AWS SAA(3)

고독한 키쓰차·2022년 6월 17일
0

Cloud

목록 보기
13/21

42번

  • 종종 수많은 Linux 인스턴스를 실행하는 빌드서버가 있는데, 빌드서버에 안정적이고 탑재 가능한 공유 NFS 스토리지가 필요하다. 어떤 스토리지를 권장해야하는가?
  • EFS( Elastic File System)
  • EFS = NFS
  • Linux -> EFS, Windows -> FSX
  • S3 : 객체 스토어로 부적합
  • EBS : 하나의 인스턴스에만 연결
  • FSx : Windows용 공유 파일 시스템

43번

  • 기업 내 여러 의심스러운 IP주소에서 액세스 요청을 감지할 경우, 보안팀은 CIDR의 범위 내의 여러 IP주소에서 요청이 발생하는지 확인해야하는데, 어떤 권장사항을 제공해야하는가?
  • 네트워크 ACL의 인바운드 테이블에 다른 규칙보다 낮은 번호로 거부 규칙을 추가한다.
  • NACL에서는 규칙번호가 낮아야 우선순위가 높음
  • Security group 에서는 Allow만 설정 가능하고, NACL에서는 Allow/Deny 모두 설정 가능

44번

  • 애플리케이션은 ALB(Application Load Balancer) 및 AWS Fargate 컨테이너에서 호스팅 된다. Aurora에서 호스팅 되는 PostgreSQL db가 있다. 웹앱은 주로 db에서 읽기전용으로 수행된다. 트래픽이 증가함에 따라 웹에서 확장성을 보장하기 위해 무엇을 해야할까?
  • Aurora 클러스터의 Aurora 복제본 수를 동적으로 조정하여 Aurora Auto Scaling을 구성한다.
  • CPU 사용률을 기반으로 하는 대상 추적 조정 정책으로 Amazon Elastic Container Service(ECS) Auto Scaling을 구성한다.
  • Fargate 에서 ECS를 CloudWatch 경보 및 Auto Scaling과 통합하여 작업수 조절 가능.
  • Scalability 에 대한 내용이므로 Auto Scaling 고르기
  • ECS 만들기 위해서, EC2 Instance를 최초 지정하고, Cluster Auto Scaling정책을 정의하고, ECS안에 Container 를 띄우고, 그것을 어떤 조건에 따라 하는지 정의하는게 Service Auto Scaling이다.
  • Serverless Fargate가 ECS와 결합하면, EC2 Instance의 증감은 신경 안써도 되니, Cluster Auto Scaling은 사라지게 된다. 하지만, Service Auto Scaling은 당연히 계속되어야 한다, 왜냐면 이건 자원을 조절하는게 아니라 Process를 조절하는것이기 때문에 Serverless와 관련 없음

45번

  • 새 VPC의 프라이빗 서브넷에 EC2 인스턴스가 생성된다. 이 서브넷에는 외부 인터넷 연결이 없지만, EC2 인스턴스에는 타사 공급업체로부터 월간 보안 업데이트를 받을 수 있는 기능이 필요한데, 어떤 조치를 취해야하는가?
  • NAT 게이트웨이를 생성하고, 퍼블릭 서브넷에 배치해야한다. NAT 게이트웨이를 기본 경로로 사용하도록 프라이빗 서브넷 라우팅 테이블을 구성한다.
  • 퍼블릭 서브넷은 인터넷 게이트웨이, 프라비잇 서브넷은 NAT 게이트웨이
  • NAT Instance는 구식임

46번

  • 웹사이트는 Auto Scaling 그룹의 일부이고, ALB(Application Load Balancer)로 보호되는 Amazon EC2 인스턴스를 호스팅한다. 또한, Cloud Front 배포를 사용할 수 있으며, WAF를 활용하여 SQL 인젝션 공격을 방어한다. ALB는 CloudFront 배포가 시작되는 곳이다. 최근 보안 로그 분석을 통해 웹사이트 방문을 차단해야하는 외부 악성 IP주소를 식별했습니다. 어떤 보호 단계를 거쳐야 하는가?
  • WAF의 구성을 수정하여 악성 IP주소를 차단하는 IP조건을 추가한다.
  • CloudFront는 리전내 서비스가 아닌, 리전 외부 별도 Edge Location 상에서 서비스가 되기 때문에 NACL 설정 적용이 안된다.(NACL은 서브넷에서 가능) 그리고 외부 침입으로부터 시스템을 보호하는것은 NACL과 Security Group 레벨보다 더 앞단인 WAF 레벨에서 막는것이 바람직하다.

47번

  • 다른 회사와 협업중에 있는데, 다른 회사는 개발팀의 계정에 저장된 SQS 대기열에 액세스 해야하는데, 다른 회사는 자체 계정에 대한 액세스 권한을 부여하지 않고 대기열을 폴링하려 한다. SQS 대기열 액세스를 어떻게 관리해야할까?
  • SQS 대기열에 대한 다른 회사 액세스를 제공하는 SQS 액세스 정책을 만든다.
  • SQS 접근 권한을 부여하는 방법은 2가지가 있다. 1번은 IAM Policy를 만들어 User, User Group, Role에 부여하는 자격증명 기반 정잭(Identity Based)과 2번은 AWS 리소스 자체에 접근 권한 정책을 정의하는 Resource Based 정책. 리소스는 (S3, SQS, Glacier, KMS 가 있음)
  • IAM 정책을 사용하려면 유저나 이런것에 자격 부여를 해줘야함

48번

  • 많은 량의 트래픽을 처리하고, 수신된 순서대로 게임 업데이트 처리하고 변경사항을 액세스하기 쉬운 데이터베이스에 저장할 수 있는 솔루션을 개발해야 한다. 또한 조직은 솔루션 유지 관리와 관련된 관리 비용을 줄이기를 원한다. 어떤 조치를 취해야하는가?
  • Kinesis Data Streams에 대한 푸시 점수 업데이트, Lambda를 사용하여 Kinesis Data Streams의 업데이트를 처리하고 처리된 업데이트를 DynamoDB에 저장한다.
  • 대용량 업데이트는 아무래도 NoSql인 DynamoDB가 훨 좋음

49번

  • AWS에서 고성능 컴퓨팅(HPC) 워크로드를 호스팅 해야 하는데, 수백개의 EC2 인스턴스에 분산되며, 큰 데이터 세트의 분산처리를 용이하게 하기 위해 공유 파일 시스템에 대한 동시 액세스가 필요하다. 워크로드는 1밀리초 미만의 액세스 대기시간을 오구하고, 처리 완료 후 엔지니어는 수동 후처리를 위해 데이터 세트에 액세스 해야하는데 어떤 기준을 사용해야하나?
  • Lustre FSx 공유 파일시스템을 사용하고 후처리를 위해 파일 시스템을 S3 버킷에 연결한다.
  • HPC, windows == Lustre / ECS, EKS, fargate == EFS
  • FSx for Lustre : 1밀리초 미만의 대기 시간, 최대 수백 GB/초의 처리량, 수백만 IOPS를 제공하는 공유 스토리지
  • Lustre는 HPC(고성능 컴퓨팅) 클러스터 및 환경에 사용하는 오픈소스 병렬 분산 파일 시스템
  • fargate 는 lustre 미지원

51번

  • 북미, 유럽 및 아시아에서 사업을 운영하는 다국적 대기업은 분산 애플리케이션을 개발중인데, 단일 대륙에서 이루어진 주문은 1초 이내에 모든 지역에서 액세스 할 수 있도록 최소한의 RTO(복구 시간 목표)로 장애 조치를 수행할 수 있어야하는데, 가동 시간은 운영계에 문제가 발생하지 않도록 하는게 중요하다. 어떤 권장 사항을 제시해야하나?
  • DynamoDB 전역 테이블을 사용한다.
  • DynamoDB > Aurora > RDS
  • Aurora 글로벌 db의 rto 는 분단위임
  • Aurora는 읽기 전용 복제이고, dynamoDB는 read/write 가 이루어짐

52번

  • 두개의 AWS계정이 있는데, 하나는 production용이며, 다른 하나는 Development용이다. 개발계정에서 운영으로 보낼 준비가 된 코드는 있는데, 개발팀의 2명만 알파 단계에서 운영계정에 액세스 할 수 있다. 베타 단계에서 더 많은 개발자가 테스트를 수행하기 위해 액세스 권한이 필요한데, 솔루션 관계자는 어떤 권장사항을 제시해야하는가?
  • Development 계정을 지정하는 신뢰 정책을 사용하고, Production 계정에서 IAM 역할을 생성하여 개발자가 역할을 맡도록 허용한다.

53번

  • 기업이 다른 리전에 격리된 백업 환경을 구성하였는데, 앱이 웜 대기모드에 있으며 ALB(Load Balancer)에 의해 보호된다. 현재 장애 조치는 다른 리전의 보조 ALB에 연결하기 위해 DNS 별칭 레코드를 변경해야 하는 수동 작업인데, 장애 조치 프로세스를 자동화하는 가장 좋은 방법은 무엇인가?
  • Route 53 health check 상태 확인을 활성화 한다.
  • Active-Passive : Route 53은 능동적으로 기본 리소스를 반환한다, 오류가 발생할 경우 53번 경로는 백업 리소스를 반환
  • Active-active : Route 53은 둘 이상의 리소스를 적극적으로 반환한다, 실패할 경우 53번 경로는 정상 리소스로 되돌아간다.

54번

  • NFS 서버에서 데이터를 OnPrem에 유지하고, 초당 10GB 를 direct connect연결을 성정한다. 저장 용량이 빠르게 고갈중인데, 저지연 액세스를 유지하면서 데이터를 OnPrem 환경에서 AWS클라우드로 이동하려하는데 좋은 방법은?
  • AWS Storage Gateway를 배포하고, 파일 게이트웨이를 사용하여 S3에 데이터를 저장한다, NFS를 사용하여 OnPrem 앱 서버를 파일 게이트웨이에 연결한다.
  • Data Sync : 데이터 전송에만 주안점을 둔 서비스
  • Storage Gateway : 데이터 전송 뿐만 아니라 동시에 데이터 접근 및 사용도 지원하는 서비스 (OnPrem 클라우드 기반 스토리지와 연결)
  • File Gateway : NFS, SMB를 통해 S3 액세스 제공
    Volume Gateway : SCSI를 통한 볼륨제공 및 백업을 EBS스냅샷으로 제공

55번

  • 기업의 OnPrem 볼륨 백업시스템의 수명이 다 했다, 그래서 새로운 백업 솔루션에 포함하고 백업되는 동안에 모든 데이터는 로컬 액세스를 유지하길 원한다, 그리고 AWS에 백업된 데이터는 자동으로 안전하게 이동하길 원할때 어떤걸 사용해야하나?
  • AWS Storage Gateway를 사용하고 저장 볼륨 게이트웨이를 구성한다, OnPrem에서 Storage Gateway 소프트웨어 어플라이언스를 실행하고, 게이트웨이 스토리지 볼륨을 온프렘 스토리지에 매핑한다. 게이트웨이 스토리지 볼륨을 마운트하여 데이터에 대한 로컬 액세스를 제공한다.
  • AWS Snowball은 컴퓨팅 및 스토리지 기능을 엣지 환경으로 가져오는 서비스( 오프라인 서비스)
  • 데이터 마이그레이션 방식중 Storage gateway가 마이그레이션과 데이터 사용도 동시에 됨
  • 캐시 모드는 S3에 저장되어서 로컬 액세스가 아님

56번

  • AWS 확장 가능한 웹 앱을 원함, 전세계 사람들이 액세스 할 수 있어야하고, 기가바이트 범위의 고유한 데이터를 다운로드 및 업로드 할 수 있어야 한다. 개발팀은 업로드 및 다운로드 지연을 최소화 하고자 속도를 최적화 하는 경제적인 솔루션을 찾고있다?
  • Transfer Acceleration 이 포함된 S3를 사용하여 애플리케이션을 호스팅 한다.
  • 저용량 데이터 전송은 CloudFront 이다.

57번

  • 한 비즈니스에서 지역 서비스 중단시에도 매우 안정적이어야 하는 결제 애플리케이션 개발중인데, 여러 AWS 리전에 쉽게 복제 및 배포 할 수 있는 데이터 스토리지 솔루션을 제공하고, 보고서 생성을 위해 즉시 액세스 할 수 있어야하는 짧은 대기 시간의 원자성, 일관성, 격리 및 내구성(ACID) 트랜잭션이 필요하다. 또한 개발팀은 SQL을 사용해야한다. 적절한 스토리지 옵션은?
  • Amazon Aurora 글로벌 데이터 베이스
  • DynamoDB Global tables -> No SQL
  • S3 - No ACID
  • DynamoDB는 sql은 사용할 수 있어도 ACID를 보장하진 못한다.
  • Aurora Global DB: SQL을 사용하고, 다른 리전으로 높은 가용성으로 복제가 쉽고, data storage로 사용된다. 다른 RDS와 마찬가지로, ACID를 제공하고, MySQL보다 5배 더 높은 성능을 보낸다.
  • RDB 중 Multi Region 서비스를 제공해주는게 Aurora

58번

  • 웹 앺 개발 비즈니스에서 여려지역에 수백개의 ALB(Application Load Balancer)를 배포했는데, 회사는 방화벽 장치에 있는 모든 로드밸런서의 IP주소에 대해 허용목록을 장성하려 한다. 방화벽이 수락해야하는 IP수를 줄이는데 도움이 되는 이 요구사항에 대한 일회성 고가용성 솔루션을 찾고 있는데 어떤걸 제시해야할가?
  • AWS Global Accelerator를 시작하고 모든 리전에 대한 엔드포인트를 생성한다. 다른 리전의 모든 ALB를 해당 엔드포인트에 등록하십시요.
  • AWS Global Accelerator : 글로벌 사용자에게 제공하는 애플리케이션의 가용성과 성능을 향상하는데 도움이 되는 네트워킹 서비스, 고정 IP 주소를 통해 고정된 진입점을 제공하고, 서로 다른 AWS 리전 및 가용 영역별로 특정 IP주소를 관리하는 복잡성을 없앤다. 멀티리전이라 Global Accelerator 를 사용해야 한다.

59번

  • 단일 가용영역의 EC2 Auto Scaling 그룹에 있는 6개의 프런트 엔드 웹 서버에서 호스팅되고 ALB(Application Load Balancer) 로 보호되는 다중 계층 애플리케이션이 있다. 애플리케이션에 영향을 주지 않으면서 솔루션 설계자는 인프라를 조정하여 액세스 가능성을 높여야 하는데, 최대 가용성을 보장하기 위해 어떤 아케틱쳐를 사용해야 하는가?
  • 2개의 가용영역 각각에서 3개의 인스턴스를 사용하도록 Auto Scaling 그룹을 수정한다.
  • 고가용성을 위해 Multi-AZ 사용
  • Auto scaling 과 region은 관련 x
  • Multi region 은 가용성 보다는 접근성 또는 재난 대비

60번

  • S3 버킷에 파일을 쉽게 업로드 하고, 업로드 된 후 메타 데이터 추출을 위해 분석되며 5초 미만이 소요되며, 업로드 볼륨과 빈도는 시간당 몇개의 파일에서 수백개의 동시 업로드까지 다양하다. 어떤 권장사항이 나을까?
  • Lambda 함수를 호출하여 파일을 처리하도록 S3 버킷 내에서 객체 생성 이벤트 알림을 구성한다.
  • 5초 미만 소요 -> 람다 가능, s3 업로드 되면 바로 람다 트리거 가능
  • 실시간이라는 말이 있어야 키네시스 가능
  • S3 -> Lambda 가능
  • 정석은 S3 -> SNS -> SQS -> Lambda
  • S3 -> SNS -> lambda 는 불가

61번

  • 암호화 되지 않은 EBS 스냅샷에서 복구된 모든 볼륨이 암호화 되었는지 검증하기 위한 방법은?
  • AWS 리전에 대해 기본적으로 EBS 암호화를 활성화 한다.
  • 리전당 단일 설정을 통해서 EBS 암호화를 기본적으로 활성화 할 수 있다. 이렇게 되면 모든 새 볼륨이 항상 암호화 된다.

62번

  • 2계층 전자상거래 웹사이트 운영중, EC2 인스턴스로 라우팅 되는 로드밸런서로 구성되는데, DB계층은 RDS 데이터베이스 인스턴스로 사용되어 구현됨, EC2 인스턴스와 RDS db 인스턴스는 공개적으로 액세스 할 수 없도록 해야하고, EC2 인스턴스가 타사 웹 서비스를 통한 주문결제처리를 완료하려면 인터넷 연결이 필요하고 애플리케이션의 가용성 또한 높아야 한다, 설정 대안은?
  • Auto Scaling 그룹을 사용하여 프라이빗 서브넷에서 EC2인스턴스를 시작한다, 프라이빗 서브넷에 RDS 다중 AZ DB인스턴스를 배포한다.
  • 2개의 가용 영역에 걸쳐 2개의 퍼블릭 서브넷, 2개의 프라이빗 서브넷 및 2개의 NAT 게이트웨이로 VPC를 구성한다. 퍼블릭 서브넷에 Application Load Balancer 를 배포한다.
  • 하나의 vpc 에 여러 za가 있는 경우 각각의 az마다 별도의 서브넷을 생성해야한다.(availability 때문)
  • 프라이빗 서브넷이 인터넷에 연결되려면 NAT를 퍼블릭 서브넷에 생성해서 연결해야함
  • NAT, ALB -> 퍼블릭 서브넷 // EC2, DB -> 프라이빗 서브넷

63번

  • EC2 인스턴스는 RDS DB에 연결할 수 있어야하고, 보안그룹이나 네트워크 액세스 제어 목록에 전적으로 의존하는것을 원치않음
  • ALB, NAT -> public Subnet// EC2, DB -> private subnet

64번

  • Windows 앱 마이그레이션 업무 담당, NAS 에 있는 파일 공유에 따른다. 솔루션에서 여러 가용영역에 분산된 EC2 인스턴스를 전송하고 인스턴스에 연결된 Elastic Load Balancer 를 설치 권장, 가장 탄력적이고 내구성이 뛰어난 OnPrem 파일 공유 대안은?
  • 파일 공유를 Windows 파일 서버용으로 FSx로 마이그레이션 한다.
  • Windows -> FSx

65번

  • 기존 아키텍쳐는 ELB를 사용하여 프라이빗 서브넷 내부에 있는 EC2 인스턴스로 트래픽 라우팅하고, 정적 자료는 인스턴스에 보관되고, 동적 컨텐츠는 MySQL DB에서 액세스 된다, 이 응용 프로그램은 미국에서만 사용 가능한데, 최근에 회사는 유럽과 호주의 소비자에게 판매중, 국제 사용자가 향상된 브라우징 경험을 누릴 수 있도록 하는 방법은?
  • CloudFront 및 S3를 사용하여 정적 이미지를 호스팅 한다.
  • CloudFront 는 정적(캐싱)/동적(네트워크 최적화) 컨텐츠 모두 가능
  • 읽고 쓰는 Contents 들이 Unique 하다는 말 없으면 cloudfront가 쓸모가 있음
profile
고독한 키쓰차
Data Scientist or Gourmet
이전 포스트

AWS SAA 공부 (1)

다음 포스트

AWS 공부(4)

0개의 댓글