3 . 题
类别:CSAA - 设计高性能架构
一家公司开发了托管在弹性负载均衡器后面的 Amazon EC2 实例中的公共 API。API 将由来自各自本地数据中心的各种客户使用。解决方案架构师收到报告称,Web 服务客户端只能访问在其防火墙上列入白名单的受信任 IP 地址。你应该怎么做才能完成上述要求?
- A 将弹性 IP 地址与网络负载均衡器相关联。
- B 创建一个 CloudFront 分配,其源指向您的 Web 服务器的私有 IP 地址。
- C 将弹性 IP 地址与应用程序负载均衡器相关联。
- D 在 Route 53 中创建一个别名记录,该记录映射到负载均衡器的 DNS 名称。
解析:
甲网络负载平衡器在开放系统互连(OSI)模型的第四层的功能。它每秒可以处理数百万个请求。负载均衡器收到连接请求后,会从默认规则的目标组中选择一个目标。它尝试在侦听器配置中指定的端口上打开与选定目标的 TCP 连接。
根据给定的场景,Web 服务客户端只能访问受信任的 IP 地址。要解决此要求,您可以使用自带 IP (BYOIP) 功能将受信任的 IP 用作网络负载均衡器 (NLB) 的弹性 IP 地址 (EIP)。这样,就无需使用新 IP 地址重新建立白名单。
因此,正确答案是:将弹性 IP 地址关联到网络负载均衡器。
表示:将弹性 IP 地址与应用程序负载均衡器关联的选项不正确,因为您无法将弹性 IP 地址分配给应用程序负载均衡器。您可以执行的替代方法是将弹性 IP 地址分配给应用程序负载均衡器前面的网络负载均衡器。
显示以下内容的选项:创建其源点指向您的 Web 服务器的私有 IP 地址的 CloudFront 分配是不正确的,因为 Web 服务客户端只能访问受信任的 IP 地址。解决此要求的最快方法是将弹性 IP 地址附加到网络负载均衡器。
表示:在映射到负载均衡器的 DNS 名称的 Route 53 中创建别名记录的选项不正确。由于防火墙上的可信 IP 地址,这种方法仍然不允许他们访问应用程序。
参考:
https://aws.amazon.com/premiumsupport/knowledge-center/elb-attach-elastic-ip-to-public-nlb/
https://aws.amazon.com/blogs/networking-and-content-delivery/using-static-ip-addresses-for-application-load-balancers/
https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html