17、AWS网络专业考试备考指南与模拟测试解析

最新推荐文章于 2025-11-10 22:30:41 发布

h0i1j2k3l

最新推荐文章于 2025-11-10 22:30:41 发布

阅读量56

点赞数

CC 4.0 BY-SA版权

分类专栏： AWS高级网络认证备考指南文章标签： AWS网络专业考试备考指南模拟测试

本文链接：https://blog.youkuaiyun.com/h0i1j2k3l/article/details/149933439

AWS高级网络认证备考指南专栏收录该内容

18 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

AWS网络专业考试备考指南与模拟测试解析

一、考试领域概述

1.1 网络与应用服务集成

这一领域主要考察将运行在AWS私有VPC内的应用程序或混合环境中的应用程序集成到AWS应用服务的能力。可能会出现关于VPC端点、VPC对等连接以及通过VPN或DX连接将本地应用程序连接到AWS服务的问题。需要理解以下方面：
- AWS服务的公共端点，以及使用VPN和Direct Connect时流量到公共端点的流向。
- VPC端点的使用以及这些端点对其他站点（如对等VPC和本地环境）的可用性。
- VPC端点的类型和优势。

1.2 安全与合规设计和实施

安全和合规是网络的重要组成部分，因为网络允许我们远程连接到服务，攻击者也可能以同样的方式连接到我们的应用程序。此领域将考察在AWS网络内和AWS网络服务之上实施安全和合规的知识。考试中预计有8 - 9道关于安全的问题。备考时需注意以下要点：
- 对具有基于资源策略的资源使用最小权限方法。
- 确保应用程序的每个层级都有适当的安全控制。
- 采用“洋葱式”安全方法，设置多层安全措施。
- 理解WAF、Shield、VPC网络ACL、安全组和操作系统防火墙的使用。
- 理解API网关、CloudFront、ELB的使用及其对安全的影响。
- 尽可能移除服务的公共访问权限，以减少攻击面。
- 使用VPC流日志、CloudWatch和CloudTrail等故障排除和监控工具来确定环境的安全状态。
- 理解AWS中的传输加密和静态加密，了解哪个服务提供哪种类型的加密以及使用的协议或加密机制。

1.3 网络管理、优化和故障排除

此领域考察衡量在AWS中部署的网络服务性能方面的能力。考试将有8 - 9道关于此主题的问题，涵盖使用CloudWatch和VPC流日志等工具确定正确配置并识别架构中低效之处的能力。备考时需关注以下要点：
- 使用CloudWatch监控和确定资源的使用情况。
- 了解AWS服务的计费方面。
- 从性能、计费和安全方面识别设计中的低效之处。
- 识别设计中的单点故障。
- 使用托管服务替代自定义实例。
- 使用AWS提供的故障排除功能确定故障原因。

二、备考建议

2.1 评估知识水平

确定自己在考试涵盖领域的知识优势和劣势。

2.2 实践经验

通过使用AWS的免费套餐和进行实验来积累实践经验，实践经验是无法通过书籍或培训替代的。

2.3 阅读资料

阅读白皮书和常见问题解答（FAQs），以增强对考试问题来源背景的熟悉程度。

2.4 自我评估

尝试回答FAQs来确定自己的知识信心水平，并通过模拟考试来确定考试准备情况，需正确回答超过80%的问题。

2.5 考试技巧

在考试时保持冷静，尽量回答更多问题，标记不确定的问题以便复查，跳过难题以获得更好的整体覆盖。

三、模拟测试题目解析

3.1 题目1

你要将本地环境连接到AWS的us - west - 2区域，本地环境位于纽约东海岸，需要创建一个经济高效且高可用的解决方案。选项如下：
A. 使用提供商建立Direct Connect链接，将本地站点与us - west - 2区域通过私有链接连接，提供商确保建立两条连接，使链接高可用。
B. 使用VGW在AWS和本地站点与us - west - 2区域之间建立VPN，VGW提供两个隧道端点，使链接高可用。
C. 使用两个VGW在AWS和本地站点与us - west - 2区域之间建立两个VPN，两个VGW提供两个隧道端点，使链接高可用。
D. 使用提供商建立Direct Connect链接，将本地站点与us - west - 2区域通过私有链接连接，并使用VGW在AWS和本地站点与us - west - 2区域之间建立备份VPN，同时建立Direct Connect和VPN连接使链接高可用。

答案：D。Direct Connect提供高性能和低延迟，但成本较高，而VPN可以作为备份，在Direct Connect出现故障时提供连接，这样既保证了高可用性又考虑了成本效益。

3.2 题目2

公司现有跨多个站点的VPN连接环境，要将AWS VPC集成到现有基础设施中，现有站点使用基于GRE的隧道虚拟覆盖网络并终止于VPN网关。最有效的集成方法是：
A. 创建启用GRE封装选项的VGW，使用GRE隧道连接到现有网络。
B. 将现有VPN重新部署为IPSec，因为AWS不支持GRE。
C. 部署CloudHub VPN环境，并将所有本地站点连接到CloudHub VPN。
D. 创建自定义EC2实例或从市场选择解决方案。

答案：D。由于GRE在AWS中不受支持，创建自定义EC2实例或选择市场解决方案是最可行的方法。

3.3 题目3

部署VPC时，AWS负责的共享责任部分是：
A. 确保VPC流量加密
B. 确保VPC安全组正确配置
C. 确保VPC互联网网关高可用
D. 确保VPC网络不与其他客户重叠

答案：C。AWS负责VPC互联网网关的高可用性，而VPC流量加密、安全组配置和网络不重叠是用户的责任。

3.4 题目4

SysOps团队将Linux服务器部署到VPC，配置了安全规则和网络访问控制列表，只允许端口22的入站流量，但无法连接到Linux服务器，重新部署服务器也无效。最可能的原因是：
A. Linux服务器未启动SSH服务
B. 网络访问控制列表的出站响应策略阻止了连接
C. 安全组的出站响应策略阻止了连接
D. Linux服务器防火墙的出站响应策略阻止了连接

答案：B。在这种情况下，入站规则允许端口22的流量，但如果网络访问控制列表的出站响应策略阻止了流量返回，就会导致无法连接。

3.5 题目5

要为本地环境中的Linux服务器建立VPN连接，使用rsync将卷内容连续镜像到AWS中运行的相同Linux服务器。设置了VGW并配置了两个客户网关，但连接状态为关闭。要确保隧道状态变为UP，需要：
A. 从本地Linux主机ping AWS Linux主机，这将使隧道启动。
B. 移除一个隧道连接，因为一次只能有一个VGW隧道处于打开状态。
C. 从AWS Linux主机ping本地Linux主机，这将使隧道启动。
D. 在AWS管理控制台中将隧道状态设置为UP。

答案：D。在AWS管理控制台中将隧道状态设置为UP是确保隧道启动的正确方法。

3.6 题目6

你从合作伙伴托管中心建立了到AWS的直接连接，数据中心位于同一都会区，想将私有链接从托管中心扩展到本地环境，合规要求数据不经过互联网。正确的方法是：
A. 咨询AWS合作伙伴，看他们是否能帮助在托管中心和本地环境之间建立光纤或MPLS链接。
B. 在本地环境和托管中心的客户设备之间使用VPN建立虚拟专用最后一英里链接。
C. 将客户网关从托管中心移到本地环境，并让AWS合作伙伴将Direct Connect连接直接终止在本地数据中心。
D. 咨询AWS支持，看他们是否能帮助在托管中心和本地环境之间建立光纤或MPLS链接。

答案：A。咨询AWS合作伙伴建立光纤或MPLS链接可以满足数据不经过互联网的要求。

3.7 题目7

VPC包含公共和私有子网，公共子网运行Web前端，私有子网运行后端和数据库。为提高安全性，移除公共子网并将Web前端移到私有网络中的负载均衡器后面，但无法访问Web服务器用于同步会话的DynamoDB表。允许应用程序在DynamoDB中共享缓存信息的最简单方法是：
A. 设置NAT网关，NAT网关将流量路由到DynamoDB的公共端点。
B. 为DynamoDB设置VPC接口端点，接口端点将流量路由到DynamoDB的私有端点。
C. 为DynamoDB设置VPC网关端点，网关端点将流量路由到DynamoDB的私有端点。
D. 使用ElastiCache代替DynamoDB进行会话共享。

答案：C。设置VPC网关端点可以将流量路由到DynamoDB的私有端点，是最简单的方法。

3.8 题目8

设计一个10 GB的Direct Connect链接，并通过500 MB互联网上行链路进行VPN备份，以提供混合部署的高可用性。要确保流量始终通过Direct Connect链接发送，利用其性能和低延迟，并在Direct Connect链接出现故障时顺利切换到VPN，可以：
A. 在Direct Connect控制台中，将VPN连接设为次要连接。
B. 在Direct Connect控制台中，将Direct Connect连接设为主要连接。
C. 在Direct Connect控制台中，在Direct Connect连接上启用双向转发检测（BFD）。
D. 在Direct Connect控制台中，启用BGP作为路由协议。
E. 以上所有选项。

答案：E。以上所有选项都有助于确保流量优先通过Direct Connect链接发送，并在出现故障时顺利切换到VPN。

3.9 题目9

公司政策是将每个应用程序部署到多个不同区域的各自账户中，每个账户中部署了用于开发、测试、暂存和生产的单独VPC。新的全球合规要求需要使用集中式安全VPC，其中包含所有VPC都需要访问的服务，建议使用VPC对等连接作为解决方案。设计解决方案时的主要关注点是：
A. VPC位于不同账户，这不可行，应使用VPN代替VPC对等连接。
B. VPC可能有重叠的IP范围。
C. VPC中部署的应用程序可能与VPC对等连接不兼容。
D. VPC对等连接仅在一个区域内有效，应使用VPN代替VPC对等连接。

答案：B。VPC对等连接要求VPC的IP范围不重叠，因此这是设计时的主要关注点。

3.10 题目10

你正在排查DevOps团队设计的CloudFormation模板，该模板用于部署测试、开发和生产环境的多个VPC。VPC网络如下：
- 开发VPC：10.0.0.0/24 — 子网10.0.0.0/24
- 测试VPC：10.0.0.0/23 — 子网10.0.0.0/24和10.0.1.0/24
- 生产：10.0.0.0/16 — 子网10.0.0.0/16和10.0.1.0/16

CloudFormation部署失败的原因是：
A. CloudFormation部署失败是因为VPC范围重叠。将开发VPC更改为192.168.0.0/24网络，将测试VPC更改为172.16.0.0/16网络，使范围不重叠。
B. CloudFormation部署失败是因为不能在一个堆栈中部署多个VPC。
C. CloudFormation部署失败是因为测试VPC子网的后缀应为/23。
D. CloudFormation部署失败是因为生产VPC子网的后缀应为/24。

答案：A。VPC范围重叠会导致CloudFormation部署失败，需要更改VPC的IP范围以避免重叠。

3.11 题目11

公司将数据库服务器迁移到部署在VPC私有子网中的Multi - AZ RDS数据库，数据库管理员将IP地址从自定义实例更改为主RDS实例。在测试故障转移时，发现请求仍发送到主实例。最简单的修复方法是：
A. 创建一个脚本，ping主实例，如果无响应，将应用程序配置中的IP切换到辅助实例。
B. 使用RDS DNS名称而不是IP。
C. 在Multi - AZ配置中启用RDS自动切换IP选项。
D. 在主RDS上使用弹性网络接口，在出现故障时快速切换到辅助实例。

答案：B。使用RDS DNS名称可以自动处理故障转移，避免手动切换IP的问题。

3.12 题目12

要在VPC中隔离管理工作负载和客户流量，最佳方法是：
A. 实施市场解决方案，允许在AWS内进行网络的虚拟分离。
B. 由于VPC的设计，这是不可能的。
C. 在每个实例上使用ENI连接指定用于管理的第二个网络子网。
D. 在VPC配置中选中“将实例连接到管理网络”选项，此功能允许将实例连接到AWS内置的VPC管理网络。

答案：C。在每个实例上使用ENI连接指定用于管理的第二个网络子网是隔离管理工作负载和客户流量的有效方法。

3.13 题目13

你在S3存储桶上部署了一个静态网站，部署在us - east - 1区域。从美国和欧盟的不同客户位置测试网站性能，发现性能不佳。以最低成本提高应用程序性能的正确设置是：
A. 将S3存储桶镜像到多个美国和欧盟区域，使内容更接近客户端位置。
B. 启用CloudFront分发并将其指向存储桶，选择默认价格类（所有CloudFormation位置 - 最佳性能）。
C. 启用CloudFront分发并将其指向存储桶，选择价格类100（北美和欧洲）。
D. 使用边缘优化的API网关将请求转发到S3存储桶以获取静态内容。

答案：C。启用CloudFront分发并选择价格类100（北美和欧洲）可以在满足性能需求的同时降低成本。

3.14 题目14

要在CloudFormation中管理版本控制，生产堆栈已在AWS中部署。此时实施版本控制的侵入性最小的方法是：
A. 使用CloudFormation变更集。
B. 将模板保存到版本控制存储库，使用CI服务器重新部署生产堆栈。
C. 使用OpsWorks代替CloudFormation。
D. 使用Elastic Beanstalk代替CloudFormation。

答案：A。使用CloudFormation变更集可以在不影响现有生产堆栈的情况下进行版本控制。

3.15 题目15

你使用m5.2xlarge EC2实例从S3摄取数据，数据分布在数万个键上，每天达到2 TB到6 TB。部署了VPC端点并确保实例启用了增强网络。开发人员抱怨在数据量超过4 TB的日子里数据摄取失败。要确保数据以最有效的方式摄取，可以：
A. 使用一个m5.4xlarge实例摄取数据。
B. 使用两个m5.2xlarge实例摄取数据。
C. 使用三个m5.xlarge实例摄取数据。
D. 使用四个m5.large实例摄取数据。

答案：B。使用两个m5.2xlarge实例可以增加摄取数据的能力，提高效率。

3.16 题目16

在负载均衡器后面部署了一个应用程序，经理非常担心应用程序受到DDoS攻击，要求推荐一个以最全面的方式减轻DDoS攻击的解决方案。你会推荐：
A. 使用AWS WAF自定义IP规则实施DDoS缓解。
B. 在ELB上使用AWS Shield Advanced实施DDoS缓解。
C. 使用NACL自定义IP规则实施DDoS缓解。
D. 使用AWS市场解决方案实施DDoS缓解。

答案：B。AWS Shield Advanced提供了全面的DDoS保护，可以在ELB上有效减轻DDoS攻击。

3.17 题目17

你在集群放置组中部署的EC2实例上运行HPC工作负载，启用了增强网络，想从网络中获得最大性能。额外的功能可以是：
A. 打开ACLs和安全组，允许所有入站和出站流量。这将加快流量，因为不会对数据包进行检查。
B. 在启动时将VPC巨型帧设置为开启，巨型帧将提高放置组的性能。
C. 将实例部署在分散放置组中，这将使流量分布在多个网络设备上。
D. 在操作系统中设置更高的MTU，巨型帧将提高放置组的性能。

答案：D。在操作系统中设置更高的MTU，使用巨型帧可以增加网络吞吐量，提高性能。

3.18 题目18

你有一组三个具有公共IP地址的EC2实例，公共IP映射到应用程序的Route 53 DNS名称。应用程序变慢，需要增加实例大小以适应流量增加。关闭实例、更改大小并重新启动后，实例通过了健康检查，可以SSH进入，但应用程序仍然不可用。原因可能是：
A. 重新部署Route 53公共区域。
B. 重新启动实例，服务未正确启动。
C. 重新启动实例中的服务，确保它们正确启动。
D. 实例关闭时公共IP已更改，在Route 53中重新配置DNS名称。

答案：D。实例关闭并重新启动后，公共IP可能会更改，需要在Route 53中重新配置DNS名称。

3.19 题目19

诊断VPC流日志时，看到以下条目：

2 123123456456 eni - 12d8da8 10.0.0.121 10.0.1.121 3321 22 6 14 3218 1550695423 1550695483 REJECT OK

此VPC流日志意味着：
A. 实例10.0.0.121尝试通过端口22 SSH到实例10.0.1.121，但连接未被允许。
B. 实例10.0.1.121尝试通过端口22 SSH到实例10.0.0.121，但连接未被允许。
C. 实例10.0.1.121通过端口22建立了到实例10.0.0.121的SSH连接。
D. 实例10.0.0.121通过端口22建立了到实例10.0.1.121的SSH连接。

答案：A。根据VPC流日志的格式和“REJECT”状态，可以判断实例10.0.0.121尝试通过端口22 SSH到实例10.0.1.121，但连接被拒绝。

3.20 题目20

你已将VPC A与VPC B对等，VPC C与VPC A对等。VPC B中的服务需要与VPC C通信。可以采取的选项有（多选）：
A. 在VPC A中代理VPC B <-> VPC C的流量。
B. VPC A是一个中间点，可以创建路由以允许流量通过。
C. 对等VPC B和VPC C。
D. 使用CloudHub VPN连接VPC。
E. 以上都不是。

答案：ABC。可以在VPC A中代理流量、在VPC A中创建路由或直接对等VPC B和VPC C来实现VPC B和VPC C之间的通信。

3.21 题目21

你将VPC A与VPC B对等，尝试ping对方但无响应。可能的问题是：
A. 需要在对等链接上启用ICMP协议。
B. VPC A的路由未在VPC B中创建，反之亦然。
C. 需要等待15分钟，让VPC A的自动路由传播到VPC B，反之亦然。
D. 对方的目标不可用。

答案：B。VPC对等连接需要在双方的路由表中创建相应的路由，否则无法通信。

3.22 题目22

公司A使用10 GB Direct Connect链接通过HTTP的公共VIF将PB级数据存储在S3中。要立即对通过Direct Connect链接传输的数据进行加密，最佳选项是：
A. 连接S3时使用HTTPS，这将对传输中的数据进行加密。
B. 在VIF上部署IPSec VPN，这将对传输中的数据进行加密。
C. 上传到S3时使用客户端加密，这将对传输中的数据进行加密。
D. 无需任何操作，Direct Connect上的数据会自动加密。

答案：A。使用HTTPS连接S3可以在传输过程中对数据进行加密。

3.23 题目23

公司使用网关端点让所有私有子网连接到S3服务，环境中每个子网都有自定义路由表。另一位网络管理员创建了此设置。现在需要部署一个新的私有子网，部署后，新子网中的EC2实例无法访问S3服务。解决方案是：
A. 在该子网中创建一个新的VPC网关端点。
B. 在该子网中创建一个新的VPC接口端点。
C. 在S3网关安全策略中为新子网创建一个新的安全条目。
D. 在子网的路由表中为S3网关创建一个新条目。

答案：D。在子网的路由表中为S3网关创建一个新条目，使新子网的流量能够路由到S3服务。

3.24 题目24

你在EC2实例上从AWS市场部署VPN解决方案。要确保实例具有最佳性能，可以选择（多选）：
A. 使用IOPS优化的EBS卷。
B. 使用具有大量内存的实例类型。
C. 使用具有适当网络吞吐量的实例类型。
D. 在实例上启用增强网络。

答案：CD。使用具有适当网络吞吐量的实例类型和启用增强网络可以提高VPN解决方案的性能。

3.25 题目25

要确保两个EC2实例之间的网络性能最高，应选择：
A. 同时启动实例。
B. 在集群放置组中启动实例。
C. 在分散放置组中启动实例。
D. 在网络放置组中启动实例。

答案：B。在集群放置组中启动实例可以使实例在物理上更接近，从而提高网络性能。

3.26 题目26

你设置了两个带有两个VGW的VPN连接，使用BGP聚合多个VPN的性能。为每个VPN创建了相同长度的AS_PATH，但网络流量似乎更喜欢其中一个VPN。一个VPN比另一个更受青睐的原因可能是：
A. 首选VPN的ASN低于第二个VPN的ASN。
B. 首选VPN连接的MED属性高于第二个VPN。
C. 第二个VPN仍配置为静态。
D. 首选VPN上通告的前缀比第二个VPN更具体。

答案：D。在BGP中，更具体的前缀会被优先选择。

3.27 题目27

在AWS中构建高可用性应用程序时，确定了需要实施端到端加密的合规要求。在保持高可用性的同时实现端到端加密的解决方案是：
A. 具有SSL卸载的ELB提供HTTPS端点，高可用性EC2实例在自动扩展组中，SSL加密的Multi - AZ RDS MySQL后端。
B. 两个ELB提供两个HTTPS端点，两个EC2实例自动扩展组，SSL加密的RDS MySQL后端。
C. 具有SSL卸载的ELB提供HTTPS端点，两个EC2实例自动扩展组，SSL加密的Multi - AZ RDS MySQL后端。
D. ELB提供HTTPS端点，高可用性EC2实例在自动扩展组中，SSL加密的Multi - AZ RDS MySQL后端。

答案：A。具有SSL卸载的ELB可以提高性能，高可用性EC2实例和Multi - AZ RDS MySQL后端可以保证高可用性，SSL加密可以实现端到端加密。

3.28 题目28

开发团队计划在其环境中实施蓝绿部署。可以使用哪个服务来启用蓝绿部署？
A. 使用具有加权路由的Route 53。
B. 使用具有基于延迟路由的Route 53。
C. 使用具有加权路由的API网关。
D. 使用具有基于延迟路由的ELB。

答案：A。使用具有加权路由的Route 53可以轻松实现蓝绿部署，通过调整权重来切换流量。

3.29 题目29

团队编写了一个CloudFormation模板，用于部署VPC、子网、IGW和路由。CloudFormation模板语法正确，模板开始部署，但在创建子网时失败。可能的原因是：
A. 子网列在VPC之前，将子网下移，使其在VPC之后创建。
B. 资源并行创建，移除子网的“并行”标签。
C. 资源并行创建，为子网添加“依赖于”条件。
D. 资源并行创建，为VPC添加“依赖于”条件。

答案：C。为子网添加“依赖于”条件，确保在VPC创建完成后再创建子网，可以避免此问题。

3.30 题目30

你对与本地环境建立的Direct Connect连接进行高可用性审查。建议有（多选）：
A. 无需采取任何行动，连接默认具有高可用性。
B. 建议设置备份VPN。
C. 建议设置备份Direct Connect链接。
D. 建议通过ELB设置备份连接。
E. 使用API网关。

答案：BC。设置备份VPN或备份Direct Connect链接可以提高Direct Connect连接的高可用性。

3.31 题目31

公司正在部署一个将在AWS中所有应用程序中使用的身份验证机制。身份验证应用程序托管在IP地址范围为10.17.0.0/16的VPC中。AWS账户中有11个其他VPC，另外3个账户分别有5、8和12个VPC。要确保所有其他VPC都能使用身份验证应用程序，考虑到跨不同账户工作，推荐的解决方案是：
A. 使用市场解决方案设置覆盖所有VPC的覆盖网络，允许所有VPC之间的通信。
B. 使用VPC对等连接将所有VPC相互对等。
C. 使用市场解决方案在本地环境和所有VPC之间设置VPN，将流量路由通过本地环境。
D. 使用VPC对等连接将所有VPC仅与身份验证VPC对等。

答案：D。使用VPC对等连接将所有VPC仅与身份验证VPC对等是最直接和有效的方法。

3.32 题目32

你最近将应用程序部署到ELB后面的EC2集群，有一个自动扩展组，实例数量在8到48之间扩展。应用程序接受HTTP连接，但由于安全审查，需要在最短时间内在应用程序的互联网部分实施HTTPS。推荐的解决方案是：
A. 在实例上安装HTTPS证书并重新配置应用程序以提供HTTPS。
B. 使用ACM在ELB上安装证书。
C. 将应用程序迁移到S3并通过HTTPS直接从S3提供内容。
D. 使用CloudFront并通过HTTPS在CloudFront终止所有调用。

答案：B。使用ACM在ELB上安装证书是在最短时间内实施HTTPS的最简单方法。

3.33 题目33

你在四个区域（us - west - 2、us - east - 1、eu - west - 1和ap - northeast - 1）有EC2实例。实例每天从本地区域的每个输入S3存储桶下载1 TB数据，并在本地区域的新输出S3存储桶中创建100 Mb的汇总报告。你通过Direct Connect从本地站点连接到us - west - 1，并每小时从每个区域下载汇总报告，每天上传新的1 TB作业源数据。在哪个通信部分会产生传输费用？
A. 从S3下载到EC2实例
B. 从EC2上传到输出S3存储桶
C. 通过Direct Connect从输出S3存储桶下载到本地
D. 通过Direct Connect上传到输入存储桶

答案：C。通过Direct Connect从输出S3存储桶下载到本地会产生传输费用。

3.34 题目34

你要保护在AWS中运行的应用程序。确定应用程序安全最佳实践（多选）：
A. 通过移除任何不必要的入口点来减少应用程序的攻击面。
B. 将应用程序的实例数量减少到最少。
C. 在所有层级实施安全措施。
D. 仅利用AWS安全功能。
E. 实施对资源的详细监控。
F. 为应用程序选择适当的安全控制，并非所有安全功能都适用于所有情况。

答案：ACEF。减少攻击面、在所有层级实施安全措施、详细监控资源和选择适当的安全控制是保护应用程序的重要最佳实践。

3.35 题目35

你负责保护应用程序负载均衡器后面为移动客户端提供服务的应用程序。需要能够根据请求的IP地址和请求中使用的表达式控制流量。可以实施哪个AWS解决方案来获得适当的控制级别？
A. NACLs
B. WAF
C. Shield
D. X - Ray

答案：B。WAF可以根据IP地址和请求表达式控制流量，提供更精细的安全控制。

3.36 题目36

公司有多个合并计费的账户。你在其中一个账户中设置了带有私有VIF的AWS Direct Connect连接。通过Direct Connect进行的任何下载费用将记录在：
A. 具有计费功能的主AWS账户中。
B. 创建AWS Direct Connect的账户中。
C. 使用Direct Connect时没有下载费用。
D. 费用根据下载请求的来源在主AWS账户和子账户之间分摊。

答案：B。通过Direct Connect进行的下载费用将记录在创建AWS Direct Connect的账户中。

3.37 题目37

计划部署Direct Connect链接时，客户路由器应支持的功能有（多选）：
A. 单模光纤
B. 802.1Q VLAN
C. 802.11ac
D. 多模光纤
E. 带有MD5认证的BGP

答案：ABE。客户路由器应支持单模光纤、802.1Q VLAN和带有MD5认证的BGP。

3.38 题目38

公司设置了使用多个不同公共和私有VIF的Direct Connect连接，以连接不同的服务。PCI团队要求建立一个新的、L2隔离且加密的连接到新的VPC。正确的方法是：
A. 部署一个新的公共VIF，为新VIF创建一个新的VLAN，连接将使用IPSec加密。
B. 部署一个新的私有VIF，为新VIF创建一个新的VLAN，连接将使用IPSec加密。
C. 部署一个新的公共VIF，为新VIF创建一个新的VPN，连接将使用IPSec加密。
D. 部署一个新的私有VIF，为新VIF创建一个新的VPN，连接将使用IPSec加密。

答案：D。部署一个新的私有VIF并为其创建一个新的VPN，使用IPSec加密可以满足此要求。

3.39 题目39

要对VPC流量进行深度数据包分析，应使用：
A. VPC流日志
B. 第三方数据包分析器
C. AWS WAF
D. AWS CloudTrail

答案：B。第三方数据包分析器可以提供更详细的数据包分析功能。

3.40 题目40

你在VPC的私有子网中启动了一个实例，尝试将弹性IP连接到实例但失败。原因可能是：
A. 子网未附加IGW。
B. 实例未附加ENI。
C. 子网未附加NAT网关。
D. 实例未附加公共IP。

答案：B。实例必须附加ENI才能连接弹性IP。

3.41 题目41

你部署了带有IPv6网络的VPC，现在需要移除IPv4网络。需要采取的步骤是：
A. 使VPC离线，在管理控制台中移除IPv4范围。
B. 在管理控制台中移除IPv4范围。
C. 在CLI中移除IPv4范围。
D. 这无法完成。

答案：B。在管理控制台中移除IPv4范围是正确的步骤。

3.42 题目42

你诊断VPC启用的ECS容器的流量流，需要了解该容器接受和拒绝了哪些请求。可以：
A. 在容器的ENI上使用VPC流日志，在日志中查找“ACCEPT OK”和“REJECT OK”条目。
B. 由于ECS容器没有ENI，在VPC网络上使用VPC流日志，在指向容器IP地址的日志中查找“ACCEPT OK”和“REJECT OK”条目。
C. 在子网中使用VPC流日志，在日志中查找“ACCEPT OK”和“REJECT OK”条目。
D. 这无法完成。

答案：A。在容器的ENI上使用VPC流日志可以准确了解容器的流量接受和拒绝情况。

3.43 题目43

你正在部署一个仅支持IPv6的私有子网，为更新实例软件，要为该子网部署NAT网关。应选择：
A. 使用NAT网关并在创建时选择“启用IPv6”。
B. 使用仅出站互联网网关。
C. 使用互联网网关。
D. 使用虚拟专用网关。

答案：B。对于仅支持IPv6的私有子网，使用仅出站互联网网关是更新实例软件的合适选择。

3.44 题目44

从本地到AWS创建VPN时，客户端需要的防火墙规则有（多选）：
A. UDP端口50
B. UDP端口500
C. TCP端口50
D. TCP端口500
E. 协议50
F. 协议500

答案：BE。创建VPN时，客户端需要允许UDP端口500和协议50的流量。

3.45 题目45

Lambda函数需要与私有子网中的EC2实例交互，信息交换完成后，Lambda需要将数据存储在DynamoDB表中。可以启用此功能的方法有（多选）：
A. 将Lambda部署到VPC，这将为Lambda函数分配一个私有IP以访问EC2实例。
B. Lambda将自动访问DynamoDB，因为Lambda有公共端点。
C. 使用NAT网关允许访问VPC外部。
D. 使用DynamoDB VPC端点。
E. 在私有VPC中为Lambda服务部署路由。

答案：ACD。将Lambda部署到VPC、使用NAT网关和DynamoDB VPC端点可以实现Lambda函数与EC2实例和DynamoDB的交互。

3.46 题目46

要为AWS账户中任何新创建的VPC轻松自动化VPC对等连接，可以：
A. 使用具有“对等VPC”设置的Elastic Beanstalk应用程序。
B. 使用Lambda函数检测任何新创建的VPC并进行对等连接。
C. 使用CloudFormation模板并在模板中定义对等连接。
D. 这无法完成。

答案：B。使用Lambda函数检测新创建的VPC并进行对等连接是自动化VPC对等连接的有效方法。

3.47 题目47

你的EC2实例作为CloudFront分发的源，需要始终保持流量的端到端加密。可以在CloudFront上配置的选项是：
A. 将查看器策略设置为将HTTP重定向到HTTPS，将源策略设置为与查看器匹配。
B. 将查看器策略设置为HTTPS，在实例上安装SSL证书。
C. 将查看器策略设置为HTTP，将源策略设置为与查看器匹配。
D. 将查看器策略设置为将HTTP重定向到HTTPS，将源设置为HTTP。

答案：A。将查看器策略设置为将HTTP重定向到HTTPS，将源策略设置为与查看器匹配可以确保端到端加密。

3.48 题目48

要在Direct Connect连接上为VPN创建私有VIF，需要：
A. 本地子网ID
B. VLAN ID
C. VGW ID
D. IGW ID

答案：B。创建私有VIF需要VLAN ID。

3.49 题目49

在CloudFront中，要优化应用程序性能同时保持PCI兼容性，可以使用：
A. 带有SSL的端到端加密
B. 字段级加密和SSL
C. 带有SSL卸载的端到端加密
D. 字段级加密和SSL卸载

答案：D。字段级加密和SSL卸载可以在优化性能的同时保持PCI兼容性。

3.50 题目50

你有一个在VPC中运行的CRM应用程序，VPC设置如下：
- VPC的CIDR为10.0.0.0/16
- 子网：A 10.0.0.0/24，B 10.0.1.0/24，C 10.0.2.0/24，D 10.0.3.0/24，E 10.0.4.0/24和F 10.0.5.0/24，每个可用区有两个子网
- VGW的ID为vgw - ad83aa7f
- 路由表条目：
- 10.0.0.0/16 — 本地
- 192.168.18.0/24 — vgw - ad83aa7f
- 192.168.19.0/24 — vgw - ad83aa7f
- 默认NACL允许所有入站和出站流量
- 默认安全组允许所有出站流量，拒绝所有入站流量
- VPN安全组允许来自192.168.18.0/24网络的所有HTTPS入站流量
- CRM实例部署在所有子网中

CRM应用程序需要访问S3。允许访问S3的选项有（多选）：
A. 在子网A中创建NAT实例。
B. 将VPC端点附加到VPC。
C. 将IGW附加到子网A。
D. 在VPC中创建允许访问S3的NACL规则。
E. 创建允许访问S3的安全组规则并将其附加到CRM实例。
F. 在默认路由表中创建到VPC端点的路由。
G. 在新路由表中创建到VPC端点的路由并将其附加到子网B、D和F。

答案：ABEF。创建NAT实例、附加VPC端点、创建允许访问S3的安全组规则和在路由表中创建到VPC端点的路由可以允许CRM应用程序访问S3。

3.51 题目51

要提高应用程序对客户端的读写响应性能，在部署中应选择的服务是：
A. CloudFormation
B. CloudFront
C. API网关
D. S3

答案：B。CloudFront可以缓存内容并在全球范围内分发，提高应用程序的读写响应性能。

3.52 题目52

你将应用程序部署在负载均衡器后面，需要使用Route 53将你的网站“mywebsite.com”指向该应用程序。可以通过以下方式实现：
A. 使用负载均衡器的DNS创建ALIAS记录。
B. 使用负载均衡器的DNS创建CNAME记录。
C. 使用负载均衡器的IP创建A记录。
D. 使用负载均衡器的IP创建PTR记录。

答案：A。使用负载均衡器的DNS创建ALIAS记录是正确的方法。

3.53 题目53

你要与AWS建立Direct Connect链接，客户网关已交付并安装到托管中心，准备建立交叉连接。需要联系谁来建立交叉连接？
A. 联系AWS支持。
B. 联系Direct Connect提供商。
C. 联系可以提供咨询和帮助的AWS合作伙伴。
D. 在管理控制台中提出Direct Connect请求。

答案：B。联系Direct Connect提供商来建立交叉连接。

3.54 题目54

你将Direct Connect连接到本地站点，设置中有超过300个/24网络需要通过Direct Connect链接通告到VPC。要启用通过Direct Connect链接的连接，需要：
A. 为每个/24网络创建公共VIF，并设置单独的VGW。
B. 在Direct Connect链接上设置超过300个VLAN。
C. 在BGP配置中创建超过300个路由条目。
D. 将超过300个前缀汇总为少于100个前缀。

答案：D。将超过300个前缀汇总为少于100个前缀可以减少BGP配置的复杂性，启用连接。

3.55 题目55

你通过VPC端点访问S3存储桶，应用程序不断从存储桶收到403响应。你检查了安全组、NACLs和路由，一切正常。解决方案是：
A. 在EC2实例上启用增强网络。
B. 确保存储桶名称解析为正确的DNS名称。
C. 确保存储桶策略允许从VPC访问。
D. 启用S3 ACL向VPC的传播。

答案：C。确保存储桶策略允许从VPC访问可以解决此问题。

3.56 题目56

你在多个区域部署应用程序，需要以统一的方式创建网络配置。公司选择使用单独的CloudFormation模板构建应用程序的每个部分。在从这些模板部署堆栈时，使用哪个CloudFront功能可以正确部署到任何区域？
A. 部署第一个堆栈时，记录会话ID，在下一个堆栈中使用该会话ID。
B. 部署第一个堆栈时，记录输出以供下一个堆栈使用。
C. 部署第一个堆栈时，将输出导出到下一个堆栈。
D. 使用AWS CLI进行部署，这会更简单。

答案：B。记录第一个堆栈的输出以供下一个堆栈使用可以确保网络配置的统一部署。

3.57 题目57

你构建一个将托管高可用性应用程序的VPC，应用程序需要三个节点通过网络比较哈希来确定应用程序状态。设计基础设施时，以下假设不正确的有（多选）：
A. 应用程序可以部署到任何区域。
B. 为实现高可用性，应用程序需要在三个可用区创建三个子网。
C. 应用程序不能部署到任何区域。
D. 应用程序子网应使用相同的路由表。
E. 为实现高可用性，应用程序需要在两个可用区创建两个子网。

答案：ACDE。应用程序可能有特定的区域要求，不一定能部署到任何区域；为实现高可用性，通常需要在三个可用区创建三个子网；子网可以根据需要使用不同的路由表。

3.58 题目58

连接20个有10到20名员工的分支机构，最简单的解决方案是：
A. VPN CloudHub
B. 带有VGW的IPSec VPN
C. Direct Connect
D. NACL

答案：A。VPN CloudHub是连接多个分支机构的简单解决方案。

3.59 题目59

你需要将两个VPC中高可用性的EC2实例连接到网状隧道网络。实例部署在us - west - 1的VPC A（网络10.0.0.0/20）和eu - west - 1的VPC B（网络10.0.0.0/16）中。你选择了一个能够为网状网络创建覆盖网络的市场实例。设置此部署时还应考虑：
A. 对等VPC而不是使用市场解决方案，通过对等连接直接网状连接实例。
B. 使用VGW而不是使用市场解决方案，通过VPN直接网状连接实例。
C. 实施第二个市场实例。
D. 在所有实例上使用带有公共IP的DNS以实现冗余。

答案：A。对等VPC并通过对等连接直接网状连接实例是更直接和有效的方法。

3.60 题目60

你将一个应用程序迁移到AWS，该应用程序需要向其对等方发送广播数据包以交换集群状态。将集群部署到VPC后，实例上的集群状态标记为不健康。原因可能是：
A. EC2实例需要部署在集群放置组中。
B. 实例位于不同子网，广播数据包不会通过路由器发送。
C. AWS VPC中不允许广播。
D. EC2实例需要启用增强网络。

答案：C。AWS VPC中不允许广播，这会导致集群状态不健康。

四、总结

通过对考试领域的了解、备考建议的遵循和模拟测试题目的练习，你可以更好地准备AWS网络专业考试。在备考过程中，要注重实践经验的积累，理解各个知识点的原理和应用场景，同时掌握考试技巧，以提高考试通过率。希望这些内容对你有所帮助，祝你考试顺利！

五、关键知识点总结

5.1 网络与应用服务集成

知识点	详情
AWS 服务公共端点	需理解使用 VPN 和 Direct Connect 时，流量到公共端点的流向
VPC 端点	掌握其使用、对其他站点（如对等 VPC 和本地环境）的可用性，以及类型和优势
VPC 对等连接	确保双方路由表中创建相应路由，避免 IP 范围重叠
VPN 与 Direct Connect	可结合使用以实现高可用性和成本效益，如用 Direct Connect 提供高性能和低延迟，VPN 作备份

5.2 安全与合规

要点	说明
最小权限原则	对具有基于资源策略的资源使用最小权限方法
多层安全	采用“洋葱式”安全方法，在所有层级实施安全措施
安全工具使用	理解 WAF、Shield、VPC 网络 ACL、安全组和操作系统防火墙的使用，以及 API 网关、CloudFront、ELB 对安全的影响
加密	理解 AWS 中的传输加密和静态加密，明确哪个服务提供哪种类型的加密及使用的协议或机制

5.3 网络管理、优化和故障排除

方面	内容
监控工具	使用 CloudWatch 监控和确定资源的使用情况，利用 VPC 流日志分析流量
计费	了解 AWS 服务的计费方面
设计优化	从性能、计费和安全方面识别设计中的低效之处，识别单点故障
故障排除	使用 AWS 提供的故障排除功能确定故障原因

六、操作流程梳理

6.1 建立 VPN 连接

graph LR
    A[设置 VGW] --> B[配置客户网关]
    B --> C[获取隧道信息]
    C --> D[在 AWS 管理控制台设置隧道状态为 UP]

设置 VGW：为连接 AWS 和本地环境做好准备。
配置客户网关：根据 AWS 提供的信息，在本地配置客户网关。
获取隧道信息：从 AWS 获取隧道的相关配置信息。
设置隧道状态：在 AWS 管理控制台中将隧道状态设置为 UP，确保连接正常。

6.2 部署 VPC 及相关资源

graph LR
    A[创建 VPC] --> B[创建子网]
    B --> C{子网类型}
    C -- 公共子网 --> D[附加 IGW]
    C -- 私有子网 --> E[设置 NAT 网关或 VPC 端点]
    E --> F[配置路由表]
    D --> F

创建 VPC：确定 VPC 的基本配置，如 IP 范围。
创建子网：根据需求创建公共子网和私有子网。
处理公共子网：为公共子网附加 IGW，使其能够访问互联网。
处理私有子网：为私有子网设置 NAT 网关或 VPC 端点，确保子网内的资源能够访问外部服务。
配置路由表：根据子网类型和需求，配置相应的路由表。

6.3 实现 VPC 对等连接

graph LR
    A[选择对等的 VPC] --> B[发起对等连接请求]
    B --> C[接受对等连接请求]
    C --> D[在双方路由表中添加路由]

选择对等的 VPC：确定需要进行对等连接的 VPC。
发起请求：在一方 VPC 中发起对等连接请求。
接受请求：另一方 VPC 接受对等连接请求。
配置路由：在双方的路由表中添加相应的路由，确保流量能够正常通过对等连接。

七、常见问题及解决方案

7.1 连接问题

问题	可能原因	解决方案
无法连接到 EC2 实例	安全组或 NACL 规则限制、SSH 服务未启动、网络问题	检查安全组和 NACL 规则，确保允许相应端口的流量；启动 SSH 服务；排查网络连接
VPC 对等连接无响应	路由未配置、ICMP 协议未启用、目标不可用	在双方路由表中创建相应路由；检查是否需要启用 ICMP 协议；确认目标实例是否可用
VPN 连接状态为关闭	隧道状态未设置为 UP、网络配置问题	在 AWS 管理控制台中将隧道状态设置为 UP；检查网络配置和客户网关设置

7.2 访问问题

问题	可能原因	解决方案
无法访问 S3 服务	安全组、NACL 或路由配置问题、存储桶策略限制	检查安全组、NACL 和路由表，确保允许访问 S3；检查存储桶策略，确保允许从 VPC 访问
数据库故障转移不生效	使用 IP 而非 DNS 名称、自动切换选项未启用	使用 RDS DNS 名称代替 IP；在 Multi - AZ 配置中启用 RDS 自动切换 IP 选项

7.3 性能问题

问题	可能原因	解决方案
网站性能不佳	内容与客户端距离远、未使用缓存服务	使用 CloudFront 分发内容，选择合适的价格类；将 S3 存储桶镜像到多个区域，使内容更接近客户端
数据摄取失败	实例性能不足	增加实例数量或更换性能更高的实例类型