AWS SAA 공부 (2)

29번

• S3 Gateway endpoint가 신뢰할 수 있는 버킷의 트래픽만 수락해야하는데 그 방식은?
• 신뢰할 수 있는 S3 버킷의 ARN(Amazon Resource Name)에 대한 액세스를 제공하는 S3 엔드포인트 정책 생성

30번

• VPC를 온프레미스 네트워크에 연결하는 VPN이 있고, TCP 트래픽을 온프레미스 서버에 분산하려 할 때, 접근성과 확장성이 뛰어난 솔루션을 제공하기 위한 방안은?
• 인터넷 연결 NLB(Network Load Balancer)를 시작하고 NLB에 온프레미스 IP 주소를 등록한다.
• TCP traffic -> NLB(4계층)
• for internat users -> internet-facing

31번

• udp 기반 워크로드 가용성과 성능 향상 원함, 워크로드는 EC2 인스턴스를 사용하며 AWS 리전에 분산됨, 어떤걸 제안해야하나?
• 각 리전의 NLB 뒤에 EC2 인스턴스를 배치하고, Global Accelerator 를 사용하여 액셀러레이터를 생성 후 NLB를 액셀러레이터의 endpoint로 사용함
• udp -> NLB
• AWS Global Accelerator : AWS 글로벌 네트워크를 통해 트래픽을 최적의 엔드포인트로 보내는 액셀러레이터를 생성하는데 사용하는 네트워크 계층 서비스, 이렇게 되면 전 세계 사용자가 이용하는 인터넷 애플리케이션의 가용성과 성능이 향상됨 (사용자와 애플리케이션 간의 트래픽을 빠르고 안정적으로 이동하게 하는것임)
• Amazon CloudFront : 웹사이트, API, 동영상 콘텐츠 또는 기타 웹 자산의 전송을 가속화하는 글로벌 CDN 서비스

32번

• 비즈니스 2개의 가용영역에 걸쳐있는 EC2 인스턴스에서 호스팅되는 웹사이트를 운영할때, 특정 휴일 전후에 트래픽이 증가할 것으로 예상되어 해당 문제를 해결하기 위해선?
• scheduled scaling 을 사용한다.

33번

• EC2 인스턴스 전반에 걸쳐 낮은 네트워크 지연 시간과 높은 네트워크 처리량을 요구하는 새로운 애플리케이션을 구성할때 어떤것이 포함되어져 있어야 하는가?
• 클러스터 배치 전략을 사용하는 placement group(배치그룹) 이 필요하다
• 클러스터 배치 그룹 : 짧은 네트워크 지연시간, 높은 네트워크 처리량 둘다 활용 가능, 노드간의 통신시 latency를 낮도록 구성이 필요한 경우에 사용
• 파티션 배치 그룹 : 논리적으로 파티션 분리를 통해, 한 파티션에 있는 인스턴스 그룹이 다른 파티션의 인스턴스 그룹과 기본 하드웨어를 공유하지 않도록 해야함, Hadoop, Cassandra, Kafka 등 대규모 분산 및 복제 워크로드에 필요
• 분산형 배치 그룹 : 분산은 클러스터 방식과 정 반대이다. 분산에서 치명적인 장애를 통한 위험을 최소화하는것이 목적.

34번

• Amazon SQS(Simple Queue Service) 대기열에 쓰기 액세스 권한이 필요한 타사 공급업체와 협력하고 있는데, 최소 권한 액세스가 구현되도록 어떤 조치를 취해야 하는지?
• SQS 대기열에 대한 권한 정책을 업데이트하여 공급업체의 AWS 계정에 대한 쓰기 액세스 권한을 부여한다.

35번

• Windows 사용자의 홈 디렉토리를 위해 내결함성, 파일 수준 백업 및 복구 제어 등 Active Directory 기반으로 해야하는데, 이 기준을 충족하는 스토리지 옵션은?
• Windows 파일서버용 Amazon FSx를 사용하여 다중 AZ 파일 시스템을 구성한다.
• Windows 관련 문제는 무지성 FSx로...
• Active Directory 란? 회사 직원들의 계정정보와 컴퓨터에 대한 정보, 그리고 회사에서 강제하고자 하는 정책들에 대한 정보를 저장하고 있는 일종의 데이터 베이스 (예를 들어, 패스워드를 최소 8자리에서 30일 마다 변경한다던지)

36번

• 인프라 컨트롤을 최소화해서 최소 요구사항의 고가용성, 확장성 및 피크시간동안의 지역적으로 낮은 지연시간이 퐇마되며 애플리케이션의 API를 통해 밀리초 지연시간으로 데이터를 정하고 검색할 수 있는 솔루션은?
• 엣지 최적화 API 엔드포인트와 함께 API Gateway를 사용하고, 컴퓨팅용으로는 Lambda, 저장소로는 Dynamo DB를 사용
• RDS는 서버리스가 아니다.
• Fargate 라고 무조건 답은 아니네...?

37번

• EC2 인스턴스에서 실행되는 애플리케이션은 S3 버킷에 대한 엑세스 권한이 필요한데, 소중한 정보라서 인터넷으로 전송하면 안됨. 어떤 액세스를 구성해야하는가?
• VPC 에서 S3용 VPC 게이트웨이 엔드포인트를 구성한다.
• 게이트웨이 유형 엔드포인트는 S3 및 DynamoDV에서만 사용 가능
• VPC Endpoint : 서비스에 프라이빗 하게 연결할 수 있는 진입점
• 리전 안에 VPC를 구성하여 격리된 네트워크 환경을 구축하고, 그 안에 EC2 인스턴스 등을 띄워 시스템을 만들게 된다. 하지만, S3와 DynamoDB는 동일한 리전 안에 있기는 하지만, VPC는 내부가 아닌 외부에 존재하는 서비스로, VPC 내부의 인스턴스들과는 기본적으로 통신이 불가하다. 통신을 하려면 인터넷 게이트웨이를 통해 인터넷과 경유 혹은 VPC 엔드포인트를 생성하여 인터넷을 경유하지 않고 AWS 네트워크 내에서 직접 통신

38번

• NLB 뒤의 VPC 내부에서 호스팅할때 서비스를 공용 인터넷에 노출하지 않고, 가능한 적은 노력으로 액세스 하기위해서는?
• VPC의 서비스를 AWS Private Link 엔드포인트와 연결합니다.
• Gateway Endpoint중 기본으로는 Interface를 쓰고 vpc 가 존재하지 않는 s3와 dynamodb만 gateway를 쓸 수 있다.
• Interface Endpoint 는 ENI(Elastic Network Interface)를 타 VPC의 ELB에 연결하는것만으로 endpoint 가 형성되며 이를 private link 라 한다.

39번

• VPC 내부에 포함된 DB와 통신하는 웹 애플리케이션 실행하려 하는데, 가용성이 높아야함 어떤걸 제시할것인가?
• 로드 밸런서와 Auto Scaling 그룹을 사용하여 웹 서버를 여러 가용 영역에 배포한 다음, 여러 가용 영역에서 RDS를 배포한다.
• 인스턴스에 DB를 설치하는건 가용성 측면에서 최악이다.

40번

• RDS 데이터 베이스에서 자동차가 판매되면 웹사이트에서 목록이 삭제되고 데이터가 다른 대상 시스템으로 전송된다. 어떻게 디자인 해야할까?
• RDS 이벤트 알림을 구독하고 Simple Notification Service(SNS) 토픽을 여러 SQS(Simple Queue Service) 대기열로 보낸 후, Lambda 함수를 사용하여 대상을 업데이트 한다.
• RDS 에서는 Lambda Function을 Direct로 호출할 수 없음
• RDS -> SNS -> SQS -> Lambda

41번

• Aurora 다중 AZ를 활용할때, DB의 읽기가 상당한 양의 I/O를 사용해서 DB에 쓰기 요청 지연을 증가시킨다, 읽기요청과 쓰기 요청을 구별하기 위해 무엇을 해야할까?
• 읽기 전용 복제본을 생성하고, 적절한 엔드포인트를 사용하도록 한다.
• Amazon RDS Read Replicas
• DB인스턴스를 Multi -AZ 배포를 실행할때 대기에서는 읽기 요청 처리 불가, 그래서 대기 간 동기식 복제를 사용해야한다.