另外两个正确答案。
A) 使用虚拟私有网关设置 VPC。
C) 在 Direct Connect 连接上配置公共虚拟接口。
您无需具备上述任何一项即可通过 Direct Connect 在内部部署和 EC2 之间实施滚动您自己的 IPSec 隧道。虚拟专用网关是 AWS 管理的 VPN 的 AWS 端,需要公共虚拟接口才能从 Direct Connect 内部访问其中一个(除其他外,但访问 VPC 内的虚拟机不是必需的)通过 Direct Connect 使用私有 IP)。
我建议您选择的答案可能根本不正确,因为它不属于其他两个,并且提供的解释完全没有抓住重点,而且解释本身就是不正确的。