Компания эксплуатирует двухуровневое приложение для обработки изображений. Приложение использует две зоны доступности (Availability Zones), каждая из которых имеет одну публичную и одну приватную подсеть. Application Load Balancer (ALB) для веб-уровня использует публичные подсети. Экземпляры Amazon EC2 для уровня приложения используют приватные подсети. Пользователи сообщают, что приложение работает медленнее, чем ожидалось. Аудит безопасности лог-файлов веб-сервера показывает, что приложение получает миллионы нелегитимных запросов с небольшого числа IP-адресов. Архитектору решений необходимо устранить текущую проблему производительности, пока компания ищет более постоянное решение. Что должен порекомендовать архитектор решений для выполнения этого требования?
Выберите ответ
Нажмите на вариант, чтобы проверить свой ответ.
Правильный ответ: Изменить сетевой ACL (network ACL) для подсетей веб-уровня. Добавить входящее правило deny для IP-адресов, которые потребляют ресурсы..
Почему это правильный ответ
Правильный ответ — изменение сетевого ACL для подсетей веб-уровня. Сетевые ACL (NACL) работают на уровне подсети и являются безстатусным брандмауэром, который позволяет блокировать трафик до того, как он достигнет ALB. Это эффективно остановит нелегитимные запросы, улучшая производительность. Группы безопасности (security groups) работают на уровне экземпляра и являются брандмауэром с отслеживанием состояния; добавление правил deny к ним не поддерживается напрямую, и они не могут блокировать трафик до ALB. Изменение NACL или групп безопасности для уровня приложения не поможет, так как проблема возникает на веб-уровне, до того как трафик достигнет экземпляров приложения.
Сдайте экзамен — без бесконечного поиска ответов
Получите все проверенные вопросы и объяснения для этого экзамена в одном месте и сэкономьте часы подготовки. 1000+ сертификаций · 20+ языков · начните бесплатно.
Сдайте экзамен быстрее → Карта не требуется