为什么软件 VPN 不利用现有的 Direct Connect 连接?
Why doesn't a software VPN take advantage of an already existing Direct Connect connection?
The official sample of AWS Advanced Networking Speciality questions 包含关于您之间最具成本效益的联系的问题
本地数据中心和 AWS 确保传输到您的 VPC 的数据的机密性和完整性(问题 #7)。
正确答案意味着在客户网关设备和虚拟专用网关之间建立托管 VPN 连接通过 Direct Connect 连接。
然而,答案列表中的一个可能选项提供了 software VPN solution(在您的客户网关和 Amazon EC2 上的软件 VPN 之间设置一个 IPsec 隧道
VPC")。这个答案不正确的解释是:
it would not take
advantage of the already existing Direct Connect connection
我的问题是:为什么这个软件 VPN 连接不能利用已经存在的 DC 连接?这里的主要区别是什么?
选项一:题目有问题
如果您在客户网关设备和 EC2 实例之间建立隧道并通过 Direct Connect 互连路由流量,那么您是完全正确的——该流量将使用现有的 Direct Connect 连接。
另一方面,如果您构建了一条从客户网关到 Internet 上的 EC2 实例的隧道,那么该流量当然不会使用 Direct Connect 路由。
似乎有一个隐含的假设,即客户端设备和 EC2 实例之间的隧道必须穿越 Internet,这是一个有缺陷的假设。
当然,还有其他原因可以解释为什么原生解决方案可能比使用 EC2 的手动解决方案更可取(例如,在 AZ 完全丢失的情况下幸存下来,或者避免由于最终实例硬件故障而导致的停机) ,但这不是场景的一部分。
选项 2。答案错误的原因与所提供的解释不同。
写完上面的内容并进行反思后,我意识到可能有一个更简单的解释:“它不会利用已经存在的 Direct Connect 连接” 只是拒绝此答案的理由错误。
由于选择 3 的指示,它必须基于程序原因被拒绝。这是另外两个正确答案。
A) Set up a VPC with a virtual private gateway.
C) Configure a public virtual interface on your Direct Connect connection.
您不需要拥有这些东西中的任何一个即可通过 Direct Connect 在内部部署和 EC2 之间实施自己的 IPSec 隧道。虚拟专用网关是 AWS 管理的 VPN 的 AWS 端,Public 虚拟接口是使其中一个可从 Direct Connect 内部访问所必需的(除其他外,但它不是访问所必需的) VPC 内的 VM 通过 Direct Connect 使用私有 IP。
我建议您选择的答案可能只是不正确,因为它不属于其他两个,而且所提供的解释完全没有抓住要点,而且解释本身也不正确。
The official sample of AWS Advanced Networking Speciality questions 包含关于您之间最具成本效益的联系的问题 本地数据中心和 AWS 确保传输到您的 VPC 的数据的机密性和完整性(问题 #7)。
正确答案意味着在客户网关设备和虚拟专用网关之间建立托管 VPN 连接通过 Direct Connect 连接。
然而,答案列表中的一个可能选项提供了 software VPN solution(在您的客户网关和 Amazon EC2 上的软件 VPN 之间设置一个 IPsec 隧道 VPC")。这个答案不正确的解释是:
it would not take advantage of the already existing Direct Connect connection
我的问题是:为什么这个软件 VPN 连接不能利用已经存在的 DC 连接?这里的主要区别是什么?
选项一:题目有问题
如果您在客户网关设备和 EC2 实例之间建立隧道并通过 Direct Connect 互连路由流量,那么您是完全正确的——该流量将使用现有的 Direct Connect 连接。
另一方面,如果您构建了一条从客户网关到 Internet 上的 EC2 实例的隧道,那么该流量当然不会使用 Direct Connect 路由。
似乎有一个隐含的假设,即客户端设备和 EC2 实例之间的隧道必须穿越 Internet,这是一个有缺陷的假设。
当然,还有其他原因可以解释为什么原生解决方案可能比使用 EC2 的手动解决方案更可取(例如,在 AZ 完全丢失的情况下幸存下来,或者避免由于最终实例硬件故障而导致的停机) ,但这不是场景的一部分。
选项 2。答案错误的原因与所提供的解释不同。
写完上面的内容并进行反思后,我意识到可能有一个更简单的解释:“它不会利用已经存在的 Direct Connect 连接” 只是拒绝此答案的理由错误。
由于选择 3 的指示,它必须基于程序原因被拒绝。这是另外两个正确答案。
A) Set up a VPC with a virtual private gateway.
C) Configure a public virtual interface on your Direct Connect connection.
您不需要拥有这些东西中的任何一个即可通过 Direct Connect 在内部部署和 EC2 之间实施自己的 IPSec 隧道。虚拟专用网关是 AWS 管理的 VPN 的 AWS 端,Public 虚拟接口是使其中一个可从 Direct Connect 内部访问所必需的(除其他外,但它不是访问所必需的) VPC 内的 VM 通过 Direct Connect 使用私有 IP。
我建议您选择的答案可能只是不正确,因为它不属于其他两个,而且所提供的解释完全没有抓住要点,而且解释本身也不正确。