16
배송회사는 타사 경로 계회기 앱을 aws 로 마이그레이션 해야함
타사는 공용 레지스트리에서 지원되는 Docker 이밎를 제공합니다
경로맵을 생성하는데 필요한 만큼 컨테이너에서 이밎 실행함
회사는 배송기사가 허븟에서 고객까지 최단거리르 이동할수있도록 배송영역 == 공급허브잇는 구역으로 구분
경로 맵을 생성하느데 필요한 시간을 줄이기 위해 각 세션은 섹션영역에서 주문을 처리하는 사용자 지정 구성과 함께 고유한 Docker 컨테이너 집함 사용
리소스를 비용효율적으로 할당할수잇는 기능은?
AWS Forgate에서 ECS 클러스터를 생성함. AWS CLI run-task 명령을 사용하고 enable ECS Managed Tags 를 true 로 설정하여 계획 애플리케이션을 시작함
--tags 옵션을 사용하여 작업에 사용자 지정 태그를 할당함
17
회사는 사용자에게 맞춤형 app에서 이미지를 업로드 할 수있는 긴으 제공. 업로드 프로세스는 s3 버킷에서 이미지 처리하고 저장하는 aws lambda 함수를 호출합니다.
앱은 특정함수 버전 ARn 을 사용해 lambda 함수를 호출함
lambda 는 환경 변수를 사용하여 이미지 처리 매개변수를 수락함. 회사는 이미지 최적 출력 얻기 위해 lambda 함수는 환경 변수를 조정함
회사는 다양한 매개 변수를 테스트 하고 결과를 확인한 후 업데이트된 환경 변수로 새 기능 버전을 게시합ㄴ디ㅏ
또한 이 업데이트 프로세스에서 새 기능 버전 arn 을 호출하기 위해 사용자 지정 app을 자주 변경하여야 함
변경사항은 사용자에게 방해가됨
프로세스 단순화 하여 사용자의 혼란을 줄이는 방법은?
lambda 함수 별칭 생성함. 함수 별칭 arn 을 사용하도록 클라이언트 app을 수정함. 회사에서 테스트를 완료시 함수의 새 버전을 가리키도록 lambda 별칭을 재구성합니다.
18
보안 엔지니어는 기존 app 이 s3 암호화된 파일에서 rds for mysql db에 대한 자격 증명을 검색하는 것을 확인함.
다음 버전의 앱에서 보안 엔지니어는 보안을 개선하기 위해 앱 설계 변경 사항을 구현하려고 함.
데이터베이스는 안전한 aws 관리형 서비스에 저장된 무작위로 생성된 강력한 암호를 사용해야함
앱 리소스는 cloudformation 을 통해 배포해야함
앱은 90일마다 데이터베이스에 대한 자격증명을 교체해야함
cloudformation 템플릿을 생성해 앱을 배포함. cloudfortmation 템플릿에 지정된 리소스는 최소한의 운영 오버헤드로 보안 엔지니어 요구 사항 충족함?
AWS secret Manager 를 사용하여 비밀 리소스로 데이터베이스 암호를 생성함. db 암호를 교체할 lambda 함수 리소스를 생성함. 90일마다 db 암호를 교체하도록 secrets manager rotationSchedule 리소스를 지정합니다.
19
aws 클라우드에서 앱 실행중 보안팀은 새 IAM 사용자 생성 승인해야함
새 IAM 사용자가 생서오디면 해당 사용자에 대한 모든 액세스 권한이 자동으로 제겅되고, 보안팀은 사용자를 승인하느 알람받아야함
다중 리전 AWS cloud trail 추적있음
이런 요구 사항 단계조합은 무엇?
amazon EventBridge Evens 규칙 생성 cloud trail 통해 aws api 호출로 설정된 detail type 값과 create user 의 eventName 패턴 정의
Aws StepFunctions 상태 시스템 호출하여 액세스 제거
Amazon Simple Notification Service(SNS)를 사용하여 보안팀에 알립니다.
20
vpc에 연결된 aws lambda 함수에서 실행되는 서버리스 앱을 구축중
회사는 앱을 외부 공급자의 새로운 서비스와 통해야함.
외부공급자는 허용목록에 있는 퍼블릭 Ipv4주소에서 오는 요청 지원
회사는 앱이 새 서비스를 사용하기 전 외부 공급자에게 단일 공용 ip 주소를 제공해야함
앱이 새 서비스에 액세스 할 수 있는 기능 솔루션?
NAT 게이트웨이 배포함. 탄력적 ip 주소를 NAT 게이트웨이와 연결함. NAT 게이트웨이를 사용하도록 vpc를 구성해야함
149
단일 aws 리전의 5개 ec2에서 실행해야하는 새로운 app 있음
앱은 앱이 실행될 모든 ec2 간에 높은처치량과 낮은 지연시간 네트워크 연결필요
내결함성 요구는 없음
솔루션은?
5개의 새로운 ec2 를 클러스터 배치 그룹으로 시작함 ec2 인스턴스 유형이 향상된 네트워킹을 지원하는지 확인함.
160
EFS에 저장된많은 수의 공유 파일을 생성하는 밀접하게 연결된 워크로드를 위해 aws에 hpc (고성능 컴퓨팅) 클러스터 구축함
클러스터의 ec가 100개일땐 잘 작동했으나, 클러스터 크기를 100개의 ec2로 늘렸을때 성능이 훨씬 낮음
솔루션 설계자가 hpc 클러스터에서 최대 성능을 달성하기 ㅜ이해선?
hpc 클러스터가 단일 가용 영역 내에서 시작되었는지 확인
efa(elastic fabric adapter) 가 활성화된 ec2 유형을 선택함
Aws EFS 를 lustre 용 amazon FSx로 교체함
180
매일 여러 파일을 수집하는 온프레미스 SaaS운영중
파일 전송을 용이하게 하기 위해 고객에게 여러 공용 SFTP 엔드포인트를 제공중
고객은 SFTP 엔드포인트 ip 주소를 아웃바운드 트래픽에 대한 방화벽 허용 목록에 추가함
SFTP 끝점 ip 주소 에 대한 변경은 허용하지않음
SASS 소룰션은 AWS로 마이그레이션 후 파일전송 서비스의 운영 오버헤드를 줄이려 함
어떤 소룰션?
aws 계정에 고객 소유의 ip 주소 블록을 등록함. 주소풀에서 탄력적 ip 주소를 생성하고 sftp 용 aws 전송 엔드포인트에 할당함. aws transfer 를 사용해 s3 에 파일을 저장함.
190
회사 vpc에서 웹 실행중 웹은 alb 뒤의 ec2 그룹에서 실행중 alb는 waf를 사용중
외부 고객이 웹에 연결해야함 회사는 외부 고객에게 ip주소를 제공하려함
최소한의 운영 오버헤드는?
aws global accelerator 표준 가속기를 생성함. 가속기의 끝점으로 alb 지정. 액셀러레이터의 ip 주소를 고객에게 제공함.
212
NAt gw 에 대한 활성화된 vpc 흐름 로그(sys?) 가 있음
프라이빗 ec2 로 향하는 퍼블릭 주소 198.51.100.2에서 오는 인바운드 트래픽에 대해 action=accept를 보고있다
트래픽이 인터넷으로부터 원치않는 인바운드 연결을 나타내는지 여부를 결정해야함 vpc cidr 블록 처음 두 옥텟은 203.0입니다
어떤 단계?
cloudwatch 콘솔을 연다.
NAT 게이트웨이의 탄력적 네트워크 인터페이스와 프라이빗 인스턴스의 탄력적 네트워크 인터페이스가 포함된 로그 그룹을 선택함.
쿼리를 실행해 like 203.0 으로 설정된 대상 주소와 like 198.51.100.2 로 설정된 소스 주소로 필터링함.
stats 명령을실행하여 소스 주소와 대상주소가 전송한 바이트의 합계를 필터링합니다.
