AWS Solution Architect 오답노트

1. ASG 종료 기준

기본 종료 정책은 종료할 인스턴스를 선택하기 전에 여러 종료 기준을 적용합니다. Amazon EC2 Auto Scaling이 인스턴스를 종료하면 먼저 인스턴스가 가장 많은 가용 영역을 확인하고 축소가 방지되지 않는 인스턴스를 최소 하나 이상 찾습니다. 선택한 가용 영역 내에서 다음과 같은 기본 종료 정책 동작이 적용됩니다.

 

1. 종료 대상 인스턴스 중 가장 오래된 시작 템플릿 또는 시작 구성을 사용하는 인스턴스가 있는지 확인합니다.

1.1. [시작 템플릿을 사용하는 오토 스케일링의 경우]

시작 구성을 사용하는 인스턴스가 없다면 인스턴스 중에서 가장 오래된 시작 템플릿을 사용하는 인스턴스가 있는지 확인합니다. Amazon EC2 Auto Scaling은 시작 템플릿을 사용하는 인스턴스를 종료하기 전에 시작 구성을 사용하는 인스턴스를 종료합니다.

1.2. [시작 구성을 사용하는 오토 스케일링의 경우]

 

이 중에서 가장 오래된 시작 구성을 사용하는 인스턴스가 있는지 확인합니다.

2. 앞선 기준을 적용한 후 종료할 비보호 인스턴스가 여러 개 있는 경우, 다음 결제 시간에 가장 근접한 인스턴스가 무엇인지 확인합니다. 다음번 결제 시간에 가장 근접한 비보호 인스턴스가 여러 개인 경우 이러한 인스턴스 중 하나를 임의로 종료합니다.

 

2. KMS CMK 삭제

AWS Key Management Service(AWS KMS)에서 고객 마스터 키(CMK)를 삭제하면 파괴적이며 잠재적으로 위험합니다. 따라서 AWS KMS는 대기 기간을 적용합니다. AWS KMS에서 CMK를 삭제하려면 키 삭제를 예약합니다. 대기 기간은 최소 7일에서 최대 30일까지 설정할 수 있습니다. 기본 대기 기간은 30일입니다. 대기 기간 동안 CMK 상태 및 키 상태는 삭제 보류입니다. CMK를 복구하려면 대기 기간이 끝나기 전에 키 삭제를 취소하면 됩니다. 대기 기간이 끝나면 키 삭제를 취소할 수 없으며 AWS KMS가 CMK를 삭제합니다.

 

3. S3 간단 정리

- S3 Glacier Flexible Retrieval

: 연간 1~2회 액세스, 비동기식, IR보다 10퍼 저렴, 재해 복구 사례, 무료 검색. 몇분~몇시간 액세스 시간 걸림.

검색 작업할 때 S3는 요청된 데이터를 S3 Glacier Flexible Retrieval에서 먼저 검색한 후 요청된 데이터의 임시 사본을 Amazon S3에 생성.

 

- S3 One Zone-IA : 내구성 x, Glacier보다 비쌈.

- SMB프로토콜을 이용한 FSx for Window File server : 매우 안정적이고 확장 가능한 완전 관리형 파일 스토리지

 

4. 글로벌 접속. 부분 공개. with CloudFront

인증된 요청을 Amazon S3로 보내도록 CloudFront를 구성하고 CloudFront의 인증된 요청(OAC)에 대한 액세스만 허용할도록 Amazon S3를 구성.

Q 회원 전용 액세스 권한을 도입했고, URL변경 없이 유료 구독자에게만 여러 개인 미디어 파일에 대한 액세스를 제공해야 한다는 요구사항이 있습니다.

- CloudFront 서명된 쿠키를 사용하여 콘텐츠 엑세스를 제어합니다.

- CloudFront 서명된 URL

: 개인 파일에 대한 액세스 제한. 사용자가 쿠키를 지원하지 않는 클라이언트를 사용하는 경우

 

5. DMS 예

: DMS를 지원하면 지원되는 소스에서 관계형 DB, 데이터 웨어하우스, NoSQL DB 에 쉽게 마이그레이션 할 수 있는 서비스.(온프레미스도 가능.)

일회성 마이그레이션을 수행하고 지속적인 변경 사항을 복제하여 동기화 상태 유지 가능.

AWS DMS를 사용하면 전체 및 변경 데이터 캡처(CDC) 파일을 이러한 서비스로 마이그레이션할 수 있습니다. AWS DMS는 복잡한 구성이나 코드 개발 없이 즉시 이 작업을 수행합니다. 워크로드에 따라 확장 또는 축소하도록 AWS DMS 복제 인스턴스를 구성할 수도 있습니다.

 

- 다른 DB엔진일 때 SCT 이용(DB 스키마를 새 플랫폼으로 변환 후 마이그레이션 가능. 테이블 사전 생성 가능.)

- S3로 할 때 : 전체 로드 및 변경데이터캡쳐(CDC) 데이터는 .csv형식으로 기록됨. SSL 사용해서 암호화

 

6. SNS

알림 설정, 운영 및 전송 웹서비스. 애플리케이션의 메시지를 게시하고 구독자나 다른 애플리케이션에 즉시 전송.

PUSH서비스 폴링할 필요없음.

 

7. Redis AUTH 명령

암호로 보호된 Redis 서버에서 Redis 명령을 실행할 수 있는 권한이 부여되기 전에 사용자에게 암호를 입력하도록 요구하여 데이터 보안을 향상.

사용자가 암호로 보호된 Redis 서버에 암호를 입력하도록 요구하려면 복제 그룹 또는 클러스터를 생성할 때와 복제 그룹 또는 클러스트에 대한 모든 후속 명령에 올바른 암호와 함꼐 --auth-token 매개변수를 포함.

 

8. S3 부분공개

기본적으로 모든 S3 객체는 비공개 객체 소유자만 액세스.

자신의 보안 자격 증명을 사용하여 일정 기간동안 객체 다운로드를 허가하는 미리 서명된 URL을 만들어 다른 사용자와 객체를 공유 가능.

만들 때 보안 자격 증명을 제공하고 버킷 이름, 객체 키, HTTP 매서드 및 만료 날짜와 시간을 지정.(임시 토큰 이용.)

 

9. Storage Gateway

: 하이브리드 클라우드 스토리지 서비스

iSCI, SMB 및 NFS와 가튼 표준 스토리지 프로토콜 세트를 제공. 자주 액세스 하는 파일은 온프레미스에 캐싱하여 지연 시간이 짧은 성능을 제공.

예)

1. 온프레미스 파일 데이터를 S3로 마이그레이션

2. 온프레미스 파일 데이터를 S3에 객체로 백업하고 수명 주기 관리 및 교차 리전 복제

3. 기계학습 빅데이터 분석, 서버리스 와 같은 워크플로

 

10. 인스턴스 스토어 볼륨

RAID 0 어레이를 생성하면 단일 Amazon EBS 볼륨에서 프로비저닝할 때보다 파일 시스템의 성능이 더 향상됩니다. I/O 성능이 무엇보다 중요할 경우 RAID 0를 사용하십시오. 

 

11. 백업(정리하기)

백업 및 복구 (1시간 단위 RPO, 24시간 이하의 RTO): 데이터와 애플리케이션을 복구 리전에 백업합니다. 자동화된 백업 또는 지속적인 백업을 사용하면 특정 시점 복구가 가능하여 경우에 따라서는 RPO를 5분까지 줄일 수 있습니다. 재해 이벤트 시 인프라를 배포(RTO를 단축하기 위해 인프라를 코드로 사용하여)하고, 코드를 배포하고, 백업 데이터를 복원하여 복구 리전에서 재해로부터 복구합니다.

 

파일럿 라이트 (1분 단위 RPO, 10분 단위 RTO): 코어 워크로드의 인프라 복사본을 복구 리전에 프로비저닝합니다. 데이터를 복구 리전에 복제하고 복구 리전에서 백업을 생성합니다. 데이터베이스 및 객체 스토리지 등 데이터 복제 및 백업을 지원하는 데 필요한 리소스가 항상 실행됩니다. 애플리케이션 서버 또는 서버리스 컴퓨팅과 같은 기타 요소는 배포되지 않지만 필요에 따라 필수 구성 및 애플리케이션 코드로 생성될 수 있습니다.

 

웜 대기 (초 단위 RPO, 분 단위 RTO): 모든 기능을 갖추었지만 축소된 버전의 워크로드를 복구 리전에 항상 실행되는 상태로 유지합니다. 비즈니스 크리티컬 시스템은 완전히 복제되고 항상 실행되지만 플릿은 축소됩니다. 데이터가 복구 리전에 복제되며 실행됩니다. 복구 시기가 되면 시스템은 프로덕션 로드를 처리하기 위해 신속하게 확장됩니다. 웜 대기가 확장될수록 RTO 및 컨트롤 플레인 의존도는 낮아집니다. 완전히 확장되면 이것을 상시 대기 방식이라고 합니다.

 

복수 리전(다중 사이트) 액티브/액티브 (0에 가까운 RPO, 0일 수 있는 RTO): 워크로드가 여러 AWS 리전에 배포되고 능동적으로 트래픽을 처리합니다. 이 전략을 사용하려면 리전 전체에서 데이터를 동기화해야 합니다. 서로 다른 두 개 리전에 있는 복제본에 같은 레코드를 쓸 때 나타날 수 있는 충돌을 피하거나 처리해야 하는데, 그 방법이 복잡할 수 있습니다. 데이터 복제는 데이터 동기화에 유용하며 일부 유형의 재해로부터 보호해 주지만, 솔루션에 특정 시점 복구 옵션이 포함되지 않은 이상 데이터 손상 또는 중단으로부터 보호해 주지는 않습니다.

 

12. S3 저장완료 확인

S3 API 호출을 트리거하고 HTTP 200 결과 코드와 MD5 체크섬을 얻은 경우 성공적인 업로드로 간주됩니다. 업로드에 실패한 경우 S3 API는 오류 코드를 반환합니다.

 

13. 인스턴스가 종료될 때 루트 볼륨을 유지하려면 루트 볼륨의 DeleteOnTermination 속성을 False로 변경합니다

 

14. SSL을 사용하여 SQL Server DB인스턴스에 연결

-모든 연결에 SSL 강제 적용 : 강제 실행 할려면 rds.force_ssl 매개변수를 사용. 기본적으로는 false

- 특정 연결 암호화

 

15. 버킷 정책

: 버킷은 객체의 컨테이너입니다. 버킷에 대한 액세스를 제어하여 버킷에서 객체를 생성 삭제 나열할 사람을 결정 가능.

S3 객체는 버킷을 다른 계정이 소유하고 있더라도 이를 업로드한 AWS 계정이 소유.

액세스 권한을 얻으려면 객체 소유자가 버킷 소유자 액세스 권한을 명시적으로 부여해야함. 외부 사용자에게 버킷 소유자 전체 제어 권한을 부여하도록 버킷 정책 생성가능.

(사용자가 버킷에 객체를 업로드할 때 bucket-owner-full-controll 액세스 제어 목록(ACL)을 포함하도록 요구하는 정책을 추가)

 

16. Amazon MQ

: 하이브리드 메세지 브로커 관리를 담당. 애플리케이션의 메시징 코드를 다시 작성하지 않고 완전 관리형 클라우드로 서비스. 

Apache ActiveMQ 및 RabbitMQ용 관리형 메시지 브로커 서비스. 업계 표준 API 및 프로토콜에 직접 액세스

 

17. 업무시간에만 EC2 중지하고 필요할 때만 다시 시작하는 솔루션

: 최대 절전 모드가 활성화된 EC2  인스턴스로 애플리케이션을 마이그레이션합니다.

최대 절전 모드 - 인스턴스를 편리하게 일시 중지하고 다시 시작할 수 있고, 애플리케이션 시작시간을 줄여 절약 가능.

다시 설정하는 수고를 덜음.

 

18. 글로벌 접속

- Amazon CloudFront를 사용자 지정 오리진으로 사용(CDN 서비스, ), 동적 웹 콘텐츠를 사용자에게 빠르게 배포.

-웹 사이트의 인메모리 데이터 스토어 또는 캐시에 Amazon ElasticCache 사용. 인 메모리 캐싱 서비스.

 

19. 온프레미스에서 AWS로 마이그레이션

: 온프레미스 데이터를 여러 Snowball Edge Storage Optimized 디바이스로 전송합니다. Snowball Edge 데이터를 Amazon S3에 복사하고 수명 주기 정책을 생성하여 데이터를 AWS Glacier로 전환합니다.

 

20. API Gateway

Amazon API Gateway는 트래픽 관리, 권한 부여 및 액세스 제어, 모니터링, API 버전 관리를 비롯해 최대 수십만 건의 동시 API 호출을 수락 및 처리하는 데 관련된 모든 작업을 처리합니다. 

 

21. EC2 복구 

복구된 인스턴스는 인스턴스 ID, 프라이빗 IP 주소, 탄력적 IP 주소 및 모든 인스턴스 메타데이터를 포함하여 원본 인스턴스와 동일합니다. 손상된 인스턴스에 퍼블릭 IPv4 주소가 있는 경우 복구 후에도 인스턴스에서 해당 퍼블릭 IPv4 주소를 유지합니다. 손상된 인스턴스가 배치 그룹에 있다면, 복구된 인스턴스는 배치 그룹에서 실행됩니다. 인스턴스 복구 중에 인스턴스를 재부팅할 때 인스턴스가 마이그레이션되고 메모리의 모든 데이터가 손실됩니다.

 

+ 업데이트

: InService 상태의 인스턴스를 Standby 상태로 설정하고, 인스턴스를 업데이트하거나 문제 해결한 다음, 해당 인스턴스를 서비스 상태로 되돌릴 수 있습니다.

ReplaceUnhealthy 프로세스는 비정상적으로 인스턴스를 종료하고 Amazon EC2 Auto Scaling이 인스턴스를 대체하도록 하거나 인스턴스 새로 고침 기능을 사용하여 인스턴스를 종료하고 대체할 수 있습니다. 

 

22. AWS 계정 B의 Amazon S3 버킷에 액세스 하는 AWS 계정 A의 Lambda 함수 구현시

: S3버킷에 대한 액세스 권한을 부여하는 Lambda 함수에 대한 IAM 역할을 생성합니다. IAM 역할을 Lambda 함수의 실행 역할로 설정합니다. 버킷 정책이 Lambda 함수의 실행 역할에 대한 액세스 권한도 부여하는지 확인필수

 

23. SCP(서비스 제어 정책) 

: 조직을 관리하는 데 사용할 수 있는 정책 유형 중 하나입니다. SCP는 조직의 모든 계정에 대해 사용 가능한 최대 권한에 대한 중앙 제어를 제공하므로 계정이 조직의 액세스 제어 지침을 준수하게 가능. 하지만 SCP는 모든 기능이 활성화된 조직에서만 사용할 수 있습니다. 

 

24. EventBridge

: 비동기식 분리, 애플리케이션 간 통신에 쓰임.

 

25. 암호화

서버측 암호화

: 객체를 암호화하고 객체를 다운로드할 때 이를 해독하도록 Amazon S3에 요청함

1. Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3)(AES-256 보안 유형)

2. AWS Key Management Service에 저장된 KMS 키를 사용한 서버 측 암호화(SSE-KMS)

3. 고객 제공 키를 사용한 서버 측 암호화(SSE-C)

 

클라이언트 암호화

:사용자가 암호화 프로세스, 암호화 키 및 관련도구를 관리

1. AWS Key Management Service(AWS KMS)에 저장된 키를 사용합니다.

2. 애플리케이션 내에 저장한 키를 사용합니다.

(그 후 S3에 저장)

 

전송중 암호화(SSL/TLS)

: 매우 민감한 기밀 내용일 경우.ex) 신용카드로 온라인 결제. 

중간자의 공격으로부터 보호됨.

 

26. 금융거래(민감 세부 정보 있음. 확장 가능한 실시간 솔루션)

스트리밍 트랜잭션을 Amazon Kinesis Data Streams에 공급합니다. Amazon Lambda 통합을 활용하여 모든 트랜잭션에서 민감한 데이터를 제거한 다음 정리된 트랜잭션을 DynamoDB에 저장합니다. 내부 애플리케이션은 Kinesis Data Stream에서 원시 트랜잭션을 사용할 수 있습니다. 

 

27. DDoS 솔루션

: Amazon CloudFront 배포를 구성하고 Application Load Balancer를 오리진으로 설정합니다. AWS WAF 및 AWS Shield 를 사용하여 속도 기반 웹 ACL 규칙을 생성하고 이를 Amazon CloudFront와 연결합니다.

 

28.  AWS RAM(Resource Accesss Manager)

: AWS 계정, 조직 내에서 AWS 리소스를 쉽고 안전하게 공유할 수 있는 서비스.

Transit Gateway, License Manager, Route 53 Resolver  규칙 리소스를 RAM과 공유. 중복 리소스 필요없음.

운영 오버헤드가 줄어듬. 

 

29. CORS(Cross-Origin Resource Sharing)

S3에서 주로 사용. 

한 웹사이트에 접속하여 리소스를 원할 때(S3에 보관되어있는) 이용하는 보안력이 높은 방법.

 

30. 단계 조정 정책

 

31. sns sqs 간단비교

Amazon Simple Queue Service(SQS)는 마이크로서비스, 분산 시스템 및 서버리스 애플리케이션을 분리하고 확장할 수 있는 완전 관리형 메시지 대기열 서비스입니다. SQS는 두 가지 유형의 메시지 대기열을 제공합니다. 표준 대기열은 최대 처리량, 최선형 주문 및 최소 한 번 배달을 제공합니다. SQS FIFO 대기열은 메시지가 전송된 정확한 순서로 정확히 한 번 처리되도록 설계되었습니다.

SQS를 사용하면 이미지 압축 요청을 버퍼링하고 비동기식으로 처리할 수 있습니다. 또한 재시도 및 원활한 확장을 위한 직접 내장 메커니즘이 있습니다.

 

SNS)는 마이크로서비스, 분산 시스템 및 서버리스 애플리케이션을 분리할 수 있는 고가용성, 내구성, 보안, 완전 관리형 게시/구독 메시징 서비스입니다. Amazon SNS는 처리량이 많은 푸시 기반 다대다 메시징에 대한 주제를 제공합니다.

 

암호화로 검색해서 마저 다보기 ami꺼부터

 

32. 다른 리즌간의 연결하는 방법

- VPC간에 VPC 피어링 연결을 설정

- 라우팅 테이블의 대상과 인스턴스 서브넷의 대상을 재구성

 

33. 객체가 Amazon S3 버킷에 업로드될 때마다 AWS Fargate를 사용하여 배치 작업을 실행하고 있습니다. 최소 ECS 작업 수는 비용을 절약하기 위해 처음에 1로 설정되며 S3 버킷에 업로드된 새 객체를 기반으로만 증가해야 합니다.

A : Amazon EventBridge 규칙을 설정하여 S3 객체 PUT 작업을 감지하고 대상을 ECS 클러스터로 설정하여 새 ECS작업을 실행합니다.

 

34. Resolver Endpoint

 Resolver 엔드포인트 및 조건부 전달 규칙을 통해 온프레미스 리소스와 VPC 간의 DNS 쿼리를 확인하여 VPN 또는 Direct Connect(DX)를 통해 하이브리드 클라우드 설정을 생성할 수 있습니다. 구체적으로 설명하면 다음과 같습니다.

• 인바운드 Resolver 엔드포인트를 사용하면 온프레미스 네트워크나 다른 VPC에서 귀하의 VPC로 DNS 쿼리를 보낼 수 있습니다.
• 아웃바운드 Resolver 엔드포인트를 사용하면 귀하의 VPC에서 온프레미스 네트워크나 다른 VPC로 DNS 쿼리를 보낼 수 있습니다.
• Resolver 규칙을 사용하면 각 도메인 이름에 대해 하나의 전달 규칙을 생성하고 DNS 쿼리를 VPC에서 온프레미스 DNS 해석기로, 온프레미스에서 VPC로 전달할 도메인의 이름을 지정할 수 있습니다. 규칙은 VPC에 직접 적용되며 복수의 계정에 걸쳐 공유될 수 있습니다.

 

35. Gateway endpoint  vs Interface Endpoint

 

36. aurora load balancing

로드 밸런싱(Load Balancing)
클러스터 엔드 포인트에 연결하여 DB 클러스터의 읽기 복제본 간의 로드 밸런싱ㅣ 가능합니다. 이것은 읽기 워크로드를 분산하고, 사용 가능한 복제본 간에 자원을 효율적으로 활용할 수 있어 보다 높은 성능을 얻을 수 있습니다. 장애 발생 시, 각 응용 프로그램이 연결되어있는 복제본이 기본 인스턴스로 승격하는 경우 연결은 일단 끊기고, 그 후 다시 연결을 할 클러스터의 다른 복제본에 읽기 쿼리를 실행할 수 있습니다.

https://aws.amazon.com/ko/blogs/korea/new-reader-endpoint-for-amazon-aurora-load-balancing-higher-availability/

 

37. aurora, Redshift Spectrum

Amazon Athena와 Amazon Redshift Spectrum를 언제 사용하는지 궁금해 하는 고객들이 있습니다.

Amazon Athena는 SQL을 사용하여 Amazon S3에 저장된 데이터에 대해 대화 형 애드훅(Ad-hoc) 쿼리를 실행하는 경우에 유용합니다. Amazon Athena의 서버리스 아키텍처는 쿼리를 수행하기 위해 클러스터를 미리 프로비저닝하지 않아도 됩니다. 각 쿼리에서 스캔 한 S3 데이터의 양에 따라 요금이 부과됩니다. 데이터를 압축, 분할 또는 컬럼 형식으로 변환하여 비용을 크게 절감하고 성능을 향상시킬 수 있으므로 Amazon Athena가 쿼리를 실행하기 위해 스캔해야 하는 데이터 양이 줄어 듭니다. JDBC를 사용하는 모든 주요 BI 도구 및 SQL 클라이언트는 Amazon Athena에서 사용할 수 있습니다. 쉬운 시각화를 위해 Amazon QuickSight를 사용할 수도 있습니다.

 

만약, 대용량의 구조화 된 데이터 집합에 대해서는 Amazon Redshift를 사용하는 것이 좋습니다. Redshift Spectrum은 원하는 형식으로 원하는 위치에 자유롭게 데이터를 저장할 수 있게 해주며, 필요시 언제든지 처리 할 수 ​​있으며, 클러스터 확장에 대해 걱정할 필요가 없습니다. 이를 통해 스토리지를 분리하고 계산할 수 있으므로 각 스토리지를 독립적으로 확장 할 수 있습니다. 동일한 Amazon S3 데이터 레이크에 대해 여러 개의 Amazon Redshift 클러스터를 실행하여 대량으로 동시성을 구현할 수도 있습니다. 즉, 자동으로 수천 개의 인스턴스로 확장되기 때문에, 쿼리가 테라 바이트, 페타 바이트 또는 엑사 바이트를 처리하든 상관없이 신속하게 실행됩니다. 이를 염두하시고 판단하시면 됩니다.

 

38. X-ray vs CloudTrail

AWS CloudTrail 및 AWS X-Ray는 주로 각각 "로그 관리" 및 "성능 모니터링" 도구 로 분류됩니다 .

https://stackshare.io/stackups/aws-cloudtrail-vs-aws-x-ray

 

39. 다중 AZ 배포 VS 다중 리전 배포  VS  읽기 전용 복제

40. 표준 및 컨버터블 예약 EC2 인스턴스

 

https://aws.amazon.com/ko/ec2/pricing/reserved-instances/pricing/

 

41. LAKE FORMATION

https://docs.aws.amazon.com/ko_kr/lake-formation/latest/dg/what-is-lake-formation.html

 

42. 휴지기간 

 

43. ClouodFront vs Accelerator

 

https://jm-devjournal.tistory.com/entry/13-AWS-CloudFront%EC%99%80-AWS-Global-Accelerator