AWS Подготовка к экзамену SOA-C01: Частный VPC - PullRequest
Новая
       63

AWS Подготовка к экзамену SOA-C01: Частный VPC

0 голосов
/ 12 апреля 2020

В настоящее время я готовлюсь к экзамену AWS SysOps Administrator Associate с использованием учебного пособия (https://www.amazon.com/dp/1119561558/). В контрольном вопросе к главе 8 - «Хозяева бастиона» есть два вопроса о «Private VP C», которые я не могу понять:

»2) Что из нижеперечисленного предоставляет хост бастиона приватный VP C? "

  • Мой ответ: доступ к ресурсам в VP C через хост внутри VP C
  • Правильный ответ: доступ к ресурсы в VP C через хост вне VP C

"15) Вы только что унаследовали новую сетевую архитектуру, которая имеет частный VP C с многочисленными ресурсами в нем и хост-бастион для административного доступа. Что из следующего вы бы сделали первым? "

  • Мой ответ: Удалите все шлюзы Inte rnet на частном виртуальном сервере C.
  • Правильный ответ: внесите в белый список любые IP-адреса, которым требуется доступ к хосту бастиона.

Насколько я понимаю, типичная архитектура VP C должна иметь публичные c su bnet, с шлюзом Inte rnet и бастионным хостом в нем и личный su bnet с ни тем, ни другим.

Но что именно здесь подразумевается под "личным VP C"? Если это VP C, который вообще недоступен снаружи? Но как может бастионный хост вне VP C получить к нему доступ? Или они действительно означают частный су bnet? Но как su bnet может быть действительно приватным, если в нем есть шлюз Inte rnet? В других курсах IG определяется именно как то, что делает su bnet publi c ...

Неужели я здесь совершенно концептуально не так понимаю?

1 Ответ

1 голос
/ 12 апреля 2020

2)

Ваш ответ и понимание правильны. Бастионный хост находится внутри vp c. Это также написано в aws документах :

A Linux хосте бастиона в каждом publi c su bnet с Elasti c IP-адрес, чтобы разрешить входящий Secure Shell (S SH) доступ к экземплярам EC2 в общедоступных c и частных подсетях.

15)

Я бы согласился с: «внесите в белый список любые IP-адреса, которые необходимы для доступа к хосту бастиона». Обоснование заключается в том, что удаление шлюза inte rnet может иметь множество негативных последствий, в частности невозможность входа на хост-бастион для выполнения каких-либо действий администратора, экземпляры в частных подсетях, которые не могут загружать исправления, или новые экземпляры запуска в ASG. не имея возможности загружать необходимое им программное обеспечение с помощью User Data.

Так что удаление старых IP-адресов из группы безопасности бастионного хоста, принадлежащего старому администратору, и добавление собственного IP-адреса имеет смысл.

Не знаю, что здесь подразумевается под «приватным VP C». Для меня частный VP C будет доступен только через пиринговое соединение, у которого нет общедоступных c su bnet или тот, который обеспечивает доступ к вашему приложению только через VP C PrivateLink. В таких случаях вы можете использовать S SH Session Manager для входа в инстансы без необходимости использовать хост-бастион и шлюз inte rnet.

...