AWS SOA-C01 备考:私有 VPC
AWS SOA-C01 exam preparation: Private VPC
我目前正在使用学习指南 (https://www.amazon.com/dp/1119561558/) 准备 AWS SysOps Administrator Associate 考试。
在第 8 章 - 堡垒主机的复习题中,有两个关于 "Private VPC" 的问题我无法理解:
"2) 堡垒机向私有 VPC 提供以下哪项?"
- 我的答案:通过VPC内的主机访问VPC内的资源
- 正确答案:通过VPC外的主机访问VPC内的资源
"15) 你刚刚继承了一个新的网络架构,它有一个拥有大量资源的私有 VPC 和一个用于管理访问的堡垒主机。你会先做以下哪一个?"
- 我的答案:删除私有 VPC 上的所有 Internet 网关。
- 正确答案:将任何需要访问堡垒主机的 IP 列入白名单。
据我了解,一个典型的 VPC 架构是有一个 public 子网,里面有互联网网关和堡垒主机,还有一个两者都没有的私有子网。
但是这里的 "private VPC" 到底是什么意思?如果是外部根本无法访问的VPC呢?但是 VPC 之外的堡垒机如何访问它呢?还是它们真的意味着私有子网?但是,如果子网中有 Internet 网关,它怎么可能是真正私有的呢?在其他课程中,IG 被定义为构成子网的东西 public...
我是不是完全误解了这里的概念?
2)
你的回答和理解是正确的。堡垒主机 在 vpc 内。 aws中也是这样写的 docs:
A Linux bastion host in each public subnet with an Elastic IP address to allow inbound Secure Shell (SSH) access to EC2 instances in public and private subnets.
15)
我同意:"Whitelist any IPs that need to access the bastion host"。理由是删除互联网网关会产生许多负面影响,最显着的是无法登录堡垒主机进行任何管理工作,私有子网中的实例无法下载补丁,或者 ASG 中新启动的实例无法下载通过User Data.
下载他们需要的软件
因此,从属于旧管理员的堡垒主机的安全组中删除旧 IP 并添加您自己的 IP 是最有意义的。
不知道这里的"private VPC"是什么意思。对于我自己,私有 VPC 只能通过对等连接访问,没有任何 public 子网,或者只能通过 VPC PrivateLink 访问您的应用程序。在这种情况下,您可以使用 SSH 会话管理器登录到实例,而无需任何堡垒主机和互联网网关。
我目前正在使用学习指南 (https://www.amazon.com/dp/1119561558/) 准备 AWS SysOps Administrator Associate 考试。 在第 8 章 - 堡垒主机的复习题中,有两个关于 "Private VPC" 的问题我无法理解:
"2) 堡垒机向私有 VPC 提供以下哪项?"
- 我的答案:通过VPC内的主机访问VPC内的资源
- 正确答案:通过VPC外的主机访问VPC内的资源
"15) 你刚刚继承了一个新的网络架构,它有一个拥有大量资源的私有 VPC 和一个用于管理访问的堡垒主机。你会先做以下哪一个?"
- 我的答案:删除私有 VPC 上的所有 Internet 网关。
- 正确答案:将任何需要访问堡垒主机的 IP 列入白名单。
据我了解,一个典型的 VPC 架构是有一个 public 子网,里面有互联网网关和堡垒主机,还有一个两者都没有的私有子网。
但是这里的 "private VPC" 到底是什么意思?如果是外部根本无法访问的VPC呢?但是 VPC 之外的堡垒机如何访问它呢?还是它们真的意味着私有子网?但是,如果子网中有 Internet 网关,它怎么可能是真正私有的呢?在其他课程中,IG 被定义为构成子网的东西 public...
我是不是完全误解了这里的概念?
2)
你的回答和理解是正确的。堡垒主机 在 vpc 内。 aws中也是这样写的 docs:
A Linux bastion host in each public subnet with an Elastic IP address to allow inbound Secure Shell (SSH) access to EC2 instances in public and private subnets.
15)
我同意:"Whitelist any IPs that need to access the bastion host"。理由是删除互联网网关会产生许多负面影响,最显着的是无法登录堡垒主机进行任何管理工作,私有子网中的实例无法下载补丁,或者 ASG 中新启动的实例无法下载通过User Data.
因此,从属于旧管理员的堡垒主机的安全组中删除旧 IP 并添加您自己的 IP 是最有意义的。
不知道这里的"private VPC"是什么意思。对于我自己,私有 VPC 只能通过对等连接访问,没有任何 public 子网,或者只能通过 VPC PrivateLink 访问您的应用程序。在这种情况下,您可以使用 SSH 会话管理器登录到实例,而无需任何堡垒主机和互联网网关。