紙一重の積み重ね

35歳のエンジニアがなれる最高の自分を目指して、学んだことをこつこつ情報発信するブログです。

【AWS学習】育児の合間にソリューションアーキテクトアソシエイト学習⑧

f:id:yokoyantech:20171108071256p:plain

はじめに

AWSソリューションアーキテクト取得を目指して、コツコツ学習中です。 以下のWEB問題集を毎日学習しています。

AWS WEB問題集で学習しよう

学習期間

2018年2月4日〜2月11日

EXAM85

AWS Import/Export

  • 大量のデータを物理ストレージからAWSに転送するサービス
  • ストレージをAWSに郵送する
    • 10TBのデータも転送可能
    • 高速にデータ転送できる

EC2のパブリックデータセット

  • パブリックデータセットの使用
  • Amazonが保管するパブリックデータ
  • 無料で利用可能
    • ヒト遺伝子のマッピング
    • 米国国税調査データ
    • NASAの地球の科学的データセット

レガシーVMをEC2へ移行する

EXAM86

サーバ側の暗号化を利用したデータの保護

  • AWS KMSで管理されたキーによるサーバ側の暗号化(SSE-KMS)
    • 追加料金が必要
    • S3のオブジェクトに対する追加の保護を提供するエンベロープキーを使用するための個別のアクセス権限がある
    • いつだれがキーを使ったか追跡できる

タグの制限

  • タグのみに基づいてリソースを終了、停止、削除することはできない
    • リソース識別子の指定が必要

EBSボリュームの暗号化

  • EBS作成時に暗号化できる

デフォルトのセキュリティグループ

  • インバウンド:許可しない
  • アウトバウンド:すべて許可
  • このセキュリティグループに関連付けられているインスタンス同士の通信を許可する

SQSを使った優先付け

  • SQSの標準仕様
    • 順番は保証されない
    • キューに送信した順番で送信されるとは限らない
  • 実現方法
    • SQSのキューを2つにする
      • 優先度の高いメッセージ
      • 通常のメッセージ
    • 優先度が高いメッセージキューをポーリングして、なければ通常のメッセージキューをポーリングする

EXAM87

特になし

EXAM88

AWSへの専用線

  • AWS Direct Connect
    • 1Gbpsと、10Gbpsをサポート
      • 以下の速度はAPNパートナーから注文できる
        • 50Mbps
        • 100Mbps
        • 200Mbps
        • 300Mbps
        • 400Mbps
        • 500Mbps

リードレプリカの遅延確認

  • CloudWatchのメトリクスで確認可能
    • ReplicaLag
      • ソースDBインスタンスから、リードレプリカDBインスタンスまでのラグ
      • 単位は秒

DynamoDBの読み書きスループットの制限

  • 制限なし
    • ただし、読み書きで10000/秒を超える場合は、事前にAWSに申請が必要

S3の特性について

  • 転送時と保管時にデータを保護できる

Elastic MapReduce(EMR)

  • 大量のデータを迅速、容易に、かつコスト効果よく処理するためのサービス
    • DynamoDB内のデータをS3にエクスポートして、SQL likeな宣言を使用してデータをクエリできる
    • マネージド型のHadoopFrameworkを提供
    • ビッグデータ解析に使用

EXAM89

AWSアクセスキー管理のベストプラクティス

  • ルートアカウントアクセスキーを削除(または作成しない)
  • 長期のアクセスキーの代わりにIAMロールを使用する
  • IAMユーザのアクセスキーを適切に管理する

ElastiCacheとは

  • Key-Valueストアなインメモリキャッシュサービス
    • 永続性が重要ではないが高速に読み書きしたいデータの管理に最適
      • データキャッシュ
      • セッション情報管理

RDSのセットアップ

  • [Specify DB Details]で設定できるもの
    • Master Password
    • Master Username
    • DB Instance Idenfifier

RDSのストレージ不足

  • storage-fullの状態になると、インスタンスに接続したり再起動できなくなる

ヒューリスティックなログ監視構成

  • 1つのシステムでログを統合
    • アクセスログ
    • アプリログ
    • Securityログなど
  • Kinesis+EMRを使用して実現
    • Kinesisは、ストリーミングデータをリアルタイムで収集、処理、分析できる

EXAM90

予測不可能なトラフィック需要のニュースサイト

  • AutoScaling+EC2ステートレス+Elasticache+RDSリードレプリカ
    • EC2とAutoScalingの関係
      • EC2ステートレスインスタンス(使い捨て)
        • AutoScalingにはステートレスにする必要がある
      • EC2ステートフルインスタンス(状態を保持。使い捨てにできない)

VPCのセキュリティ

  • セキュリティグループ
    • インスタンスレベルのファイアウォール
    • ステートレス
  • ネットワークACL
    • サブネットのファイアウォール
    • ステートフル
  • フローフラグ
    • VPC間のIPトラフィックをキャプチャする

Redshiftについて

  • ビッグデータ向けのデータハウス
    • Query APIを使用してプログラム的に管理できる

Trusted Advisor

AWS環境を検査するservice - コスト削減 - システムパフォーマンス向上 - Security項目(14項目) - セキュリティグループ無制限アクセス - /0 - 開かれたポート - port:20が無制限 - ELBセキュリティグループ - ELBにセキュリティグループがない - RDSセキュリティグループ - グローバルアクセスを許可している - ELBリスナーのセキュリティ - SSLを使用していない - IAMの使用 - IAMパスワードポリシー - IAMアクセスキーローテーション - S3バケット許可 - オリジンサーバのCloudFront SSL証明書 - CloudTrailロギング - ルートアカウントのMFA - 有効になっているか

RDSのストレージサイズ

  • 減らすことはできない
  • 増やす場合は10%以上増やす必要がある

Multi-Factor Authentication(MFA)

  • IAMユーザおよびRootユーザ
    • ユーザ1人につきMFAデバイスを1つ有効にできる
    • スマホで6桁の番号入力

EXAM91

CloudFrontのアクセスログ

  • 任意のS3に送信できる

ENIのフェイルオーバー

  • ネットワークインターフェイスの受信トラフィックに対して、以下2つを使用する
    • Elastic IP
    • セカンダリPrivateIP

同一VPCの異なるサブネットA、Bの通信について

  • 同一VPC内ではサブネット間の通信はデフォルトで可能
    • サブネット間のルーティング設定は不要
  • 通信できない場合は
    • サブネットBのネットワークACLで送信ICMPトラフィックを許可していない
    • インスタンスBのセキュリティグループでインバウンドICMPトラフィックを許可していない

MFA(多要素認証)トークン

以下2つを利用できる - ハードウェア - 仮想MFAデバイス

AWSの歴史

  • 2006年7月に公開された

S3の誤操作(削除・変更)防止策

以下2つの策が有効。 - S3のバージョン管理 - バケットのMFAを有効にする(MFA Delete)

[バージョニングの使用(https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/Versioning.html)

EXAM92

S3の特徴

耐久性は、99.999999999 可用性は、99.99

ボリュームのステータス

  • ok
    • OK
  • warning
    • 警告
  • impaired
    • 障害
  • insufficient-data
    • 不十分なデータ(Monitoringできない)

S3のデータ整合性モデル

  • AWS再入門 Amazon S3編
  • 結果整合性モデル(Eventual Consistency Read)
    • 新規登録(新規PUT)
      • 書き込み後の読み取り整合性
        • PUT要求に対する正常な応答が発生する
      • データ登録完了後、即時データが参照できる
    • 更新(上書きPUT)
      • 結果整合性
      • 更新直後は、以前のデータが参照される可能性がある
    • 削除(DELETE)
      • 結果整合性
      • 削除直後は、以前のデータが参照される可能性がある

マルチAZのRDS for MySQLリードレプリカの状態

  • フェイルオーバー後、ステータス:スタックとなった場合
    • リードレプリカを削除して、新規に再作成する必要がある

EXAM93

AutoScaling時の通知

  • AutoScaling Groupを設定すればできる
    • SNS通知を行うことができる
      • スケーリングするたびに通知する

S3のマルチパートアップロード

  • スループットが改善される
    • 利用できる帯域が半分あれば改善が見込める

AWS OpsWorks

  • PuppetまたはChefを使用してアプリを設定するためのサービス

EC2のRAID構成

  • 自由に構成することができる
    • RAID5
    • RAID10
    • RAID0
    • RAID1

S3の種類

  • S3標準
    • 堅牢性:99.999999999%
    • 可用性:99.99%
  • S3低冗長化ストレージ
    • 多少のデータ損失が許され、コストを抑えたい場合に採用
      • 堅牢性:99.99%
      • 可用性:99.99%
  • Glacier

EXAM94

DBインスタンスのセキュリティグループ

  • TCPを使用するべき

クロスアカウントアクセス

  • 異なるAWSのアカウントをIAMロールで許可できる

S3へのアクセスプロトコル

  • SOAP over HTTPS

EXAM95

S3のステータスコード

  • S3にオブジェクト配置成功時に、200を返す
    • MD5チェックサムも返す

EXAM96(700問目!)

ステートレスなアプリ開発を実現したい

  • ステート情報を以下に保存すればOK
    • DynamoDB
    • Elasticache

Trusted Advisor

  • コストの最適化
  • セキュリティ
  • 耐障害性
  • パフォーマンスの向上

デフォルトのオートスケーリング設定

  • SNS通知する
  • もっとも多いAZから選択する

CloudFrontの最小キャッシュ時間

  • ウェブディストリビューション:0秒
    • HTTP、HTTPSを使用してコンテンツを提供する
  • RTMPディストリビューション:3600秒
    • Adobe Media Serverと、Adobe Real Time Messaging Protocolを使用してメディアファイルをストリーミングできる
    • RTMPディストリビューションでは、オリジンはS3を指定する

EXAM97

EC2の完全なスナップショットの取得

  • EC2を停止してから取得する
  • EC2を起動後、ボリュームがマウントされていることを確認する

RDSのマルチAZ

  • プライマリとスタンバイは同期レプリケーション
  • リードレプリカは非同期レプリケーション
    • 最新の値が常に取れるわけではない

EXAM98

EC2 t2インスタンス

  • CPUのバーストができるインスタンス
  • ハードウェア仮想マシン(HVM)
  • ストレージ:EBSのみ

S3のアップロード成功時のレスポンスコード

  • 204(デフォルト)
  • 200
  • 201

CloudWatchのデータ取得と集計の最小時間

  • 1分単位で取得できるものもある
    • EC2のデフォルトは5分
      • CPUCreditUsageは5分のみ

RDS SQLServer

  • 監査ログに対応していない
    • MySQL,MariaDB,Oracleは対応している
      • OracleはDBA監査、ファイングレイン監査など(オンプレと同じ)

EXAM99

SNSの通知先

  • HTTPS
  • EMail
  • SMS
  • AWS SQS(キュー)
  • AWS Lambda
  • モバイルPush

リージョン内のデータを自動で暗号化するサービス

  • AWS Strage Gateway
  • オンプレミスのアプリから使えるハイブリッドストレージ
  • Glacier

EXAM100

VPN接続の方法

  • 仮想プライベートゲートウェイにパブリックIPアドレスを割り当てる

EBSスナップショットへのアクセス方法

  • EC2 APIを使用する

IAMロールの考え方

  • グループは他にグループに含めることはできない
  • グループにはユーザーのみ含めることができる
  • AWSユーザ全てを含むようなグループはデフォルトではない

EXAM101

インターネットからのトラフィックで不正侵入検知(IDS・IPS)を導入する

  • SSLリスナーを持つELBを実装する
  • WEBサーバのフロントにリバースプロキシ層を配置して、IDS/IPSエージェントを導入する

AWS Strage Gatewayの機能

  • ファイルゲートウェイ
    • S3へのファイルインターフェースをサポートする
    • ゲートウェイキャッシュ型ボリューム
  • ボリュームゲートウェイ
    • オンプレの端末から、iSCSI接続できる
    • ゲートウェイ保管型ボリューム
  • テープゲートウェイ
    • Glacierのアーカイブできる
    • ゲートウェイ仮想テープライブラリ(VTL)

EC2インスタンスの削除保護設定

  • `DisableApiTermination 属性を有効にする

リザーブドインスタンスの特徴

  • EC2-classic/EC2-VPCを変更できる
  • インスタンスタイプに固有
  • 同一リージョンの複数アベイラビリティゾーン間でインスタンスを移動できる
  • インスタンスの平均使用料が削減できる

  • `