나를 위한 정리
RESTful API = API Gateway 사용
> API 는 API Gateway를 사용하여 전송
트랜잭션 삭제되는 문제 = SQS
잠시 고객 데이터를 저장하는 솔루션 = SQS.
Direct Connect 는 전용선 연결로, 온프레미스-AWS 간 통신, DataSync는 데이터 전송/마이그레이션에 사용되는 서비스
실시간 데이터 수집 = Kinesis Data Streams.
사용량 예측이 안되는 경우 -> 프로비저닝은 무의미 / 온디맨드 모드 사용
인증서 만료 확인 = AWS Config, 인증서 만료 알림 = Amazon EventBridge(Amazon CloudWatch Events)
수정하거나 삭제할 수 없음 = S3 Object Lock (S3 객체 잠금) = write-once-read-many(WORM) 모델을 통해 객체 저장 가능
사용자 자격 증명을 자주 바꿈 + 안전 = Secrets Managers
버전 관리 = 실수로 삭제 했을 때 이전 버전의 파일을 불러 올 수 있도록 해줌
MFA Delete = 함부로 삭제하지 못하게 막음
읽기 전용 복제본(read replica) = 쿼리 부하 분산
Lambda 함수는 메시지에 대한 SQS 대기열을 폴링하고 애플리케이션의 요구 사항에 따라 Amazon S3 이벤트 알림을 처리
SQS->Lambda->DynamoDB에 저장이라는 단순한 프로세스로 인해 운영 오버헤드도 매우 적음.
DynamoDB는 JSON 파일을 지원
S3 Gateway Endpoint 를 통해 EC2는 VPC 내에서 직접 S3 API에 액세스할 수 있으므로 트래픽이 인터넷을 통해 이동하지 못하도록 하는 보안 요구 사항을 충족합니다.
- Gateway Endpoint는 퍼블릭 인터넷망을 통과하지 않는 전용 연결. VPC용 인터넷 게이트웨이 또는 NAT 디바이스가 없어도 Amazon S3 및 DynamoDB에 대한 안정적인 연결을 제공합니다. 게이트웨이 엔드포인트는 AWS PrivateLink를 활성화하지 않습니다.
S3에 액세스하지만 다른 네트워크 액세스는 필요하지 않음 = S3 Gateway Endpoint.
Windows 파일 서버용 FSx = AWS Managed Microsoft AD와 통합하면 Windows 기반 애플리케이션 및 클라이언트(공유 파일 스토리지 활용)를 AWS로 쉽게 이동할 수 있는 완전 관리형 기본 Microsoft Windows 기반 서버 메시지 블록(SMB) 프로토콜 파일 시스템을 제공합니다.
> Lustre in the question is only available as FSx
고가용성 저장소 = S3
Lambda보다 KMS가 암호화 및 해독에 적합
감사 목적으로 기록되어야 함 = AWS KMS
프라이빗 서브넷에 있는 인스턴스가 외부 인터넷과 통신하기 위해선 NAT게이트웨이가 필요.
AWS Glue = 작업 실행의 상태 정보를 유지하여 ETL 작업의 이전 실행 중에 이미 처리된 데이터를 추적합니다. 이 지속된 상태 정보를 작업 북마크라고 합니다. 작업 북마크는 AWS Glue가 유지 관리하는 데 도움이 됩니다. 상태 정보를 제공하고 오래된 데이터의 재처리를 방지합니다
Q. 수천 개의 IP 주소에서 시작되는 대규모 DDoS 공격을 완화할 수 있는 솔루션을 구현해야 합니다. 다운타임은 웹사이트에 허용되지 않습니다.
A. AWS Shield Advanced를 사용하여 DDoS 공격을 차단
> AWS Shield Advanced 보호는 네트워크 트래픽에 대한 상시 작동, 흐름 기반 모니터링과 적극적인 애플리케이션 모니터링을 통해 의심되는 DDoS 공격에 대한 거의 실시간 알림을 제공합니다. 또한 AWS Shield Advanced는 공격을 자동으로 완화하기 위해 첨단 공격 완화 및 라우팅 기법을 적용합니다
A. 정적 및 동적 콘텐츠 모두에 Amazon CloudFront를 사용하도록 웹 사이트를 구성
Amazon S3는 웹 어디에서나 원하는 양의 데이터를 저장하고 검색할 수 있는 확장성과 내구성이 뛰어난 객체 스토리지 서비스
AWS Lambda는 이벤트에 대한 응답으로 코드를 실행하고 기본 컴퓨팅 리소스를 자동으로 관리하는 서버리스 컴퓨팅 서비스
AWS Fargate는 사용자가 Amazon EC2 인스턴스의 서버 또는 클러스터를 관리할 필요 없이 컨테이너를 실행할 수 있게 해주는 서버리스 컴퓨팅 엔진입니다. 사용자는 Amazon Elastic Container Service(Amazon ECS)에서 AWS Fargate를 사용하여 Service Auto Scaling으로 컨테이너화된 웹 애플리케이션을 실행할 수 있습니다.
Amazon ECS는 Docker와 Kubernetes를 모두 지원하는 완전관리형 컨테이너 오케스트레이션 서비스입니다. Service Auto Scaling은 사용자가 CPU 사용률 또는 요청 수와 같은 CloudWatch 지표를 기반으로 ECS 서비스에서 원하는 작업 수를 조정할 수 있는 기능입니다. 사용자는 Amazon ECS에서 AWS Fargate를 사용하여 애플리케이션을 컨테이너에 패키징하고 CPU 및 메모리 요구 사항을 지정하기만 하면 되므로 최소한의 코드 변경과 최소한의 개발 노력으로 애플리케이션을 AWS로 마이그레이션할 수 있습니다.
사용자는 Application Load Balancer를 사용하여 수신 요청을 분산할 수도 있습니다. Application Load Balancer는 애플리케이션 계층에서 작동하고 요청 내용에 따라 대상으로 트래픽을 라우팅하는 로드 밸런서입니다. 사용자는 ECS 작업을 Application Load Balancer의 대상으로 등록하고 경로 또는 호스트 헤더를 기반으로 요청을 다른 대상 그룹으로 라우팅하도록 리스너 규칙을 구성할 수 있습니다. 사용자는 Application Load Balancer를 사용하여 웹 애플리케이션의 가용성과 성능을 개선할 수 있습니다.
컨테이너화된 웹 응용 프로그램이 핵심. Fargate + ECS 조합인
ALB(Applicaton Load Balancer)
- 응용프로그램에 대한 HTTP 오류를 감지하려면 ALB(Applicaton Load Balancer)가 필요함을 유추
트랜잭션 삭제되는 문제 = SQS.
Direct Connect는 전용선 연결로 온프레미스-AWS 간 통신하는 것이고, DataSync는 데이터 전송/마이그레이션에 사용되는 서비스
* 데이터 마이그레이션 - 활성 데이터 세트를 네트워크를 통해 Amazon S3, Amazon EFS 또는 FSx for Windows File Server로 빠르게 이동합니다. DataSync에는 자동 암호화 및 데이터 무결성 검증이 포함되어 데이터가 안전하고 온전하며 사용할 준비가 되었는지 확인하는 데 도움이 됩니다.
"DataSync에는 암호화 및 무결성 검증이 포함되어 있어 데이터가 안전하고 온전하며 사용할 준비가 되었는지 확인하는 데 도움이 됩니다."
실시간 데이터 수집 = Kinesis Data Streams
정적 웹사이트 호스팅. 따라서 S3 버킷 + CloudFront 조합
동적호스팅 → API Gateway + lamdba
Q.86 사용자 자격 증명을 자주 바꿈 + 안전한 방법 = Secrets Manager.
read replica를 통해 쿼리 부하를 분산
CPU 사용률에 따라 Auto Scaling = Target Tracking Policy (대상 추적 정책)
S3 + CloudFront를 사용하는 상황에서 S3에 직접 액세스하는 것을 막으려면 OAC 또는 OAI를 사용하면 됨.
전 세계적으로 웹 사이트 요구 충족 = CloudFront.
빠른 응답을 위한 Cloudfront와 인프라를 최소화하기 위한 s3
기본 운영 체제에 대한 액세스 유지 = Amazon RDS Custom.
Amazon Relational Database Service(Amazon RDS) Custom은 기본 OS 및 DB 환경에 액세스할 필요가 있는 레거시, 사용자 지정, 패키지 애플리케이션을 위한 관리형 데이터베이스 서비스입니다
Q.140
・EC2 인스턴스에서 실행되는 워크로드는 언제든지 중단될 수 있습니다 = 스팟 인스턴스
・프론트엔드 활용도와 API 계층 활용도는 내년에 예측할 수 있습니다 = Savings Plans
Savings Plans는 1년 또는 3년 기간의 일정 사용량 약정(시간당 USD 요금으로 측정)을 조건으로 Amazon EC2, AWS Lambda 및 AWS Fargate 사용량에 대해 저렴한 요금을 제공하는 유연한 요금 모델입니다. Savings Plans에 가입하면 약정 사용량까지 할인된 Savings Plans 요금을 적용받습니다.
Q.142 TCP/UDP+엔드포인트에 입력할 수 있는 고정 IP 주소를 가져야 한다는 대목에서 Global Accelerator임을 유추
AWS Global Accelerator와 Amazon CloudFront는 AWS 글로벌 네트워크와 전 세계 엣지 로케이션을 사용하는 별도의 서비스입니다. CloudFront는 캐시 가능한 콘텐츠(예: 이미지 및 비디오)와 동적 콘텐츠(예: API 가속 및 동적 사이트 제공) 모두의 성능을 향상시킵니다. Global Accelerator는 하나 이상의 AWS 리전에서 실행되는 애플리케이션에 대해 에지의 패킷을 프록시하여 TCP 또는 UDP를 통해 광범위한 애플리케이션의 성능을 개선합니다. Global Accelerator는 게임(UDP), IoT(MQTT) 또는 VoIP와 같은 비HTTP 사용 사례와 특히 고정 IP 주소 또는 결정론적이고 빠른 지역 장애 조치가 필요한 HTTP 사용 사례에 적합합니다. 두 서비스 모두 DDoS 보호를 위해 AWS Shield와 통합됩니다.
Amazon Elastic Container Service(Amazon ECS) 는 컨테이너화된 애플리케이션을 실행하기 위해 확장성이 뛰어난 관리형 환경을 제공하여 운영 오버헤드를 줄입니다. ECS를 대상으로 ALB를 설정하면 확장성과 가용성을 위해 애플리케이션의 여러 인스턴스에 트래픽을 분산할 수 있습니다. 이 솔루션을 사용하면 여러 팀이 각 애플리케이션을 독립적으로 관리하여 팀 자율성과 효율적인 개발을 촉진할 수 있습니다.
Q.146
상태 비저장 애플리케이션이라는 단서가 있으므로 추가 용량에 대해서는 스팟 인스턴스를 사용하여 비용 절감 가능
상태 비저장 = 스팟 인스턴스
기본 사용량 수준은 예상 가능하므로, 예약 인스턴스
로그를 장기 보관, 드물게 엑세스 = S3 로그 저장, 수명주기정책 사용, S3 Glacier Deep Archive 로 이동
AWS Control Tower Guardrail을 사용해 SCP를 통한 AWS API 액세스를 제한하여 특정 AWS 리전에서의 특정 리소스 방지 가능.
AWS Organizations를 사용해 특정 리전에 대한 액세스 차단 가능
Q. 153
90일 이전에는 S3 Standard로 빈번한 액세스 처리, 90일 이후에는 다운로드가 드물지만 가장 많이 액세스하는 일부 파일은 쉽게 사용, 즉 빠르게 액세스할 수 있어야 하므로 액세스 소요 시간이 적은 S3 Standard-IA사용이 적절.
& 수명 주기 설정
S3 수명 주기 정책은 사전 정의된 규칙에 따라 한 스토리지 클래스에서 다른 스토리지 클래스로 객체를 자동으로 이동할 수 있습니다. S3 Standard-IA는 자주 액세스하지 않지만 필요할 때 신속하게 액세스해야 하는 데이터를 위한 저비용 스토리지 클래스입니다.
CloudFront는 로컬 캐시를 사용하여 응답을 제공하고, AWS Global Accelerator는 요청을 프록시하고 응답을 위해 항상 애플리케이션에 연결합니다.
Q.156
Amazon Athena는 스트리밍 데이터에 대한 일회성 쿼리를 실행하기 위한 최상의 선택입니다.
Amazon Kinesis Data Analytics는 스트리밍 데이터를 실시간으로 분석할 수 있는 쉽고 친숙한 표준 SQL 언어를 제공하지만 일회성 쿼리가 아닌 지속적인 쿼리를 위해 설계되었습니다. 반면 Amazon Athena는 SQL을 사용하여 Amazon S3의 데이터를 쿼리할 수 있는 서버리스 대화형 쿼리 서비스입니다. 임시 쿼리에 최적화되어 있으며 스트리밍 데이터에 대한 일회성 쿼리를 실행하는 데 이상적입니다.
AWS Lake Formation은 분석 목적으로 모든 데이터를 보관하는 중앙 위치로 사용합니다.
Athena는 S3와 완벽하게 통합되며 쿼리를 만들 수 있습니다.
Amazon S3 Standard는 자주 액세스하는 데이터를 위한 내구성 있고 확장 가능한 스토리지 클래스입니다
A. JSON 문서를 Amazon S3 버킷에 넣습니다. 문서가 S3 버킷에 도착하면 이를 처리하기 위해 Python 코드를 실행하는 AWS Lambda 함수를 생성합니다. 결과를 Amazon Aurora DB 클러스터에 저장합니다.
=> Lambda를 사용하면 서버를 관리하고 프로비저닝할 필요가 없으므로 확장성이 보장되고 운영 오버헤드가 최소화됩니다. S3는 JSON 문서를 위한 내구성 있고 가용성이 높은 스토리지를 제공합니다. Lambda는 새 문서가 S3 버킷에 추가될 때마다 자동으로 트리거되어 실시간 처리가 가능합니다. 결과를 Aurora DB 클러스터에 저장하면 처리된 데이터의 고가용성과 확장성이 보장됩니다. 이 솔루션은 서버리스 아키텍처를 활용하여 인프라를 관리할 필요 없이 자동 확장 및 고가용성을 허용하므로 가장 적합한 선택입니다.
Q.162
HPC = Amazon FSx for Lustre
Amazon FSx for Lustre는 컴퓨팅 워크로드를 위한 비용 효율적이고 확장 가능한 고성능 스토리지를 제공하는 완전관리형 서비스입니다. 기계 학습, 고성능 컴퓨팅(HPC), 비디오 렌더링, 재무 시뮬레이션과 같은 많은 워크로드는 고성능 공유 스토리지를 통해 동일한 데이터 세트에 액세스하는 컴퓨팅 인스턴스에 의존합니다.
AWS Fargate는 사용자 애플리케이션을 위한 서버리스 환경으로, 사용자는 서버 구성 및 관리 대신 애플리케이션 구축에 집중할 수 있습니다. 또한 Fargate는 리소스 관리를 자동화하여 사용자가 수요에 따라 애플리케이션을 쉽게 확장할 수 있도록 합니다.
컨테이너화된 애플리케이션 배포 = Fargate + ECS
메시지 처리에 실패하면 = SQS Dead Letter Queue.
CloudFront는 Amazon S3 오리진에 인증된 요청을 전송하는 두 가지 방법으로 오리진 액세스 제어(OAC)와 오리진 액세스 ID(OAI)를 제공합니다.
Q.167
중단할 수 없는 단기적이고 불규칙한 워크로드가 있는 애플리케이션에는 온디맨드 인스턴스를 사용하는 것이 좋습니다.
최소 사용량을 기준 용량으로 삼아 예약 인스턴스를 사용함으로서 비용을 절감하고, 추가적이고 유동적인 트래픽은 온디맨드 인스턴스로 유연하게 처리 가능
> 중지될 위험이 있는 스팟 인스턴스는 예상치 못한 사용량에 적절하지 않음
> 중단할 수 없는 단기적이고 불규칙한 워크로드가 있는 애플리케이션에는 온디맨드 인스턴스를 사용하는 것이 좋습니다
Q.168
서비스 제어 정책(SCP)은 조직에서 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. SCP는 조직의 모든 계정에 대해 사용 가능한 최대 권한을 중앙에서 제어
서비스 제어 정책(SCP)은 조직을 관리하는 데 사용할 수 있는 정책 유형 중 하나입니다. SCP는 조직의 모든 계정에 대해 사용 가능한 최대 권한에 대한 중앙 제어를 제공하므로 계정이 조직의 액세스 제어 지침을 준수하도록 할 수 있습니다.
Q. 최근 정책을 변경하여 이제 특정 국가에서만 애플리케이션에 액세스하도록 요구
A. VPC의 Application Load Balancer에서 AWS WAF를 구성
Geographic (Geo) Match Conditions in AWS WAF. This new condition type allows you to use AWS WAF to restrict application access based on the geographic location of your viewers. With geo match conditions you can choose the countries from which AWS WAF should allow access.
API 제공 + 탄력적인 = API Gateway + Lambda
Q.172
Amazon CloudFront를 사용하면 HTTPS를 사용하여 오리진 서버에 대한 엔드 투 엔드 보안 연결을 적용할 수 있습니다.
필드 수준 암호화는 특정 애플리케이션만 볼 수 있도록 시스템 처리 전반에 걸쳐 특정 데이터를 보호할 수 있는 추가 보안 계층을 추가합니다.
Q.175
고객 주문이 갑자기 급증 -> 연결 수가 많음 = RDS Proxy
A. Amazon RDS 프록시를 사용하여 데이터베이스에 대한 프록시를 생성합니다. 데이터베이스 엔드포인트 대신 RDS 프록시 엔드포인트를 사용하도록 Lambda 함수를 수정합니다.
> RDS 프록시를 사용하여 예기치 않은 데이터베이스 트래픽 급증을 처리할 수 있습니다. 급증을 처리하지 않으면 연결 초과 구독 또는 빠른 속도의 새 연결 생성으로 인한 문제가 발생할 수 있습니다. RDS 프록시는 데이터베이스 연결 풀을 설정하고 이 풀에서 연결을 재사용합니다. 이 접근 방식은 매번 새 데이터베이스 연결을 여는 데서 오는 메모리 및 CPU 오버헤드 를 방지합니다. 과다 구독으로부터 데이터베이스를 보호하기 위해 생성되는 데이터베이스 연결 수를 제어할 수 있습니다.
VPC내에 있는 프라이빗 서브넷의 EC2 인스턴스와 DynamoDB 간 가장 안전한 AWS 네트워크 통신 = VPC Gateway Endpoint.
AWS Backup을 사용하여 EC2 및 RDS 백업을 별도의 리전에 복사하는 것은 최소한의 운영 오버헤드로 요구 사항을 충족하는 솔루션입니다. AWS Backup은 백업 프로세스를 간소화하고 백업을 다른 리전으로 자동 복사하여 EC2 인스턴스 및 RDS 데이터베이스에 대한 별도의 백업 프로세스 관리와 관련된 수동 작업 및 운영 복잡성을 줄입니다.
Q179 ???
솔루션 설계자는 애플리케이션이 Amazon RDS DB 인스턴스에 액세스하는 데 사용하는 데이터베이스 사용자 이름과 암호를 안전하게 저장해야 합니다. 데이터베이스에 액세스하는 애플리케이션은 Amazon EC2 인스턴스에서 실행됩니다. 솔루션 설계자는 AWS Systems Manager Parameter Store에서 보안 매개변수를 생성하려고 합니다.
솔루션 설계자는 이 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. Parameter Store 파라미터에 대한 읽기 액세스 권한이 있는 IAM 역할을 생성합니다. 파라미터를 암호화하는 데 사용되는 AWS Key Management Service(AWS KMS) 키에 대한 Decrypt 액세스를 허용합니다. 이 IAM 역할을 EC2 인스턴스에 할당합니다.
B. Parameter Store 파라미터에 대한 읽기 액세스를 허용하는 IAM 정책을 생성합니다. 파라미터를 암호화하는 데 사용되는 AWS Key Management Service(AWS KMS) 키에 대한 Decrypt 액세스를 허용합니다. 이 IAM 정책을 EC2 인스턴스에 할당합니다.
C. Parameter Store 파라미터와 EC2 인스턴스 간에 IAM 신뢰 관계를 생성합니다. 신뢰 정책에서 Amazon RDS를 보안 주체로 지정합니다.
D. DB 인스턴스와 EC2 인스턴스 간에 IAM 신뢰 관계를 생성합니다. 신뢰 정책에서 Systems Manager를 보안 주체로 지정합니다.
Answer: A
데이터베이스 사용자 이름과 암호를 AWS 시스템 관리자 파라미터 스토어에 안전하게 저장하고 EC2 인스턴스에서 실행 중인 애플리케이션이 액세스할 수 있도록 하려면 솔루션스 아키텍트는 파라미터 스토어 파라미터에 대한 읽기 액세스 권한이 있는 IAM 역할을 생성하고 파라미터를 암호화하는 데 사용되는 AWS KMS 키에 대한 암호 해독 액세스를 허용해야 합니다. 그런 다음 솔루션스 아키텍트는 이 IAM 역할을 EC2 인스턴스에 할당해야 합니다.
이 접근 방식을 사용하면 EC2 인스턴스가 파라미터 스토어의 파라미터에 액세스하고 지정된 KMS 키를 사용하여 해독하는 동시에 필요한 보안 제어를 적용하여 승인된 당사자만 파라미터에 액세스할 수 있도록 할 수 있습니다.
Q182
회사에서 MySQL 데이터베이스를 온프레미스에서 AWS로 마이그레이션하려고 합니다. 이 회사는 최근 비즈니스에 상당한 영향을 미치는 데이터베이스 중단을 경험했습니다. 이러한 일이 다시 발생하지 않도록 회사는 데이터 손실을 최소화하고 모든 트랜잭션을 최소 두 개의 노드에 저장하는 안정적인 AWS 데이터베이스 솔루션을 원합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?
A. 3개의 가용 영역에 있는 3개의 노드에 대한 동기식 복제로 Amazon RDS DB 인스턴스를 생성합니다.
B. 다중 AZ 기능이 활성화된 Amazon RDS MySQL DB 인스턴스를 생성하여 데이터를 동기식으로 복제합니다.
C. Amazon RDS MySQL DB 인스턴스를 생성한 다음 데이터를 동기식으로 복제하는 별도의 AWS 리전에서 읽기 전용 복제본을 생성합니다.
D. Amazon RDS MySQL DB 인스턴스에 데이터를 동기식으로 복제하기 위해 AWS Lambda 함수를 트리거하는 MySQL 엔진이 설치된 Amazon EC2 인스턴스를 생성합니다.
Answer: B
설명1:
데이터베이스의 고가용성이 필요한 상황이므로 Multi AZ가 필수인 상황.
A(X) : AWS로 MySQL 데이터베이스를 마이그레이션하려고 한다 했으므로 Amazon RDS for MySQL이 맞음.
B(O) : Amazon RDS 다중 AZ 동기 복제 기술을 사용하여 대기 데이터베이스 인스턴스의 데이터를 프라이머리와 함께 최신 상태로 유지합니다. 장애를 감지하면 Amazon RDS는 수동 개입 없이 자동으로 대기 인스턴스로 장애 조치합니다.
https://aws.amazon.com/ko/rds/features/multi-az/
C(X) : RDS read replica는 동기식이 아닌 비동기식 방식임.
기본 DB 인스턴스에 적용된 업데이트는 읽기 전용 복제본에 비동기식으로 복사됩니다.
https://docs.aws.amazon.com/ko_kr/AmazonRDS/latest/UserGuide/USER_ReadRepl.html
D(X) : 다른 AZ나 리전에 복제하는지에 대한 여부가 안 나와 있음. 그리고 굳이 Lambda를 사용해야 하는지도 의문.
설명2:
Q: Amazon RDS는 나를 대신하여 무엇을 관리합니까?
Amazon RDS는 요청한 인프라 용량 프로비저닝에서 데이터베이스 소프트웨어 설치에 이르기까지 관계형 데이터베이스 설정과 관련된 작업을 관리합니다. 데이터베이스가 가동되고 실행되면 Amazon RDS는 백업 수행 및 데이터베이스를 강화하는 소프트웨어 패치와 같은 일반적인 관리 작업을 자동화합니다. 선택적 다중 AZ 배포를 통해 Amazon RDS는 자동 장애 조치를 통해 가용 영역 전체에서 동기식 데이터 복제도 관리합니다.
https://aws.amazon.com/rds/faqs/
Q183
회사에서 새로운 동적 주문 웹사이트를 구축하고 있습니다. 회사는 서버 유지 관리 및 패치를 최소화하려고 합니다. 웹 사이트는 가용성이 높아야 하며 사용자 요구의 변화를 충족하기 위해 가능한 한 빨리 읽기 및 쓰기 용량을 확장해야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. Amazon S3에서 정적 콘텐츠를 호스팅합니다. Amazon API Gateway 및 AWS Lambda를 사용하여 동적 콘텐츠를 호스팅합니다. 데이터베이스에 대한 온디맨드 용량과 함께 Amazon DynamoDB를 사용합니다. 웹 사이트 콘텐츠를 제공하도록 Amazon CloudFront를 구성합니다.
질문의 핵심 문구는 읽기 및 쓰기 용량을 확장해야 한다는 것입니다. Aurora는 읽기 전용입니다. Amazon DynamoDB에는 테이블에 대한 읽기 및 쓰기를 처리하기 위한 두 가지 읽기/쓰기 용량 모드가 있습니다. 온디맨드 프로비저닝(기본, 프리 티어 가능)
DynamoDB는 주문 데이터(키값)을 저장하는데 적합하고 온디맨드 방식으로 쓰기 및 읽기 용량을 확장합니다.
Q184
회사에 소프트웨어 엔지니어링에 사용되는 AWS 계정이 있습니다. AWS 계정은 한 쌍의 AWS Direct Connect 연결을 통해 회사의 온프레미스 데이터 센터에 액세스할 수 있습니다. 모든 비 VPC 트래픽은 가상 프라이빗 게이트웨이로 라우팅됩니다.
개발팀은 최근 콘솔을 통해 AWS Lambda 함수를 생성했습니다. 개발 팀은 함수가 회사 데이터 센터의 프라이빗 서브넷에서 실행되는 데이터베이스에 액세스할 수 있도록 허용해야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 적절한 보안 그룹을 사용하여 VPC에서 실행되도록 Lambda 함수를 구성합니다.
B. AWS에서 데이터 센터로 VPN 연결을 설정합니다. VPN을 통해 Lambda 함수의 트래픽을 라우팅합니다.
C. Lambda 함수가 Direct Connect를 통해 온프레미스 데이터 센터에 액세스할 수 있도록 VPC의 라우팅 테이블을 업데이트합니다.
D. 탄력적 IP 주소를 생성합니다. 탄력적 네트워크 인터페이스 없이 탄력적 IP 주소를 통해 트래픽을 보내도록 Lambda 함수를 구성합니다.
Answer: A
A(O) : 보안 그룹을 정의하여 VPC에 Lambda 연결 가능.
AWS 계정의 가상 사설 클라우드(VPC)에 있는 사설 서브넷에 연결하도록 Lambda 함수를 구성할 수 있습니다. Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 데이터베이스, 캐시 인스턴스 또는 내부 서비스와 같은 리소스에 대한 사설 네트워크를 생성합니다. 함수가 실행되는 동안 프라이빗 리소스에 액세스하려면 함수를 VPC에 연결합니다. 함수를 VPC에 연결하면 Lambda는 함수의 VPC 구성에 있는 각 서브넷의 Hyperplane ENI(탄력적 네트워크 인터페이스)에 함수를 할당합니다. Lambda는 계정의 VPC 지원 기능에 대해 고유한 서브넷 및 보안 그룹 조합이 처음으로 정의될 때 Hyperplane ENI를 생성합니다.
https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-managing-eni
B(X) : ・선택지에서 말하는 VPN 연결이란 VPC-온프레미스 간 연결을 말함.
VPN 연결 이라는 용어 는 일반적인 용어이지만 이 설명서에서 VPN 연결은 VPC와 자체 온프레미스 네트워크 간의 연결을 나타냅니다.
https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html
・먼저 Virtual Private Gateway를 사용하여 VPC-온프레미스 간 Site to Site VPN 연결을 수립.
◎AWS Site-to-Site VPN : VPC와 원격 네트워크 사이에 IPsec VPN 연결을 생성할 수 있습니다. AWS 측 Site-to-Site VPN 연결에서 가상 프라이빗 게이트웨이 또는 Transit Gateway는 자동 장애 조치를 위한 2개의 VPN 엔드포인트(터널)를 제공합니다. Site-to-Site VPN 원격 연결 측에서 고객 게이트웨이 디바이스를 구성합니다.
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/vpn-connections.html
・Virtual Private Gateway + Direct Connect + VPN 조합을 사용하는 이유는 Virtual Private Gateway + VPN 조합은 IPv4 밖에 전송이 안 되는데, Virtual Private Gateway + Direct Connect 조합은 IPv6를 지원하므로 3가지를 조합하면 IPv4, IPv6를 모두 사용할 수 있기 때문.
가상 프라이빗 게이트웨이로 라우팅 : AWS Site-to-Site VPN 연결을 사용하여 VPC의 인스턴스를 사용자의 네트워크와 통신하도록 할 수 있습니다. 이렇게 하려면 가상 프라이빗 게이트웨이를 생성하여 VPC에 연결합니다.그런 다음 네트워크 대상 및 가상 프라이빗 게이트웨이(vgw-xxxxxxxxxxxxxxxxx)의 대상이 있는 서브넷 라우팅 테이블에 라우팅을 추가합니다....가상 프라이빗 게이트웨이의 Site-to-Site VPN 연결은 IPv6 트래픽을 지원하지 않습니다. 그러나 가상 프라이빗 게이트웨이를 통해 AWS Direct Connect 연결로 라우팅되는 IPv6 트래픽은 지원합니다.
https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/route-table-options.html#route-tables-vgw
・VPC과 Lambda함수 연결
AWS 계정에서 VPC(Virtual Private Cloud)의 프라이빗 서브넷에 연결하도록 Lambda 함수를 구성할 수 있습니다.
https://docs.aws.amazon.com/ko_kr/lambda/latest/dg/configuration-vpc.html
But, 여기까지는 가능하지만 정작 Lambda 함수가 VPN을 통해 트래픽을 라우팅할 수 있는지는 불명확.
그리고 어차피 A의 내용이 충족되어야만 가능하기 때문에 정답이 아닐 가능성이 큼.
C(X) : A의 내용이 충족되지 않으면 수립 불가. 즉, VPC에 Lambda가 연결이 되어야 가능하던 말던 함.
Lambda 함수는 항상 Lambda 서비스가 소유한 VPC 내에서 실행됩니다. 기본적으로 Lambda 함수는 사용자 계정의 VPC에 연결되지 않습니다.
https://docs.aws.amazon.com/ko_kr/lambda/latest/dg/foundation-networking.html
D(X) : 탄력적 IP주소는 퍼블릭 IP 주소로, Direct Connect가 있는 상황에서 굳이 사용할 필요가 없음. 게다가 온프레미스 데이터베이스가 있는 곳은 프라이빗 서브넷이라 퍼블릭 IP 주소로는 무리임.
https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-managing-eni
AWS Identity and Access Management(IAM)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM을 사용하면 사용자가 액세스할 수 있는 AWS 리소스를 제어하는 권한을 관리할 수 있습니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다. IAM은 AWS 계정에 대한 인증 및 권한 부여를 제어하는 데 필요한 인프라를 제공합니다.
AWS Elastic Beanstalk 를 사용하면 애플리케이션을 실행하는 인프라에 대해 자세히 알지 못해도 AWS 클라우드에서 신속하게 배포하고 관리할 수 있다. 빈번한 기능 테스트. 간단한 URL 스와핑 기술을 사용하여 A/B 테스트 및 기능 반복을 위한 환경 간에 트래픽을 라우팅 할 수 있다.
일회성 쿼리, 보고 쿼리 시간 오래 소요 -> 읽기 전용 복제본 생성.
Q.195 시스템 중단이 발생할 경우 주문을 자동으로 처리할 수 있는 탄력적인 솔루션
A. EC2 인스턴스를 Auto Scaling 그룹으로 이동. Amazon Simple Queue Service(SQS) 대기열로 메시지를 보내도록 주문 시스템을 구성. 대기열의 메시지를 사용하도록 EC2 인스턴스를 구성.
> SQS는 Dead Letter Quque 등 다양한 옵션으로 메시지 처리가 실패했을 경우 해당 메시지를 보관했다가 다시 처리할 수 있게끔 하는 기능을 제공하고 있음.
Amazon DynamoDB TTL을 사용하면 항목별 타임스탬프를 정의하여 항목이 더 이상 필요하지 않은 시기를 결정할 수 있습니다.
Q.198
Kubernetes 클러스터 = EKS
MonogoDB 호환 = DocumentDB
Q.199
Amazon Rekognition = 이미지/비디오 분석 서비스. 수백만 개의 이미지를 검색, 확인 및 구성할 수 있는 애플리케이션을 쉽게 구축 가능.
Amazon Transcribe = 다중 Speaker 인식 가능.
Amazon Transcribe는 이제 스트리밍 트랜스크립션을 위한 화자 레이블 지정을 지원합니다. Amazon Transcribe는 음성을 텍스트로 쉽게 변환할 수 있는 자동 음성 인식(ASR) 서비스입니다.
Marketing communications = Amazon Pinpoint. = 사용하면 고객이 특정 키워드가 포함된 메시지를 보낼 때 자동 응답을 생성할 수 있습니다. . Amazon Lex 를 사용하여 대화형 봇을 만들 수도 있습니다.
Pinpoin를 사용하여 대상 고객 그룹을 생성한 다음 캠페인 기반 메시지를 보낼 수 있음. 약속 확인, 주문 업데이트, 일회용 암호와 같은 다이렉트 메시지를 보낼 수도 있습니다.
전달 시간이 길어지는 문제 해결 = Auto Scaling 그룹을 추가하고 SQS 대기열의 깊이에 따라 확장되도록 Auto Scaling 그룹을 구성하도록 권장. 이렇게 하면 약속 요청 수가 증가함에 따라 애플리케이션이 확장되어 성능 및 시간 향상
Q.215 700TB 와 같은 대용량 전송 -> Snowball Edge Device
Q.216 S3 Inventory 기능을 사용하여 암호화되지 않은 객체 목록을 생성할 수 있습니다.
Q.225 Amazon Redshift = 페타바이트 규모의 데이터 웨어하우스 서비스
Q.243 AWS Storage Gateway는 온프레미스 소프트웨어 어플라이언스와 클라우드 기반 스토리지를 연결하여 조직의 온프레미스 IT 환경과 AWS 스토리지 인프라 간의 원활하고 안전한 통합을 제공하는 서비스입니다. 각 진료소 구내에 파일 게이트웨이를 가상 머신으로 배포함으로써 의료 연구실은 각 진료소에 대한 읽기 전용 권한을 유지하면서 S3 버킷에 저장된 데이터에 대한 짧은 대기 시간 액세스를 제공할 수 있습니다. 이 솔루션을 통해 클리닉은 데이터 전송이나 마이그레이션 없이 온프레미스 파일 기반 애플리케이션에서 직접 데이터 파일에 액세스할 수 있습니다
Q244
회사에서 단일 Amazon EC2 인스턴스에서 실행되는 콘텐츠 관리 시스템을 사용하고 있습니다. EC2 인스턴스에는 웹 서버와 데이터베이스 소프트웨어가 모두 포함되어 있습니다. 회사는 웹 사이트 플랫폼을 고가용성으로 만들고 사용자 요구에 맞게 웹 사이트를 확장할 수 있어야 합니다.
A. 다른 가용 영역에 읽기 전용 복제본이 있는 Amazon Aurora로 데이터베이스를 이동합니다. EC2 인스턴스에서 Amazon 머신 이미지(AMI)를 생성합니다. 두 가용 영역에서 Application Load Balancer를 구성합니다. 두 가용 영역에서 AMI를 사용하는 Auto Scaling 그룹을 연결합니다.
온프레미스-AWS 간 스토리지 서비스 중 SMB 지원하는 건 Storage Gateway File Gateway나 Amazon FSx for Windows
Q266 AWS Global Accelerator는 상태 확인을 기반으로 최적의 정상 엔드포인트로 트래픽을 전달하고 클라이언트의 지리적 위치를 기반으로 가장 가까운 정상 엔드포인트로 트래픽을 라우팅할 수도 있습니다. 액셀러레이터를 구성하고 이를 각 리전의 지역 엔드포인트에 연결하고 ALB를 엔드포인트로 추가함으로써 솔루션은 트래픽을 정상 엔드포인트로 리디렉션하여 대기 시간을 줄이고 애플리케이션이 최적으로 실행되도록 함으로써 사용자 경험을 개선합니다. 이 솔루션은 트래픽이 가장 가까운 정상 엔드포인트로 전달되도록 하고 전반적인 사용자 경험을 개선하는 데 도움이 됩니다.
Data in hierarchies : Amazon DynamoDB B. Use Amazon DynamoDB to store the employee data in hierarchies. Export the data to Amazon S3 every month.
Sensitive Info: Amazon Macie E. Configure Amazon Macie for the AWS account. Integrate Macie with Amazon EventBridge to send monthly notifications through an Amazon Simple Notification Service (Amazon SNS) subscription.
Amazon FSx for Windows File Server를 사용하여 계층 간에 Windows 기반 파일 공유
Q288 Amazon Elastic File System(Amazon EFS) 파일 시스템을 생성합니다. 모든 웹 서버에 EFS 파일 시스템을 마운트합니다. 애플리케이션을 변경하지 않고 Linux 기반 웹 서버용 공유 파일 스토어를 제공해야 한다는 요구 사항을 충족하려면 Amazon EFS 파일 시스템을 사용하는 것이 가장 좋은 솔루션입니다
Amazon EFS는 여러 Linux 기반 인스턴스에서 파일에 대한 공유 액세스를 제공하는 관리형 NFS 파일 시스템 서비스
Q292 여러 소스에서 실시간 스트리밍 데이터를 수집, 변환 및 쿼리하려면 Amazon Kinesis와 Amazon MSK가 적합한 솔루션입니다. Amazon Kinesis Data Streams는 다양한 소스의 데이터를 스트리밍하고 다른 AWS 서비스와 통합할 수 있습니다. Amazon Kinesis Data Analytics는 SQL 또는 Apache Flink를 사용하여 데이터를 변환할 수 있습니다. Amazon Kinesis Data Firehose는 Amazon S3 또는 다른 대상에 데이터를 쓸 수 있습니다. Amazon Athena는 표준 SQL을 사용하여 Amazon S3에서 변환된 데이터를 쿼리할 수 있습니다.
Amazon MSK는 데이터 스트리밍을 위한 인기 있는 오픈 소스 플랫폼인 Apache Kafka를 사용하여 데이터를 스트리밍할 수 있습니다. AWS Glue는 Apache Spark 또는 Python 스크립트를 사용하여 데이터를 변환하고 Amazon S3 또는 기타 대상에 데이터를 쓸 수 있습니다. Amazon Athena는 표준 SQL을 사용하여 Amazon S3에서 변환된 데이터를 쿼리할 수도 있습니다.
Amazon EC2 Reserved Instances allow for significant cost savings compared to On-Demand instances for long-running, steady-state workloads like this one. Reserved Instances provide a capacity reservation, so the instances are guaranteed to be available for the duration of the reservation period.
Amazon Aurora is a highly scalable, cloud-native relational database service that is designed to be compatible with MySQL and PostgreSQL. It can automatically scale up to meet growing storage requirements, so it can accommodate the application's database storage needs over time. By using Reserved Instances for Aurora, the cost savings will be significant over the long term.
Amazon EC2 예약 인스턴스를 사용하면 이와 같은 장기 실행, 정상 상태 워크로드의 경우 온디맨드 인스턴스에 비해 비용을 크게 절감할 수 있습니다. 예약 인스턴스는 용량 예약을 제공하므로 예약 기간 동안 인스턴스 사용이 보장됩니다.
Amazon Aurora는 확장성이 뛰어난 클라우드 네이티브 관계형 데이터베이스 서비스로, MySQL 및 PostgreSQL과 호환되도록 설계되었습니다. 증가하는 스토리지 요구 사항을 충족하기 위해 자동으로 확장할 수 있으므로 시간이 지남에 따라 애플리케이션의 데이터베이스 스토리지 요구 사항을 수용할 수 있습니다. Aurora용 예약 인스턴스를 사용하면 장기적으로 비용을 크게 절감할 수 있습니다.
Q301
AWS DataSync is a data transfer service that can copy large amounts of data between on-premises storage and Amazon FSx for Windows File Server at high speeds. It allows you to control the amount of bandwidth used during data transfer. • DataSync uses agents at the source and destination to automatically copy files and file metadata over the network. This optimizes the data transfer and minimizes the impact on your network bandwidth. • DataSync allows you to schedule data transfers and configure transfer rates to suit your needs. You can transfer 30 TB within 5 days while controlling bandwidth usage. • DataSync can resume interrupted transfers and validate data to ensure integrity. It provides detailed monitoring and reporting on the progress and performance of data transfers.
AWS DataSync는 온프레미스 스토리지와 Windows 파일 서버용 Amazon FSx 간에 대량의 데이터를 고속으로 복사할 수 있는 데이터 전송 서비스입니다. 데이터 전송 중에 사용되는 대역폭의 양을 제어할 수 있습니다.
- DataSync는 소스 및 대상의 에이전트를 사용해 네트워크를 통해 파일과 파일 메타데이터를 자동으로 복사합니다. 이렇게 하면 데이터 전송이 최적화되고 네트워크 대역폭에 미치는 영향이 최소화됩니다.
- DataSync를 사용하면 데이터 전송을 예약하고 필요에 맞게 전송 속도를 구성할 수 있습니다. 대역폭 사용량을 제어하면서 5일 이내에 30TB를 전송할 수 있습니다.
- DataSync는 중단된 전송을 재개하고 데이터 무결성을 보장하기 위해 데이터 유효성을 검사할 수 있습니다. 데이터 전송의 진행 상황과 성능에 대한 자세한 모니터링 및 보고 기능을 제공합니다.
활용도가 감소할 때 비용 절감 -> 대상 추적 정책과 함께 AWS App. Auto Scaling 을 사용
Q304. 정기적으로 두 리전의 nfs 파일 시스템 간에 대량의 데이터를 주고 받아야한다.
A. 온프레미스와 AWS 스토리지 서비스 간에 데이터 이동을 자동화하고 가속화하는 안전한 온라인 서비스인 AWS DataSync를 사용하기 때문에 가장 효율적입니다
“1시간 작업” -> Lambda의 최대 지속 시간이 15분
'개인공부를 위한 공간' 카테고리의 다른 글
| AWS SAA (3) | 2024.12.11 |
|---|---|
| [내생각정리] SSL VPN, IPsec VPN 에 관련하여서. (0) | 2018.01.05 |
| SQLTools 0x000007b error 해결방법 (0) | 2017.10.18 |
| http 주요 응답코드 (0) | 2017.07.03 |
| GET vs POST 방식 (0) | 2017.07.03 |