CloudPass LogoCloud Pass
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
Certifications
AWSGoogle CloudMicrosoftCiscoCompTIADatabricks
AWS Certified Advanced Networking - Specialty (ANS-C01)
AWS Certified Advanced Networking - Specialty (ANS-C01)

Practice Test #1

65개 문제와 170분 시간 제한으로 실제 시험을 시뮬레이션하세요. AI 검증 답안과 상세 해설로 학습하세요.

65문제170분750/1000합격 점수
기출 문제 보기

AI 기반

3중 AI 검증 답안 및 해설

모든 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.

GPT Pro
Claude Opus
Gemini Pro
선택지별 상세 해설
심층 문제 분석
3개 모델 합의 정확도

기출 문제

1
문제 1

한 회사는 온프레미스 데이터 센터에 연결된 두 개의 AWS Direct Connect 링크를 보유하고 있습니다. 한 Direct Connect 링크는 us-east-1 Region에서 종단되고, 다른 Direct Connect 링크는 af-south-1 Region에서 종단됩니다. 회사는 AWS와 경로를 교환하기 위해 BGP를 사용하고 있습니다. 회사의 온프레미스 환경은 AWS로 가는 기본 경로로 us-east-1 링크를 사용하고, 보조(백업) 경로로 af-south-1 링크를 사용하도록 구성되어야 합니다. 네트워크 엔지니어는 온프레미스 라우터에서 BGP를 구성하여 AWS로 향하는 모든 트래픽에 대해 us-east-1 링크가 우선되도록 하고, 기본 링크에 장애가 발생한 경우에만 af-south-1 링크가 사용되도록 해야 합니다. 이 솔루션은 표준 BGP 속성과 AWS BGP community tags를 사용해야 합니다. 네트워크 엔지니어는 af-south-1이 AWS로 가는 보조 링크로 사용되도록 보장하기 위해 BGP를 어떻게 구성해야 합니까?

오답입니다. 온프레미스에서 나가는 outbound traffic에 대한 local preference 값은 올바르게 설정되어 있지만, AWS communities가 올바르지 않습니다. backup인 af-south-1 link에는 AWS low-preference community 7224:7300이 적용되어야 AWS가 return traffic에 대해 해당 경로를 덜 선호하게 되는데, 이 선택지는 7224:7300을 올바른 경로에도, 올바른 역할로도 배치하지 않았습니다. 그 결과 af-south-1을 AWS 측 backup으로 명확하게 설정하지 못합니다.

정답입니다. 이 선택지는 us-east-1 BGP peer의 local preference를 200으로, af-south-1 peer의 local preference를 50으로 설정하므로 온프레미스 router가 AWS로 가는 트래픽에 대해 us-east-1을 선호합니다. 또한 af-south-1 연결에 AWS community 7224:7300을 적용하는데, 이는 해당 link를 통해 학습한 route에 대한 AWS local preference를 낮추고 return traffic에 대한 backup path로 만들게 합니다. 이러한 설정을 함께 사용하면 표준 BGP attribute와 AWS가 지원하는 BGP community를 모두 활용하여 의도한 primary/secondary 동작을 구현합니다.

오답입니다. 이 선택지는 customer-side local preference 값을 반대로 설정하여 us-east-1에는 더 낮은 값을, af-south-1에는 더 높은 값을 할당합니다. 그러면 온프레미스 router가 AWS로 가는 트래픽에 대해 af-south-1을 선호하게 되며, 이는 us-east-1이 primary여야 한다는 요구 사항을 정면으로 위반합니다. communities가 다른 면에서 유용하더라도, 잘못된 local preference 때문에 이 선택지는 유효하지 않습니다.

오답입니다. 이 선택지는 두 가지 주요 제어 모두에서 잘못되었습니다. af-south-1에 더 높은 local preference를 부여하여 customer network가 backup link를 선호하게 만들고, AWS low-preference community도 af-south-1이 아니라 us-east-1에 적용합니다. 이 조합은 의도된 backup path를 더 매력적으로 만들고 의도된 primary path를 덜 매력적으로 만들어 요구 사항과 정반대의 결과를 초래합니다.

문제 분석

핵심 개념: 이 문제는 customer-side BGP best-path selection과 AWS Direct Connect BGP communities를 결합하여 두 개의 AWS Direct Connect 연결에서 결정적인 primary/backup routing을 구축하는 방법을 테스트합니다. 온프레미스 router는 AWS로 향하는 트래픽에 대해 us-east-1 session에 더 높은 local preference를 할당하여 이를 선호해야 하며, af-south-1 session은 더 낮은 local preference로 backup으로 처리되어야 합니다. AWS 측에서는 customer가 backup DX를 통해 광고하는 route에 AWS low-local-preference community를 태그하여 두 경로가 모두 사용 가능할 때 AWS가 return traffic에 대해 primary DX를 선호하도록 해야 합니다. 정답인 이유: 올바른 설계는 us-east-1 BGP peer에 더 높은 local preference를 설정하고 af-south-1 BGP peer에 더 낮은 local preference를 설정하여 enterprise network가 AWS로 나가는 outbound traffic에 대해 항상 us-east-1을 먼저 선택하도록 하는 것입니다. 또한 af-south-1 link에는 AWS community 7224:7300을 태그해야 하며, 이는 AWS가 해당 연결에서 학습한 route에 더 낮은 local preference를 할당하도록 지시합니다. 이렇게 하면 AWS에서 온프레미스로 돌아오는 경로에서 af-south-1이 덜 선호되는 경로가 되어 primary path가 실패하지 않는 한 backup으로 동작합니다. 주요 특징: - Local Preference는 customer AS 내부에서 사용되는 표준 BGP attribute이며, 값이 높을수록 선호됩니다. - AWS Direct Connect는 customer prefixes를 향한 inbound traffic에 대해 AWS local preference에 영향을 주기 위해 7224:7300과 같은 BGP communities를 지원합니다. - 두 제어를 함께 사용하면 대칭적인 primary/backup 의도를 제공합니다: outbound traffic에 대한 customer-side preference와 return traffic에 대한 AWS-side preference입니다. 일반적인 오해: - 많은 수험자가 AWS DX communities와 customer local preference를 혼동합니다. AWS communities는 customer가 광고하는 route를 AWS가 처리하는 방식에 영향을 주며, router의 best-path decision에는 영향을 주지 않습니다. - 또 다른 흔한 실수는 7224:7100이 일반적으로 'primary'를 의미하고 7224:7300이 'secondary'를 의미한다고 가정하는 것입니다. 실제로는 7224:7300이 backup path를 덜 선호하도록 만드는 명시적인 low-preference community입니다. - 또한 local preference 값을 반대로 설정하기 쉬운데, 그렇게 하면 backup link가 standby가 아니라 active가 됩니다. 시험 팁: - customer-to-AWS path preference의 경우, 먼저 customer router의 local preference를 보십시오: primary에는 높게, backup에는 낮게 설정합니다. - AWS-to-customer return path preference의 경우, backup path에서 AWS local preference를 낮추는 AWS DX community(일반적으로 7224:7300)를 찾으십시오. - 어떤 선택지가 local preference는 올바르게 설정했지만 low-preference AWS community를 primary link에 적용했다면, 그것은 최선의 정답이 아닙니다.

2
문제 2

한 회사가 최근 개발자가 VPC 네트워크 인프라를 시작(launch)하는 것을 금지하는 보안 정책을 구현했습니다. 이 정책은 VPC에서 NAT gateway가 시작(launch)될 때마다 회사의 네트워크 보안 팀이 NAT gateway를 종료(terminate)하기 위해 즉시 알림을 받아야 한다고 명시합니다. 네트워크 보안 팀은 가능한 한 최소한의 관리 오버헤드로 AWS accounts 전반에 배포할 수 있는 솔루션을 구현해야 합니다. 또한 이 솔루션은 네트워크 보안 팀이 컴플라이언스 이력을 간단하게 확인할 수 있는 방법을 제공해야 합니다. 이 솔루션은 어떤 VPC에서든 NAT Gateway 생성 여부를 탐지하고, 보안 팀에 알림을 보내며, 리소스를 자동으로 종료하고, 컴플라이언스에 대한 과거 기록을 제공해야 합니다. 또한 최소한의 수동 작업으로 여러 AWS accounts에 쉽게 배포할 수 있어야 합니다. 다음 중 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

각 account에서 EC2에 cron 기반 스크립트를 실행하는 방식은 상당한 관리 오버헤드(instance, patching, IAM, scheduling, scaling)를 유발합니다. 5분 간격은 즉시 탐지가 아니며 정책 위반이 지속될 수 있습니다. RDS에 로깅하는 것은 비용과 관리를 추가하며, 여전히 기본 제공 컴플라이언스 보고를 제공하지 않습니다. 이 접근 방식은 운영적으로 무겁고 AWS managed 거버넌스 패턴과 맞지 않습니다.

Lambda는 서버 관리를 줄이지만, 옵션은 “프로그래밍 방식으로 확인”이라고 설명하여 이벤트 기반 탐지보다는 polling을 의미합니다. polling은 여전히 즉시성이 없고 scheduling 및 custom 상태 저장이 필요합니다. account별 OpenSearch는 비용이 크고 운영이 복잡하며, AWS Config가 제공하는 직관적인 컴플라이언스 이력 및 감사 뷰를 제공하지 않습니다. SAM은 배포에 도움이 되지만 거버넌스/보고는 여전히 custom입니다.

GuardDuty는 위협 탐지 서비스이며 NAT gateway 생성에 대한 표준 finding type을 제공하지 않습니다(언급된 finding type은 일반적인 GuardDuty taxonomy가 아닙니다). 설령 이벤트를 캡처하더라도 S3에 런타임 로그를 저장하는 것은 rule 평가 및 타임라인을 갖춘 컴플라이언스 이력과 동일하지 않습니다. 또한 이 옵션은 AWS Config보다 컴플라이언스 거버넌스에 덜 신뢰할 수 있는 방식으로 서비스를 혼합합니다.

AWS Config는 컴플라이언스 모니터링을 위해 설계되었으며, 쉽게 소비할 수 있는 컴플라이언스 이력과 구성 타임라인을 제공합니다. custom Config rule은 금지된 NAT gateways를 탐지할 수 있고, SSM Automation remediation은 자동으로 알림(예: SNS를 통해)과 NAT gateway 삭제를 수행할 수 있습니다. CloudFormation StackSets는 일관된 IAM roles 및 runbooks와 함께 많은 accounts/OUs에 중앙에서 낮은 터치로 배포할 수 있게 하여, 멀티 account 및 최소 오버헤드 요구 사항을 충족합니다.

문제 분석

핵심 개념: 이 문제는 여러 AWS accounts에 걸친 거버넌스 및 컴플라이언스 자동화를 테스트합니다. 가장 적합한 패턴은 지속적인 리소스 컴플라이언스 평가를 위한 AWS Config와 자동 remediation(AWS Systems Manager Automation), 그리고 멀티 account 배포(AWS CloudFormation StackSets)의 조합입니다. 정답이 맞는 이유: custom AWS Config rule은 금지된 리소스(NAT gateways)가 존재하거나 생성되는지 평가할 수 있으며, 시간 경과에 따른 컴플라이언스 상태 변경을 기록합니다. 이는 AWS Config가 리소스별 및 rule별로 구성 변경과 컴플라이언스 결과의 타임라인을 제공하므로 “컴플라이언스 이력을 간단하게 확인할 수 있는 방법” 요구 사항을 직접 충족합니다. SSM Automation remediation action을 연결하면 보안 팀이 자동으로 대응할 수 있습니다. 즉, 알림을 전송(일반적으로 automation 또는 Lambda 단계에서 SNS/SES 통합 사용)한 다음 EC2 API를 호출하여 NAT gateway를 삭제할 수 있습니다. 마지막으로 StackSets는 AWS Organizations에서 많은 accounts(및 OUs)에 동일한 Config rule, IAM roles, SSM runbooks를 일관되게 배포하기 위한 최소 관리 오버헤드 방식을 제공합니다. 주요 AWS 기능: - AWS Config custom rules: 리소스를 평가하고 컴플라이언스 이력을 유지. - SSM Automation을 통한 remediation: 표준화되고 감사 가능한 runbooks; 비컴플라이언스 시 자동 remediation으로 설정 가능. - CloudFormation StackSets: drift detection과 함께 중앙에서 멀티 account/멀티-Region 롤아웃. - Well-Architected (Security pillar): 지속적 모니터링, 자동 remediation, 중앙 집중식 거버넌스. 일반적인 오해: - “생성 이벤트만 탐지하면 된다”: 이벤트 기반 탐지만으로는(예: 주기적 스크립트 또는 임시 로그) 내구성 있는 컴플라이언스 이력과 표준화된 보고가 부족한 경우가 많습니다. - “GuardDuty가 NAT gateway 생성을 탐지한다”: GuardDuty는 위협 탐지용이며, NAT gateway 생성은 일반적인 GuardDuty finding type이 아닙니다. - “EC2에서 cron이 가장 간단하다”: 운영 부담이 증가하고, 실시간이 아니며, 기본 제공 컴플라이언스 보고를 제공하지 않습니다. 시험 팁: 멀티 account 배포, 최소 오버헤드, 자동 remediation, 컴플라이언스 이력 같은 요구 사항이 보이면 AWS Config + (SSM Automation remediation) + StackSets/Organizations를 떠올리십시오. AWS Config는 컴플라이언스 타임라인과 감사 준비가 된 이력을 위한 정석 서비스입니다.

3
문제 3

한 회사가 온프레미스 데이터 센터에서 AWS로 애플리케이션을 마이그레이션하고 있으며, 온프레미스 메인프레임과의 데이터 교환이 필요합니다. 솔루션은 피크 트래픽에 대해 4 Gbps 전송 속도를 달성해야 하며, 회선 또는 라우터 장애에 대한 고가용성과 복원력을 보장해야 합니다. 4 Gbps를 지원하고 회선 또는 라우터 장애를 견딜 수 있는 고가용성, 복원력 있는 네트워킹 솔루션을 설계하십시오. 다음 중 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

옵션 A는 두 개의 Direct Connect location과 두 개의 서로 다른 온프레미스 라우터에 걸쳐 네 개의 별도 Direct Connect 연결을 사용하므로 가장 복원력 있는 설계입니다. 이는 개별 회선, 고객 라우터, 단일 Direct Connect location에 대한 단일 장애 지점을 제거합니다. 또한 회선 하나, 라우터 하나, 또는 전체 location 하나를 잃더라도 4 Gbps를 훨씬 초과하는 사용 가능한 대역폭을 제공합니다. 문제에서 장애를 견디면서 4 Gbps 피크 트래픽 지원을 명시적으로 요구하므로, 이 옵션만이 용량과 복원력 요구 사항을 모두 명확하게 충족합니다.

옵션 B는 두 개의 10 Gbps 연결만 사용하며, 각 Direct Connect location당 하나씩이고 각각 다른 라우터에 종단됩니다. 대역폭은 충분하지만, 이 설계는 location당 회선이 하나뿐이므로 단일 회선 장애가 발생하면 해당 location을 통한 모든 연결이 사라집니다. 이는 4개 연결 설계보다 회선 수준 복원력이 낮으며, 회선 장애를 견뎌야 한다는 요구 사항에도 덜 부합합니다. 최대 복원력을 위한 AWS 모범 사례는 여러 location과 라우터에 걸쳐 여러 연결을 사용하는 것입니다.

옵션 C는 총 4 Gbps를 제공하는 4개의 1 Gbps 연결을 제공하지만, 이는 정상 운영 중에만 가능합니다. 단일 회선에 장애가 발생하면 사용 가능한 대역폭은 3 Gbps로 떨어지며, 더 이상 4 Gbps 전송 요구 사항을 충족하지 못합니다. 마찬가지로 라우터 하나에 장애가 발생하고 두 개의 회선이 해당 라우터에 연결되어 있다면 2 Gbps만 남습니다. 따라서 이 옵션은 가용성 관점에서는 복원력이 있지만, 지정된 장애 시나리오 동안 필요한 처리량을 유지하지는 못합니다.

옵션 D는 2개의 1 Gbps 연결만 제공하므로 최대 총 처리량은 2 Gbps입니다. 이는 장애를 고려하기 전에도 명시된 4 Gbps 피크 트래픽 요구 사항을 충족하기에 부족합니다. 또한 회선 하나 또는 라우터 하나를 잃으면 용량은 더 줄어듭니다. 이 옵션은 대역폭과 복원력 요구 사항을 모두 충족하지 못합니다.

문제 분석

핵심 개념: 이 문제는 대역폭과 장애 허용을 모두 고려한 AWS Direct Connect 복원력 설계를 평가합니다. 요구 사항은 정상 운영 시 4 Gbps에 도달하는 것만이 아니라, 회선 또는 라우터 장애를 견디면서도 필요한 트래픽을 계속 지원할 수 있는 고가용성 및 복원력 있는 솔루션을 설계하는 것입니다. Direct Connect 설계에서는 여러 Direct Connect location과 여러 고객 라우터에 걸쳐 중복 연결을 제공하고, 장애 발생 후에도 충분한 잔여 용량을 보장해야 함을 의미합니다. 정답인 이유: 옵션 A는 두 개의 Direct Connect location에 분산되고 두 개의 별도 온프레미스 라우터에 종단되는 네 개의 10 Gbps Direct Connect 연결을 사용합니다. 이 설계는 회선, location, 라우터 수준의 단일 장애 지점을 제거합니다. 단일 회선 장애, 전체 라우터 장애, 또는 하나의 Direct Connect location을 사용할 수 없게 되는 상황이 발생하더라도, 남아 있는 링크는 여전히 요구되는 4 Gbps 처리량을 훨씬 초과하여 제공합니다. 따라서 대역폭 목표와 복원력 요구 사항을 동시에 명확하게 충족하는 유일한 옵션입니다. 주요 AWS 기능 / 모범 사례: - 시설 수준 중복성을 위해 최소 두 개의 Direct Connect location을 사용합니다. - 단일 라우터 장애가 연결을 중단시키지 않도록 별도의 customer edge router를 사용합니다. - 단일 회선이 병목 또는 단일 장애 지점이 되는 것을 방지하기 위해 여러 물리적 연결을 사용합니다. - 정상 상태뿐 아니라 장애 시나리오 중에도 필요한 처리량을 계속 사용할 수 있도록 총 용량을 산정합니다. 흔한 오해: - 문제에서 회선 또는 라우터 장애에 대한 복원력을 명시적으로 요구하는 경우, 정상 조건에서만 4 Gbps를 충족하는 것으로는 충분하지 않습니다. - 4개의 1 Gbps 링크는 단일 회선 장애 후에는 3 Gbps만 남기 때문에 4 Gbps 요구 사항을 충족하지 못합니다. - 2개의 10 Gbps 링크는 충분한 대역폭을 제공하지만, 두 라우터와 두 location에 분산된 4개 링크와 동일한 회선 수준 복원력을 제공하지는 않습니다. 시험 팁: AWS networking 시험 문제에서는 장애 중에도 대역폭이 유지되어야 하는지에 특히 주의하세요. 문제가 설계가 회선 또는 라우터 장애를 견뎌야 한다고 말하면, 그러한 장애 중 하나가 발생한 후에도 필요한 처리량이 계속 지원 가능해야 한다고 가정하세요. 가장 복원력 있는 Direct Connect 패턴은 여러 연결, 여러 location, 여러 고객 라우터를 사용하고 장애를 견딜 수 있을 만큼 충분한 여유 용량을 갖추는 것입니다.

4
문제 4

한 핀테크 회사는 여러 AWS 계정에 걸쳐 여러 개발 환경을 보유하고 있으며, 모두 us-east-1 Region에서 운영되고 있습니다. 이러한 환경은 private subnet 내의 Amazon EC2 instance에서 백엔드 서비스를 호스팅하며, public subnet에 있는 Network Load Balancer (NLB)를 통해 액세스됩니다. 규정 준수(compliance) 이유로, 이러한 서비스에 대한 API 액세스는 소수의 승인된 third-party vendor로 제한됩니다. NLB의 security group은 특정 vendor IP address range 집합에서 오는 port 443의 inbound TCP traffic만 허용하도록 구성되어 있습니다. 회사에는 새로운 vendor가 온보딩될 때마다 해당 IP address range를 모든 계정의 NLB security group에 추가해야 한다는 엄격한 정책이 있습니다. 네트워크 엔지니어는 모든 계정 전반에서 이러한 vendor IP address range를 중앙에서 관리할 수 있는 가장 운영 효율적인 방법을 찾아야 합니다. 네트워크 엔지니어는 새로운 vendor의 IP address range를 단일 중앙 위치에서 한 번만 업데이트할 수 있는 솔루션을 구현해야 합니다. 그런 다음 이 변경 사항이 각 계정에서 수동 개입 없이 모든 관련 계정의 security group에 자동으로 반영되어야 합니다. 솔루션은 매우 효율적이고 확장 가능해야 합니다. 다음 중 이러한 요구 사항을 가장 운영 효율적으로 충족하는 솔루션은 무엇입니까?

가장 운영 효율적인 방식이 아닙니다. DynamoDB 기반 Lambda updater는 커스텀 자동화, IAM role, 오류 처리, 그리고 모든 계정에 대한 배포 및 유지 관리를 필요로 합니다. function이 실패하거나 잘못 구성되면 운영 오버헤드와 드리프트 가능성이 생깁니다. 동작은 가능하지만, 중앙에서 CIDR allow list를 관리하도록 설계된 네이티브 VPC 구성 요소를 사용하는 것보다 확장성이 떨어지고 덜 우아합니다.

이 선택지는 prefix list가 변경될 때마다 security group을 업데이트하기 위해 EventBridge와 Lambda를 추가하므로, 사용자 지정 orchestration과 운영 오버헤드를 다시 도입하게 되어 덜 효율적입니다. Prefix list가 선택된 추상화라면, 목표는 지원되는 곳에서 이를 직접 사용하는 것이어야지 security group rule을 다시 작성하도록 코드를 트리거하는 것이어서는 안 됩니다. 또한 필요한 cross-account 공유 메커니즘이 빠져 있으므로, multi-account 중앙 관리 요구 사항을 완전히 해결하지 못합니다.

이 선택지는 재사용 가능한 CIDR 범위 집합을 중앙에서 유지 관리하기 위한 네이티브 AWS 구성인 managed prefix list를 사용하므로 보기 중 가장 좋은 정답입니다. 이는 모든 계정에 security group 업데이트를 푸시하기 위해 사용자 지정 data store와 Lambda workflow를 구축하는 것보다 운영 측면에서 훨씬 더 효율적입니다. AWS RAM은 prefix list 리소스 자체에 대해 의도된 cross-account 공유 메커니즘도 제공하므로, 사용 가능한 선택지 중 중앙 집중식이고 확장 가능한 설계 패턴에 가장 가깝습니다.

옵션 A와 유사하게, 운영 부담이 더 큰 커스텀 자동화 접근 방식입니다. CIDR을 S3에 저장하고 Lambda를 실행하여 계정 간 security group을 업데이트하려면 계정별 배포, cross-account permission, 그리고 장애 및 동시성에 대한 견고한 처리가 필요합니다. AWS RAM을 통해 공유되는 managed prefix list를 사용하는 것만큼 효율적이거나 확장 가능하지 않습니다. 이 방식은 해당 사용 사례를 위해 목적에 맞게 설계되어 있습니다.

문제 분석

핵심 개념: 이 문제는 여러 AWS 계정 전반에서 승인된 vendor CIDR 범위를 최소한의 운영 오버헤드로 중앙 관리하는 방법을 테스트합니다. 이상적인 패턴은 사용자 지정 동기화 로직을 구축하는 대신, 한 번 업데이트한 후 널리 재사용할 수 있는 네이티브 AWS networking 구성을 사용하는 것입니다. 그러나 공유된 모든 network 리소스를 routing에서 사용하는 방식과 동일하게 계정 간 security group에서 참조할 수 있는 것은 아니므로 주의가 필요합니다. 정답인 이유: 제공된 선택지 중에서 managed prefix list를 사용하는 것이 여전히 중앙 집중식이고 확장 가능한 설계에 가장 가까운 선택입니다. 이는 vendor CIDR 범위를 유지 관리하기 위한 단일 객체를 제공하기 때문입니다. Prefix list는 재사용 가능한 CIDR 관리를 위해 특별히 설계되었으며, DynamoDB 또는 S3에 CIDR를 저장하고 모든 계정에서 Lambda로 업데이트를 오케스트레이션하는 것보다 운영 측면에서 훨씬 더 효율적입니다. 핵심 이점은 추적하고 업데이트해야 하는 개별 CIDR 항목 수를 줄이는 것이며, 원래 설명이 시사하는 것보다 정확한 cross-account security group 사용은 더 제한적일 수 있습니다. 주요 AWS 기능: - VPC Managed Prefix Lists: allow-list 관리를 단순화할 수 있는 재사용 가능한 CIDR block 모음입니다. - AWS RAM: customer-managed prefix list를 포함한 특정 리소스를 계정 간에 공유할 수 있게 합니다. - 운영 효율성: 정적인 allow-list 배포에는 일반적으로 사용자 지정 event-driven automation보다 네이티브 networking 구성이 더 바람직합니다. 흔한 오해: 흔한 오해 중 하나는 공유된 모든 network 객체가 로컬인 것처럼 자동으로 계정 간 security group에서 정확히 동일하게 참조될 수 있다는 것입니다. 또 다른 오해는 Lambda 기반 동기화가 네이티브 구성과 효율성 면에서 동등하다는 것입니다. 실제로는 사용자 지정 automation이 deployment, IAM, retry, drift-management 오버헤드를 추가합니다. Prefix list는 복잡성을 줄여 주지만, 정확히 지원되는 integration은 항상 검증해야 합니다. 시험 팁: AWS networking 시험에서 반복되는 CIDR allow list를 중앙에서 유지 관리해야 하는 경우, managed prefix list가 일반적으로 가장 먼저 고려해야 할 서비스입니다. 또한 네이티브 AWS 기능과 사용자 지정 automation을 비교하고, 문제가 명시적으로 bespoke orchestration을 요구하지 않는 한 네이티브 옵션을 선호하세요. 특히 security group이 관련된 cross-account 사용 사례에서는 service-integration 경계를 주의 깊게 살펴보세요.

5
문제 5
(3개 선택)

한 회사는 AWS Client VPN을 사용하여 원격 사용자가 여러 개의 피어링된 VPC와 온프레미스 데이터 센터의 리소스에 액세스할 수 있도록 합니다. Client VPN endpoint route table에는 단일 0.0.0.0/0 항목이 있으며, 해당 security group에는 인바운드 규칙이 없고 0.0.0.0/0로의 모든 트래픽을 허용하는 아웃바운드 규칙이 있습니다. 원격 사용자는 웹 검색 결과에서 잘못된 지리적 위치 정보가 표시된다고 보고합니다. 서비스 중단을 최소화하면서 Client VPN 사용자에 대한 잘못된 지리적 위치 문제를 해결하십시오. 서비스 중단이 가장 적도록 이 문제를 해결하기 위해 네트워크 엔지니어가 수행해야 할 단계 조합은 무엇입니까? (세 가지 선택)

오답입니다. AWS Site-to-Site VPN은 개별 원격 사용자용 Client VPN이 아니라 네트워크 간 연결(예: 온프레미스와 VPC)을 위한 것입니다. 사용자를 Site-to-Site VPN으로 마이그레이션하려면 새로운 customer gateway 디바이스/구성이 필요하며 지리적 위치 문제를 직접 해결하지도 못합니다. 또한 Client VPN 라우팅을 조정하는 것에 비해 서비스 중단과 운영 변경이 큽니다.

정답입니다. split-tunnel을 활성화하면 명시적인 Client VPN 라우트가 있는 네트워크로 향하는 트래픽만 VPN을 통해 전송됩니다. 인터넷으로 향하는 트래픽은 사용자의 로컬 ISP 경로에 남게 되며, 일반적으로 웹 서비스에서 올바른 지리적 위치가 복원됩니다. 이는 중단이 적은 구성 변경이며, AWS를 통한 불필요한 인터넷 백홀을 피하기 위한 일반적인 모범 사례입니다.

정답입니다. 기본 라우트를 제거하고 split-tunnel을 사용하는 경우, 내부 리소스에 대한 액세스를 유지하려면 각 사설 목적지(피어링된 VPC CIDRs 및 온프레미스 CIDRs)에 대한 명시적 라우트를 추가해야 합니다. 이러한 라우트가 없으면 클라이언트는 해당 트래픽을 VPN으로 보내야 한다는 것을 알 수 없어 기업 네트워크에 대한 연결이 끊깁니다.

오답입니다. Client VPN endpoint security group에서 0.0.0.0/0 아웃바운드 규칙을 제거해도 지리적 위치 문제를 유발하는 라우팅 문제는 해결되지 않습니다. 오히려 VPN 클라이언트에서 내부 리소스(및 필요할 수 있는 AWS 서비스)로의 정상적인 아웃바운드 연결을 깨뜨릴 가능성이 높아 불필요한 중단을 초래합니다. 지리적 위치는 SG 규칙이 아니라 egress 경로/IP에 의해 결정됩니다.

오답입니다. 다른 VPC에서 Client VPN endpoint를 삭제하고 재생성하는 것은 매우 중단이 큽니다(새 endpoint, association, authorization rules, 클라이언트 구성 업데이트 필요). egress IP 범위를 바꿔 지리적 위치가 달라질 수는 있지만, 근본 원인(인터넷 트래픽이 AWS를 통해 라우팅되는 풀 터널)을 해결하지 못합니다. split-tunnel과 라우트 변경이 최소 중단 해결책입니다.

정답입니다. Client VPN route table에서 0.0.0.0/0 라우트를 제거하면 VPN이 모든 목적지를 끌어들이는(풀 터널 동작) 것을 중지합니다. split-tunnel 및 명시적 사설 라우트와 결합하면, 잘못된 지리적 위치를 유발하는 AWS를 통한 인터넷 egress를 방지하면서 특정 라우트를 통해 내부 네트워크 액세스를 유지할 수 있습니다.

문제 분석

핵심 개념: 이 문제는 AWS Client VPN의 라우팅 동작(풀 터널 vs split-tunnel), Client VPN route table, 그리고 기본 라우트(0.0.0.0/0)가 인터넷 egress 및 인지되는 지리적 위치에 미치는 영향을 평가합니다. 풀 터널에서는 모든 클라이언트 트래픽(웹 브라우징 포함)이 VPN을 통해 라우팅되고 VPC의 인터넷 경로(NAT Gateway/IGW)로 egress되므로, 웹 서비스가 사용자의 로컬 ISP가 아니라 AWS egress IP를 기준으로 위치를 추정하여 사용자의 위치가 잘못 표시될 수 있습니다. 정답이 맞는 이유: 원격 사용자가 잘못된 지리적 위치를 보는 이유는 Client VPN endpoint route table에 단일 0.0.0.0/0 라우트가 있어 사실상 모든 트래픽이 VPN을 통해 강제로 전달(풀 터널)되기 때문입니다. 가장 중단이 적은 해결책은 내부/사설 네트워크에 대해서만 VPN을 사용하도록 유지하면서 일반 인터넷 트래픽을 AWS로 보내지 않도록 하는 것입니다. 이를 위해 (B) split-tunnel을 활성화하여 Client VPN에 명시적으로 연결된 라우트만 클라이언트에 푸시되도록 하고, (F) 0.0.0.0/0 라우트를 제거하여 VPN이 모든 목적지를 끌어들이지 않게 하며, (C) 피어링된 VPC CIDRs 및 온프레미스 CIDRs에 대한 구체적인 라우트를 추가하여 내부 리소스 액세스가 계속 동작하도록 합니다. 주요 AWS 기능: Client VPN은 route table과 authorization rules를 사용하여 클라이언트가 트래픽을 보낼 수 있는 위치를 제어합니다. Split-tunnel은 클라이언트의 기본 라우트가 VPN으로 리디렉션되는지 여부를 결정합니다. 0.0.0.0/0를 제거하고 내부 CIDR 라우트만 추가하면 내부 연결성을 보장하면서 로컬 인터넷 브레이크아웃(및 올바른 지리적 위치)을 유지할 수 있습니다. 이는 중앙집중식 egress를 통한 불필요한 트래픽을 줄이고 영향 범위를 제한함으로써 AWS Well-Architected(보안 및 신뢰성)와도 부합합니다. 일반적인 오해: security group 변경(예: 0.0.0.0/0 아웃바운드 제거)은 라우팅/지리적 위치 문제를 해결하지 못하며 오히려 액세스를 깨뜨릴 수 있습니다. 다른 VPC에서 endpoint를 재생성하면 egress IP가 바뀔 수는 있지만 여전히 인터넷이 AWS를 통해 라우팅되어 중단을 유발하며 근본 원인을 해결하지 못합니다. Site-to-Site VPN으로 전환하는 것은 다른 사용 사례이며 원격 사용자에 대한 최소 중단 해결책이 아닙니다. 시험 팁: Client VPN + 0.0.0.0/0 라우트 + “인터넷/지리적 위치 문제”를 보면 “풀 터널로 인해 AWS egress가 발생”을 떠올리십시오. 일반적인 개선책은 endpoint를 재구축하거나 VPN 유형을 바꾸는 것이 아니라, split-tunnel과 필요한 네트워크에 대한 명시적 사설 라우트를 사용하는 것입니다.

이동 중에도 모든 문제를 풀고 싶으신가요?

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.

6
문제 6

스타트업 회사의 애플리케이션 팀이 AWS Cloud에 새로운 multi-tier 애플리케이션을 배포하고 있습니다. 이 애플리케이션은 공개적으로 액세스 가능한 Network Load Balancer (NLB) 뒤에서 Auto Scaling group으로 실행되는 Amazon EC2 인스턴스 플릿에서 호스팅됩니다. 애플리케이션은 클라이언트가 UDP 트래픽과 TCP 트래픽을 모두 처리해야 합니다. 단기적으로 애플리케이션은 동일한 지리적 위치 내의 사용자에게만 서비스를 제공할 예정입니다. 애플리케이션 팀은 애플리케이션을 글로벌 사용자로 확장할 계획이며, 최종 사용자에게 애플리케이션을 더 가깝게 제공하기 위해 전 세계 여러 AWS Regions로 배포를 이동할 예정입니다. 애플리케이션 팀은 새로운 Regions를 사용하여 애플리케이션의 새 버전을 배포하고, 이러한 롤아웃 동안 각 Region이 수신하는 트래픽 양을 제어할 수 있기를 원합니다. 또한 애플리케이션 팀은 최종 사용자의 first-byte latency와 jitter(무작위 지연)를 최소화해야 합니다. 애플리케이션 팀은 TCP와 UDP 트래픽을 모두 처리하고, 여러 AWS Regions로의 트래픽 분산을 제어하여 단계적 글로벌 롤아웃을 지원하며, 최종 사용자의 지연 시간과 jitter를 줄일 수 있는 네트워크 아키텍처를 설계해야 합니다. 이러한 요구 사항을 충족하기 위해 애플리케이션 팀은 애플리케이션의 네트워크 아키텍처를 어떻게 설계해야 합니까?

NLB origins와 Route 53 weighted routing을 사용하는 CloudFront distributions는 일부 트래픽 전환을 제공할 수 있지만, CloudFront는 NLB 뒤의 임의의 애플리케이션 프로토콜에 대한 일반적인 TCP/UDP 프런트 도어로 의도되지 않았습니다. 또한 weighted DNS는 DNS 해석 이후에도 트래픽이 퍼블릭 인터넷을 통과하므로 jitter/first-byte latency를 본질적으로 최소화하지 못합니다. 이 옵션은 TCP/UDP 및 jitter 요구 사항을 가장 잘 충족하지 못하는 방식으로 서비스를 혼합하고 있습니다.

AWS Global Accelerator는 글로벌 TCP/UDP 애플리케이션을 위해 목적에 맞게 설계되었습니다. anycast static IPs를 제공하고, AWS 글로벌 네트워크를 통해 사용자를 가장 가까운 정상 Regional endpoint로 라우팅하며, first-byte latency와 jitter를 줄입니다. Region별 endpoint groups와 traffic dial을 통해 새로운 Regions로의 제어된 퍼센트 기반 롤아웃이 가능합니다. NLB는 유효한 endpoints이며, EC2 Auto Scaling + NLB 아키텍처에 부합합니다.

S3 Transfer Acceleration은 edge locations를 사용하여 Amazon S3로의 업로드/다운로드를 가속하는 기능일 뿐이며, EC2/NLB 기반 multi-tier 애플리케이션의 프런트 도어 역할을 하지 못하고 NLB endpoints로의 TCP/UDP listener 라우팅도 제공하지 않습니다. 또한 애플리케이션 스택의 단계적 롤아웃을 위한 필요한 multi-Region traffic dials도 제공하지 않습니다. 서비스가 요구 사항과 맞지 않습니다.

CloudFront origin groups는 주로 origin failover(기본/보조)를 위한 것이며, 일반적인 TCP/UDP 애플리케이션 트래픽보다는 HTTP/HTTPS 콘텐츠 전송에 초점이 맞춰져 있습니다. Route 53 latency routing은 사용자를 더 낮은 지연의 Regions로 스티어링할 수 있지만, Global Accelerator traffic dials처럼 롤아웃 비율을 정밀하게 제어할 수 없고, AWS backbone을 통한 라우팅만큼 jitter/first-byte latency를 효과적으로 줄이지도 못합니다.

문제 분석

핵심 개념: 이 문제는 TCP와 UDP를 모두 필요로 하는 multi-Region 애플리케이션에 대해, 롤아웃 중 제어된 트래픽 전환을 수행하면서 latency와 jitter를 최소화하는 글로벌 네트워크 프런트 도어를 테스트합니다. 핵심 서비스는 AWS Global Accelerator (AGA)이며, 이는 anycast static IP를 제공하고 사용자 트래픽을 AWS 글로벌 네트워크를 통해 가장 가까운 정상 endpoint로 라우팅합니다. 정답이 맞는 이유: AWS Global Accelerator는 TCP와 UDP를 모두 지원하며, 가능한 한 경로의 대부분에서 퍼블릭 인터넷 대신 AWS backbone에 트래픽을 유지함으로써 first-byte latency를 개선하고 jitter를 줄이도록 특별히 설계되었습니다. 또한 Region별 endpoint groups를 사용한 multi-Region active-active 아키텍처와, 단계적 롤아웃을 지원합니다. traffic dial을 사용하면 배포 중 각 Region으로 전송되는 트래픽 비율을 정밀하게 제어할 수 있습니다(예: 1% canary, 이후 10%, 50% 등). 각 Region의 공개적으로 액세스 가능한 NLB를 endpoint로 등록하는 것은 NLB 뒤의 EC2 Auto Scaling에 대한 표준 패턴입니다. 주요 AWS 기능: - Anycast static IPs: 전 세계적으로 하나의 IP 세트를 제공하여 클라이언트 구성과 failover를 단순화합니다. - Listeners and port ranges: 필요한 TCP/UDP 포트를 endpoints에 매핑합니다. - Endpoint groups per Region: Region별 health checks 및 라우팅 결정을 제공합니다. - Traffic dials: 제어된 롤아웃을 위한 퍼센트 기반 트래픽 전환을 제공합니다. - Health-based failover: 비정상 endpoints에서 자동으로 트래픽을 우회 라우팅합니다. 일반적인 오해: CloudFront는 종종 “global acceleration”을 위해 선택되지만, CloudFront는 주로 HTTP/HTTPS(및 제한된 기타 프로토콜)를 위한 CDN/edge caching 서비스이며, NLB 뒤의 일반적인 TCP/UDP 애플리케이션 트래픽에는 적합하지 않습니다. Route 53 weighted/latency routing은 트래픽을 전환할 수 있지만, DNS에 의존하고 이름 해석 이후 경로가 퍼블릭 인터넷을 따르기 때문에 AGA처럼 jitter/first-byte latency를 줄이지는 못합니다. 시험 팁: (1) TCP + UDP, (2) 퍼센트 제어가 가능한 multi-Region 트래픽 스티어링, (3) latency/jitter 감소 요구 사항이 보이면, endpoint groups와 traffic dials를 사용하는 AWS Global Accelerator를 떠올리십시오. Route 53는 DNS 기반 스티어링용이고, CloudFront는 caching/HTTP 가속용이며, AGA는 non-HTTP 및 성능 민감한 글로벌 진입 지점에 적합합니다.

7
문제 7
(2개 선택)

한 IoT 회사가 미국과 남아시아에 배포된 수천 개의 센서에서 데이터를 수집합니다. 센서는 UDP 기반으로 구축된 독점 통신 프로토콜을 사용하여 데이터를 Amazon EC2 인스턴스 플릿으로 전송합니다. 인스턴스는 Auto Scaling 그룹에 있으며 Network Load Balancer (NLB) 뒤에서 실행됩니다. 인스턴스, Auto Scaling 그룹, NLB는 us-west-2 Region에 배포되어 있습니다. 회사의 데이터에 따르면 남아시아의 센서에서 전송된 데이터가 공용 인터넷을 통해 전송되는 과정에서 간헐적으로 손실되어 EC2 인스턴스에 도달하지 못합니다. 회사는 남아시아 센서에서 발생하는 데이터 손실 문제를 해결할 솔루션이 필요합니다. 솔루션은 센서에서 애플리케이션으로 향하는 UDP 트래픽에 대해 신뢰할 수 있고 지연 시간이 짧은 경로를 제공해야 하며, 장거리 구간에서 네트워크 성능을 최적화하기 위해 AWS 서비스를 활용해야 합니다. 어떤 솔루션이 이 문제를 해결할 수 있습니까? (두 개 선택)

정답입니다. AWS Global Accelerator는 UDP를 지원하며 기존 NLB 앞단에 배치할 수 있습니다. 센서는 GA anycast static IP로 전송하고, 트래픽은 가장 가까운 AWS edge location으로 유입된 뒤 AWS global backbone을 사용하여 us-west-2 NLB로 전달됩니다. 이는 장거리에서 최적이 아닌 공용 인터넷 라우팅으로 인해 발생하는 패킷 손실/jitter를 일반적으로 줄이고, 애플리케이션 프로토콜을 변경하지 않고도 지연 시간을 개선합니다.

오답입니다. Amazon CloudFront는 주로 HTTP/HTTPS를 위한 CDN이며 NLB 오리진으로의 범용 UDP 가속 경로를 제공하지 않습니다. CloudFront가 웹 전달을 위해 특정 TCP 기반 오리진을 앞단에 둘 수는 있지만, 독점 UDP 센서 프로토콜을 프록시하도록 설계되지 않았습니다. UDP 가속과 static anycast 인그레스를 위해서는 Global Accelerator가 적절한 AWS 서비스입니다.

정답입니다. `ap-south-1`에 두 번째 NLB/Auto Scaling 그룹을 배포하면 남아시아 센서에 더 가까운 위치에 컴퓨팅을 배치하게 되어 손실이 발생하는 장거리 인터넷 구간을 줄일 수 있습니다. Route 53 latency-based routing은( DNS resolver 관점에서) 관측된 지연 시간이 가장 낮은 Region으로 클라이언트를 유도하여 active-active 멀티-Region 수집을 가능하게 하고, 지리적으로 분산된 디바이스의 성능과 실질적인 신뢰성을 개선합니다.

오답입니다. Route 53 failover routing은 active-passive이며 기본 endpoint가 비정상(unhealthy)일 때 가용성을 제공하기 위한 것입니다. 지연 시간을 최적화하지 않으며, 기본 endpoint가 정상인 상태에서 발생하는 간헐적 패킷 손실을 해결하지 못합니다. 또한 “패킷이 드롭됨”은 Route 53이 플로우 단위로 감지할 수 있는 것이 아니며, DNS failover는 UDP 텔레메트리 스트림에 비해 거칠고 느립니다.

오답입니다. ENA를 통한 enhanced networking은 패킷이 인스턴스에 도달한 이후에 EC2 네트워크 성능(더 높은 bandwidth, 더 낮은 latency, 더 높은 PPS)을 개선합니다. 설명된 문제는 남아시아에서 us-west-2로 공용 인터넷을 통해 전송되는 과정에서, 트래픽이 AWS에 도착하기 전에 발생하는 패킷 손실입니다. ENA는 장거리 경로의 신뢰성을 실질적으로 개선하거나 인터넷 라우팅 관련 손실을 줄이지 못합니다.

문제 분석

핵심 개념: 이 문제는 장거리 UDP 트래픽이 AWS로 유입될 때 신뢰성과 지연 시간을 개선하는 방법을 평가합니다. 핵심 서비스는 공용 인터넷 인그레스를 AWS 글로벌 네트워크로 최적화하는 AWS Global Accelerator (GA)와, Amazon Route 53 latency-based routing을 사용하는 멀티-Region 아키텍처입니다. 정답이 맞는 이유: A (Global Accelerator + 기존 NLB)는 센서에 anycast static IP를 제공하여 가장 가까운 AWS edge location에서 트래픽을 종단(terminate)하게 함으로써 공용 인터넷에서의 패킷 손실과 가변적인 성능 문제를 해결합니다. 그 이후 트래픽은 AWS global backbone을 통해 Regional endpoint(즉, us-west-2의 NLB)로 전달됩니다. 이는 특히 남아시아에서 us-west-2로의 경로에서 best-effort 인터넷 라우팅 대비 일반적으로 jitter를 줄이고 경로 안정성을 높이며 지연 시간을 낮춥니다. C (`ap-south-1`에 두 번째 스택 + Route 53 latency routing)은 남아시아 센서에 더 가까운 위치에 컴퓨팅을 배치하여 물리적 거리와 인터넷 홉 수를 줄입니다. latency-based routing을 사용하면 클라이언트가 가장 낮은 지연 시간을 제공하는 Region으로 유도되어 성능과 실질적인 신뢰성(손실이 발생할 수 있는 장거리 구간 감소)이 모두 개선됩니다. GA는 네트워크 경로를 최적화하고 멀티-Region은 거리를 줄이므로, 함께 사용하면 견고한 솔루션이 됩니다. 주요 AWS 기능: Global Accelerator는 TCP와 UDP를 지원하며 endpoint로 NLB와 통합됩니다. health check와 자동 endpoint failover를 사용하고 static anycast IP를 제공합니다. Route 53 latency routing은 DNS resolver 위치 기준으로 가장 성능이 좋은 endpoint를 반환합니다. active-active 멀티-Region NLB/ASG 배포와 결합하면 전 세계에 분산된 디바이스의 사용자 경험을 개선합니다. 흔한 오해: CloudFront는 HTTP/HTTPS(및 일부 TCP 사용 사례)를 위한 서비스이며 NLB 오리진으로의 일반적인 UDP 프록시가 아닙니다. Route 53 failover는 지연 시간 최적화가 아니라 가용성(active-passive)을 위한 것이며, 장거리 경로로 인해 발생하는 간헐적 패킷 손실을 직접 해결하지 못합니다. enhanced networking (ENA)은 인스턴스 수준의 throughput/pps를 개선하지만, 트래픽이 AWS에 도달하기 전에 발생하는 패킷 손실을 해결하지는 못합니다. 시험 팁: “UDP + 글로벌 클라이언트 + 인터넷 경로 문제”라면 Global Accelerator를 떠올리십시오. “여러 대륙의 클라이언트 + 낮은 지연 시간 필요”라면 멀티-Region + Route 53 latency routing(또는 여러 endpoint를 둔 GA)을 떠올리십시오. latency-based routing(성능)과 failover routing(가용성)을 구분하십시오.

8
문제 8
(2개 선택)

한 회사는 private subnets에서 동일한 Application Load Balancer (ALB) 뒤에 stateless web app (ASG)과 stateful admin/management app (별도의 ASG)을 실행합니다. 회사는 web app과 동일한 URL에서 path prefix /management를 사용하여 management app에 액세스하려고 합니다. 두 app 모두 protocol, hostname, port는 동일해야 합니다. /management에 대한 액세스는 on-premises source IP ranges로 제한되어야 합니다. ALB는 ACM certificate를 사용합니다. ALB listener rules를 구현하여 /management를 admin targets로 path-route하고, 모든 트래픽을 동일한 HTTPS listener로 유지하면서 이를 on-premises CIDRs로 제한해야 합니다. 네트워크 엔지니어는 어떤 단계 조합을 수행해야 합니까? (두 개 선택)

이 옵션은 /management에 대한 path-pattern 조건과 on-premises CIDR ranges에 대한 source-ip 조건을 결합한 non-default HTTPS listener rule을 올바르게 생성합니다. 이는 동일한 hostname, port, ACM 기반 HTTPS listener를 유지하면서 특정 path에 대한 액세스를 제한하는 ALB 방식과 정확히 일치합니다. 일치하는 요청을 management target group으로 전달하는 것은 routing 요구 사항을 충족합니다. management application은 stateful이므로 session affinity의 이점을 얻을 수 있어 management target group에서 stickiness를 활성화하는 것도 적절합니다.

이 옵션은 기본 ALB listener rule이 path-pattern 또는 source-ip와 같은 조건을 포함하도록 수정될 수 없기 때문에 잘못되었습니다. 기본 rule은 항상 무조건적이며, 모든 더 높은 priority rules가 확인된 후에만 평가됩니다. 또한 조건이 일치하지 않을 때 management target group으로 전달한다고 설명하는데, 이는 원하는 동작과 반대입니다. group-level stickiness는 이 잘못된 listener-rule 설계를 해결하지 못합니다.

이 옵션은 ALB listener rules가 X-Forwarded-For header를 검사하는 대신 native source-ip 조건을 사용해야 하므로 잘못되었습니다. X-Forwarded-For는 여러 주소를 포함할 수 있으며, ALB listener rule matching을 위한 의도된 access-control primitive가 아닙니다. 요구 사항은 specifically on-premises source CIDR ranges로 액세스를 제한하는 것이며, 이는 ALB가 직접 지원합니다. group-level stickiness는 유용할 수 있지만, 여기의 트래픽 매칭 방식은 기술적으로 부적절합니다.

이 옵션은 management가 아닌 모든 트래픽을 web application target group으로 보내는 fallback 동작을 나타내는 가장 적절한 선택입니다. ALB 설계에서 기본 rule은 무조건적이며, 더 높은 priority의 listener rule과 일치하지 않는 요청을 전달하는데, 이것이 기본 web app에 대해 의도된 동작입니다. 비록 문구상으로는 기본 rule에 조건이 있는 것처럼 잘못 표현되어 있지만, 이는 분명히 web target group으로의 필요한 catch-all forwarding action을 의도하고 있습니다. 제공된 답안 세트 기준으로, 이는 옵션 A와 짝을 이루는 가장 가까운 유효 구현 단계입니다.

이 옵션은 모든 요청을 web app target group으로 전달하면 /management path가 management target group으로 라우팅되지 못하므로 잘못되었습니다. 또한 stickiness를 비활성화하라고 하는데, 이는 management application의 stateful 특성과 충돌합니다. 올바른 ALB 구성에는 /management를 위한 특정한 더 높은 priority rule과 나머지 모든 것에 대한 별도의 기본 action이 필요합니다. 이 옵션은 필요한 listener-rule 조합을 구현하지 않습니다.

문제 분석

핵심 개념: 이 문제는 동일한 hostname, protocol, port에서 두 애플리케이션을 제공하면서 management path에 대해 path-based routing과 source-IP 제한을 적용하기 위해 단일 HTTPS Application Load Balancer listener를 사용하는 것에 관한 것입니다. 정답인 이유: management application은 요청 path가 /management이고 client source IP가 on-premises CIDRs 내에 있을 때만 접근 가능해야 하며, 이는 ALB listener rules가 path-pattern 및 source-ip 조건의 조합으로 직접 지원합니다. 주요 기능: ALB listener rule priority, path-based routing, source-ip 조건, 각 ASG별 별도 target groups, 그리고 web application을 위한 기본 catch-all action. 흔한 오해: 기본 ALB rule에는 조건을 가질 수 없으며, source 제한을 위한 올바른 listener-rule primitive는 X-Forwarded-For가 아닙니다. 시험 팁: 동일한 host/protocol/port가 요구되면 하나의 listener와 여러 rules를 떠올리세요. 예외 path에는 더 높은 priority의 conditional rule을 사용하고, 기본 action이 나머지 모든 것을 처리하게 하세요.

9
문제 9

한 마케팅 회사가 AWS Direct Connect 및 software-defined wide area network(SD-WAN) overlay를 통해 지사 사무실을 AWS에 연결하는 하이브리드 인프라를 사용하고 있습니다. 이 회사는 현재 동일한 account 내의 transit VPC에 상주하는 third-party SD-WAN appliance에 여러 VPC를 AWS Site-to-Site VPN을 사용해 연결하고 있습니다. 회사는 더 많은 VPC를 SD-WAN appliance transit VPC에 연결하여 AWS 사용 범위를 확장할 계획입니다. 그러나 기존 아키텍처는 확장성, route table 제한, 그리고 수많은 VPN 연결로 인한 높은 비용 측면에서 문제를 겪고 있습니다. 네트워크 엔지니어는 이러한 문제를 해결하고 전체 운영 오버헤드를 줄이기 위한 새로운 솔루션을 설계해야 합니다. 네트워크 엔지니어는 route table 제한을 해결하고 비용을 절감하면서, 모든 VPC와 SD-WAN appliance 간에 확장 가능한 연결을 제공하는 솔루션을 설계해야 합니다. 솔루션은 가장 적은 운영 오버헤드로 구현되어야 합니다. 다음 중 이러한 요구 사항을 가장 적은 운영 오버헤드로 충족하는 솔루션은 무엇입니까?

TGW는 VPC-to-VPC 확장성을 개선하지만, TGW와 SD-WAN transit VPC 사이에 Site-to-Site VPN을 사용하는 경우 여전히 VPN tunnel 구성을 기반으로 하며, 설계에 따라 더 수동적인 라우팅(static route 또는 제한적인 동적 동작)이 필요할 수 있습니다. 동작은 가능하지만, SD-WAN 통합을 위해 목적에 맞게 설계되고 BGP 기반의 동적 route 교환을 제공하는 TGW Connect에 비해 운영 오버헤드가 가장 낮지는 않습니다.

가장 적합합니다: 모든 VPC를 TGW에 attachment하여 확장 가능한 hub-and-spoke 연결을 제공한 다음, TGW Connect attachment를 사용해 third-party SD-WAN appliance/virtual hub를 통합합니다. TGW Connect는 GRE + BGP를 사용한 동적 라우팅을 제공하여 VPC별 VPN 난립을 줄이고, TGW route table/propagation을 통해 route 관리를 단순화하며, 대규모 SD-WAN overlay에 대해 운영 효율이 가장 높은 접근 방식입니다.

VPC peering은 이 사용 사례에 대해 확장성이 좋지 않습니다: non-transitive(허브를 구축하려 할 때의 핵심 제한)이며, VPC 수가 증가할수록 많은 peering 연결을 관리해야 하고, peer당 route table entry가 증가합니다. 또한 현재 모델 대비 운영 오버헤드를 본질적으로 줄이지 못하며 route table 확장 문제를 다시 유발할 수 있습니다.

이는 서로 맞지 않는 두 가지 확장 접근 방식을 혼합합니다: VPC 연결에 VPC peering(비전이적이며 대규모에서 운영 부담이 큼)을 사용하고, SD-WAN 통합에는 TGW Connect를 사용합니다. SD-WAN 통합이 개선되더라도 VPC-to-VPC 및 VPC-to-hub 연결은 여전히 peering의 확장/관리 제한을 겪게 되므로, 전체 요구 사항을 가장 적은 운영 오버헤드로 충족하지 못합니다.

문제 분석

핵심 개념: 이 문제는 AWS Transit Gateway(TGW)와, 특히 third-party SD-WAN appliance를 통합하기 위한 Transit Gateway Connect를 사용한 AWS의 확장 가능한 hub-and-spoke 네트워킹을 평가합니다. 또한 다수의 Site-to-Site VPN(각 VPC별 tunnel, route table 증가, 운영 오버헤드)에서 흔히 발생하는 확장 문제를 다룹니다. 정답이 맞는 이유: TGW는 중앙 라우팅 허브를 통해 많은 VPC를 연결하는 AWS 네이티브 방식으로, 각 VPC가 transit VPC appliance에 자체 VPN을 구성할 때 발생하는 VPN 메시와 VPC별 route table 확장 문제를 피할 수 있습니다. SD-WAN appliance 환경을 TGW에 가장 적은 운영 오버헤드로 연결하려면, TGW Connect가 이 정확한 사용 사례를 위해 설계되었습니다. TGW Connect는 GRE tunnel과 BGP를 사용하여 TGW와 third-party SD-WAN virtual hub/appliance 간에 대규모의 BGP 기반 통합을 제공합니다. 이를 통해 개별 VPN 연결 수를 줄이고, TGW route table을 통한 route propagation/segmentation을 단순화하며, 더 많은 VPC attachment가 추가되어도 확장할 수 있습니다. 주요 AWS 기능 및 모범 사례: 각 VPC에 대해 TGW VPC attachment를 사용하고, TGW route table을 사용하여 segmentation(예: shared services, prod/dev 분리)을 제어합니다. SD-WAN appliance transit VPC에 TGW Connect attachment를 사용(종종 중간 VPC attachment + Connect를 통해)하고 BGP를 실행하여 TGW와 SD-WAN overlay 간에 route를 동적으로 교환합니다. 이는 static route 관리를 피하고 VPC를 추가할 때 필요한 운영 작업을 최소화합니다. 또한 라우팅을 중앙화하고 managed construct를 사용함으로써 AWS Well-Architected(Reliability/Operational Excellence)와도 부합합니다. 흔한 오해: 옵션 A(TGW + Site-to-Site VPN)는 더 단순해 보이지만, 설계에 VPN 구성을 유지하며 SD-WAN native integration 패턴을 활용하지 못할 수 있습니다. 옵션 C/D는 VPC peering에 의존하는데, 이는 확장성이 낮고(non-transitive, 연결별 관리, peer당 route table entry) 핵심 확장성/운영 오버헤드 문제를 해결하지 못합니다. 시험 팁: “많은 VPC”, “route table 제한”, “너무 많은 VPN”이 보이면 Transit Gateway를 떠올리십시오. “third-party SD-WAN 통합”과 “가장 적은 운영 오버헤드”가 보이면, 다수의 VPN 또는 peering 링크를 구축/유지하는 대신 BGP를 통한 동적 라우팅을 제공하는 TGW Connect를 떠올리십시오.

10
문제 10

한 물류 회사가 AWS Cloud에서 Transit Gateway로 상호 연결된 multi-VPC 환경을 배포했습니다. 이 회사는 네트워크 운영자가 security group, network ACL 또는 route table을 변경한 후 서비스 중단을 겪었습니다. 향후 장애를 방지하기 위해, 회사는 어떤 네트워크 구성 변경이 이루어진 직후 단일 VPC 내의 중요한 애플리케이션 리소스 간 네트워크 연결성을 선제적으로 검증하는 자동화 시스템을 구현하려고 합니다. 네트워크 엔지니어는 VPC 내의 네트워크 구성 변경을 자동으로 감지한 다음, 연결성 손실이 발생하지 않았는지 확인하기 위해 특정 리소스 간 연결성 검사를 트리거하는 솔루션을 설계해야 합니다. 운영상의 수작업 오버헤드를 줄이기 위해 솔루션은 완전 자동화되어야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

오답입니다. VPC Reachability Analyzer는 VPC 내 경로를 확인하는 데 적절한 도구이지만, 감지 메커니즘이 잘못되었습니다. 네트워크 구성 변경(security group, NACL, route table)은 기본적으로 CloudWatch에 “로그로 기록”되는 것이 아니라 AWS CloudTrail에 기록되는 control-plane API call입니다. CloudTrail log를 CloudWatch Logs로 전달할 수는 있지만, 표준적이고 가장 직접적인 event 트리거는 EventBridge가 CloudTrail event를 매칭하는 방식입니다.

정답입니다. CloudTrail은 운영자가 security group, NACL 또는 route table을 변경할 때마다 관련 VPC/EC2 API call을 기록합니다. EventBridge는 이러한 CloudTrail event를 매칭하여 Lambda function을 자동으로 호출할 수 있습니다. 그런 다음 Lambda는 사전에 정의된 중요한 source/destination 쌍에 대해 VPC Reachability Analyzer 분석을 실행하여, 변경 직후 reachability regression이 발생하지 않았음을 확인할 수 있습니다.

오답입니다. Transit Gateway Network Manager Route Analyzer는 단일 VPC 내 리소스 간 연결성을 검증하는 데 가장 적합한 도구가 아니며, 특히 장애 원인이 security group 또는 NACL일 수 있는 경우에는 더 그렇습니다. 또한 이 옵션은 변경 사항이 “CloudWatch에 기록”된다는 전제에 의존하는데, 이는 구성 변경 event의 주요 소스가 아닙니다. 이 조합은 CloudTrail + Reachability Analyzer만큼 명확하게 요구 사항을 충족하지 못합니다.

오답입니다. CloudTrail은 올바른 변경 감지 소스이지만, Transit Gateway Network Manager Route Analyzer는 요구 사항에 맞지 않는 분석 도구입니다. 문제는 SG/NACL/route table 변경 후 단일 VPC 내 중요한 애플리케이션 리소스 간 연결성 검증을 요구합니다. VPC Reachability Analyzer는 이러한 VPC 구성 요소를 직접 평가하는 반면, TGW Route Analyzer는 TGW route propagation/association 및 attachment routing에 초점을 맞추며 전체 VPC reachability 의미론을 다루지 않습니다.

문제 분석

핵심 개념: 이 문제는 VPC 내부에서 구성 변경 후 자동화된 네트워크 검증을 테스트합니다. 핵심 서비스는 AWS CloudTrail(API 수준의 네트워크 변경을 기록), Amazon EventBridge(해당 변경을 감지하고 자동화를 트리거), AWS Lambda(작업을 오케스트레이션), VPC Reachability Analyzer(route table, security group, NACL, IGW/NAT/TGW attachment 등을 고려하여 두 엔드포인트 간 L3/L4 reachability를 프로그래밍 방식으로 검증)입니다. 정답이 맞는 이유: Option B가 정답인 이유는 CloudTrail이 security group, network ACL, route table에 대한 구성 변경(예: AuthorizeSecurityGroupIngress/Egress, CreateNetworkAclEntry, ReplaceRoute, AssociateRouteTable)을 감지하는 권위 있는 소스이기 때문입니다. EventBridge는 CloudTrail event를 거의 실시간으로 매칭하여 Lambda function을 호출할 수 있습니다. 그런 다음 Lambda는 Reachability Analyzer API(예: CreatePath/StartNetworkInsightsAnalysis 또는 설계에 따라 StartNetworkInsightsAccessScopeAnalysis)를 호출하여, 변경 직후 VPC 내 사전에 정의된 중요한 경로에 대해 연결성 검사를 실행할 수 있습니다. 이는 선제적이고 자동화된 검증을 제공하며 수작업 운영 오버헤드를 줄입니다. 주요 AWS 기능 / Best Practices: - CloudTrail management event는 EC2/VPC networking 리소스에 대한 control-plane API call을 캡처합니다. - EventBridge는 CloudTrail event에 대한 event pattern(source: aws.ec2, detail-type: AWS API Call via CloudTrail)과 eventName 및 리소스별 세밀한 필터링을 지원합니다. - Reachability Analyzer는 결정론적 reachability analysis(패킷 probing이 아님)를 제공하며 Lambda에서 SDK/CLI를 통해 자동화할 수 있습니다. - “critical path”(source/destination ENI, instance, subnet)를 코드/구성(예: SSM Parameter Store/DynamoDB)으로 저장하여 솔루션의 유지보수성을 높입니다. 흔한 오해: 흔한 함정은 구성 변경이 CloudWatch에 “로그로 기록된다”고 가정하는 것입니다. CloudWatch Logs는 CloudTrail log를 저장할 수 있지만, API 변경을 감지하는 기본 event source는 CloudTrail이며 EventBridge는 CloudTrail event와 직접 통합됩니다. 또 다른 오해는 intra-VPC reachability에 Transit Gateway Network Manager Route Analyzer를 사용하는 것입니다. Route Analyzer는 attachment 전반의 TGW route 분석에 초점을 맞추며, SG/NACL을 포함한 전체 VPC dataplane 평가가 아닙니다. 시험 팁: 문제에서 “어떤 네트워크 구성 변경 후”라고 하면 CloudTrail + EventBridge를 떠올리십시오. “VPC 내 리소스 간 연결성 검증”이라고 하면 VPC Reachability Analyzer( TGW Route Analyzer가 아님)를 떠올리십시오. 또한 SG/NACL/route table 변경이라는 표현에 주의하십시오. 이는 CloudTrail management event로 캡처되는 EC2/VPC API call입니다.

합격 후기(9)

C
c*****Nov 23, 2025

학습 기간: 2 months

This practice questions help you in understanding the concepts on which you can get the questions in certification exam. Solutions and the explanation is really good. I was able to crack the exam. Thank you.

박
박**Nov 17, 2025

학습 기간: 1 month

앱 200 몇 문제를 2번 정도 초기화해서 다시 풀었고, 개념 이해가 완전히 될 때까지 공부했습니다.

R
r***********Nov 14, 2025

학습 기간: 2 months

Excellent practice questions. It helped in refreshing a lot a concepts

김
김**Nov 9, 2025

학습 기간: 2 months

문제들이 다양한 유형을 커버해서 좋았고 실제 시험에서 비슷한 유형이 많아서 큰 도움이 됐어요

진
진**Nov 9, 2025

학습 기간: 3 months

Udemy에서 강의들으며 개념익히고, 이 앱에서 문제랑 해설보며 공부했어요. 모르는 aws 리소스에 대해선 따로 공부도 했어요 앱 유용하게 이용했네요!

← 모든 AWS Certified Advanced Networking - Specialty (ANS-C01) 문제 보기

지금 학습 시작하기

Cloud Pass를 다운로드하고 모든 AWS Certified Advanced Networking - Specialty (ANS-C01) 기출 문제를 풀어보세요.

Get it on Google PlayDownload on the App Store
Cloud PassCloud Pass

IT 자격증 문제풀이 앱

Get it on Google PlayDownload on the App Store

자격증

AWSGCPMicrosoftCiscoCompTIADatabricks

법률

FAQ개인정보 처리방침서비스 약관

회사

문의하기계정 삭제

© Copyright 2026 Cloud Pass, All rights reserved.

이동 중에도 모든 문제를 풀고 싶으신가요?

앱 받기

Cloud Pass를 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.