为什么软件VPN不利用现有的Direct连接？

Question

AWS高级网络专业的正式样本问题包含一个关于您的内部数据中心与AWS之间最具成本效益的连接的问题，以确保传输到VPC的数据的机密性和完整性(问题#7)。

正确的答案意味着通过直接连接连接在客户网关设备和虚拟私有网关之间建立托管VPN连接。

然而，答案列表中的一个可能的选项提供了一个软件VPN解决方案 (“在您的客户网关和VPC中的Amazon上的Amazon之间设置一个IPsec隧道”)。这个答案不正确的解释是：

它不会利用已经存在的直接连接

我的问题是:为什么这个软件VPN连接不利用已经存在的直流连接？这里的主要区别是什么？

Answer 1

选项1:问题是有缺陷的.

如果您在客户网关设备和通过直接连接互连的流量路由的EC2实例之间建立了一个隧道，那么您非常正确--流量将使用现有的直接连接连接。

另一方面，如果您通过Internet构建了从客户网关到EC2实例的隧道，那么流量当然不会使用Direct路由。

似乎有一个隐含的假设，即客户端的设备与EC2实例之间的隧道必然会穿越互联网，这是一个有缺陷的假设。

当然，本机解决方案可能比使用EC2的手动解决方案更可取的其他原因(例如，完全丢失AZ的生存或由于最终实例硬件故障而避免停机)，但这不是方案的一部分。

选项2.答案是错误的，原因与所提供的解释不同.

在撰写并反思了上述内容之后，我意识到可能有一个简单得多的解释：“它不会利用已经存在的直接连接连接”，这是拒绝这个答案的错误理由。

它必须以程序上的理由被拒绝，因为有选择3的指示。以下是另外两个正确的答案。

( A)设置虚拟专用网关的VPC。 C)在直接连接上配置公共虚拟接口。

您不需要使用这两种方法中的任何一种来实现您自己的IPSec隧道，该隧道位于直接连接的基础上和EC2之间。虚拟专用网关是AWS管理的VPN的AWS端，公共虚拟接口是必要的，以使从内部直接连接(除其他外，但它不是必要的，以访问VPC内部使用私有IP通过直接连接)之一。

我建议你选择的答案可能是不正确的，因为它不属于其他两个，而且所提供的解释完全没有意义，而且解释本身也是不正确的。