2025年AWS认证AmazonRDS只读副本的只读副本的VPC网络隔离与安全组配置专题试卷及解析.pdfVIP

2025年AWS认证AMAZONRDS只读副本的只读副本的VPC

2025年AWS认证AmazonRDS只读副本的只读副本的

VPC网络隔离与安全组配置专题试卷及解析

2025年AWS认证AmazonRDS只读副本的只读副本的VPC网络隔离与安全组

配置专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSRDS中，只读副本与主实例之间的网络通信必须满足什么条件？

A、必须位于同一个AWS区域

B、必须位于同一个VPC内

C、必须通过公网IP通信

D、必须使用相同的数据库引擎版本

【答案】B

【解析】正确答案是B。只读副本与主实例之间的复制通信必须通过VPC内网络

进行，确保数据传输的安全性和低延迟。选项A错误，因为跨区域复制也是支持的；选

项C错误，公网通信不安全且不必要；选项D错误，引擎版本可以略有差异但不是网

络要求。知识点：RDS复制网络要求。易错点：误以为必须同区域。

2、当为RDS只读副本配置安全组时，以下哪种做法最符合安全最佳实践？

A、允许所有入站流量

B、仅允许来自特定应用服务器的流量

C、仅允许来自主实例的流量

D、允许来自任何AWS服务的流量

【答案】B

【解析】正确答案是B。最小权限原则要求只开放必要的端口和来源。选项A和D

过于宽松；选项C错误，因为只读副本需要接受应用查询而非主实例。知识点：安全

组配置原则。易错点：混淆入站和出站规则。

3、在跨VPC场景下部署RDS只读副本时，应该使用哪种AWS服务实现网络连

接？

A、InternetGateway

B、NATGateway

C、VPCPeering

D、DirectConnect

【答案】C

【解析】正确答案是C。VPCPeering是连接不同VPC的标准方式。选项A和B

用于公网访问；选项D适用于本地数据中心连接。知识点：VPC互联方案。易错点：

忽略成本考虑选择DirectConnect。

2025年AWS认证AMAZONRDS只读副本的只读副本的VPC

4、只读副本的安全组规则中，必须允许的协议和端口是什么？

A、TCP3306（MySQL）

B、UDP53（DNS）

C、TCP443（HTTPS）

D、TCP22（SSH）

【答案】A

【解析】正确答案是A。MySQL默认使用3306端口。其他选项与数据库通信无关。

知识点：数据库端口配置。易错点：混淆不同服务的端口。

5、当只读副本位于私有子网时，如何实现外部访问？

A、分配弹性IP

B、配置NAT网关

C、通过堡垒机跳转

D、直接公网访问

【答案】C

【解析】正确答案是C。堡垒机提供安全的访问通道。选项A违反私有子网原则；

选项B用于出站而非入站；选项D不安全。知识点：私有子网访问方案。易错点：误

以为弹性IP可以随意分配。

6、RDS只读副本的网络隔离主要依赖哪个AWS组件？

A、IAM策略

B、VPC和子网

C、CloudWatch

D、Route53

【答案】B

【解析】正确答案是B。VPC提供网络层隔离。其他选项分别处理权限、监控和

DNS。知识点：网络隔离机制。易错点：混淆网络和权限控制。

7、在配置只读副本安全组时，应该优先考虑哪个方向的规则？

A、入站规则

B、出站规则

C、双向规则

D、无规则

【答案】A

【解析】正确答案是A。入站规则控制谁能访问数据库。出站规则通常保持默认允

许。知识点：安全组规则方向。易错点：忽略规则优先级。

8、当需要限制只读副本仅接受来自特定CIDR块的访问时，应该配置什么？

A、网络ACL

2025年AWS认证AMAZONRDS只读副本的只读副本的VPC

B、安全组规则

C、路由表

D、子网配置

【答案】B

【解析】正确答案是B。安全组支持IP地址级别的控制。选项ACL是子网级别的；

选项C