Descubre el Diseño de VPC Ideal para Aplicaciones de Compras en Línea Seguras y Eficientes
Pregunta
Un arquitecto de soluciones está diseñando una aplicación de compras en línea que se ejecuta en una VPC en instancias EC2 detrás de un Elastic Load Balancer.
Las instancias se ejecutan en un grupo de Auto Scaling en varias zonas de disponibilidad.
El nivel de aplicación debe leer y aws-managed-active-directory-desea-tener-un-almacenamiento-compartido-para-todas-estas-instancias-y-controlar-este-acceso-de-almacenamiento-con-manag/" title="Descubre el Mejor Servicio de AWS para Almacenamiento Compartido en un Entorno Windows con Active Directory Administrado">escribir datos en un clúster de base de datos administrado por el cliente.
No debe haber acceso a la base de datos desde Internet.
Pero el clúster debe poder obtener parches de software de Internet.
¿Qué diseño de VPC cumple estos requisitos?
Respuestas
A. Cree subredes públicas para el nivel de aplicación y el clúster de base de datos.
B. Cree subredes públicas para el nivel de aplicación y subredes privadas para el clúster de base de datos.
C. Cree subredes públicas para el nivel de aplicación y NAT Gateway, y subredes privadas para el clúster de base de datos.
D. Cree subredes privadas para el nivel de aplicación y subredes privadas para el clúster de la base de datos y la puerta de enlace NAT.
Respuesta Correcta
A.BCD
Respuesta correcta - C.
El siguiente diagrama de la documentación de AWS muestra la configuración correcta para este escenario:
Siempre debemos mantener la puerta de enlace NAT solo en la subred pública, ya que necesita comunicarse con Internet.
AWS dice que "Para crear una puerta de enlace NAT, debe especificar la subred pública en la que debe residir la puerta de enlace NAT.
También debe especificar una dirección IP elástica para asociarla con la puerta de enlace NAT cuando la cree.
Una vez que haya creado una puerta de enlace NAT, debe actualizar la tabla de rutas asociada con una o más de sus subredes privadas para dirigir el tráfico de Internet a la puerta de enlace NAT.
Esto permite que las instancias de sus subredes privadas se comuniquen con Internet".
NOTA:
Aquí el requisito es que "no debe haber acceso a la base de datos desde Internet, pero el clúster debe poder obtener parches de software desde Internet".
1) No debe haber acceso a la base de datos desde Internet.
Para lograr este paso, tenemos que lanzar la base de datos dentro de la subred privada.
2) Pero el clúster debe poder obtener parches de software de Internet.
Para esto, tenemos que crear NAT Gateway dentro de Public Subnet.
Porque la subred con la puerta de enlace de Internet conectada se conoce como subred pública.
A través de NAT Gateway, una base de datos dentro de la subred privada puede acceder a Internet.
La opción D dice que "Usar una subred privada para la puerta de enlace NAT".
La opción C incluye estos puntos discutidos y, por lo tanto, es una respuesta perfecta.
Para obtener más información sobre esta configuración, consulte la siguiente URL:
https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpc-nat-gateway.html
¡Ahora puedes descargar los tests!
Poco a poco vamos agregando más.