はじめに
AWSソリューションアーキテクト取得を目指して、コツコツ学習中です。 以下のWEB問題集を毎日学習しています。
学習期間
2018年2月4日〜2月11日
EXAM85
AWS Import/Export
- 大量のデータを物理ストレージからAWSに転送するサービス
- ストレージをAWSに郵送する
- 10TBのデータも転送可能
- 高速にデータ転送できる
EC2のパブリックデータセット
- パブリックデータセットの使用
- Amazonが保管するパブリックデータ
- 無料で利用可能
- ヒト遺伝子のマッピング
- 米国国税調査データ
- NASAの地球の科学的データセット
レガシーVMをEC2へ移行する
- AWS Connector for vCenter
- VM Ware vCenterからEC2へ移行する
- [AWS Connector for vCenter を使用した Amazon EC2 への仮想マシンの移行](https://docs.aws.amazon.com/ja_jp/amp/latest/userguide/migrate-vms.html
EXAM86
サーバ側の暗号化を利用したデータの保護
- AWS KMSで管理されたキーによるサーバ側の暗号化(SSE-KMS)
- 追加料金が必要
- S3のオブジェクトに対する追加の保護を提供するエンベロープキーを使用するための個別のアクセス権限がある
- いつだれがキーを使ったか追跡できる
タグの制限
- タグのみに基づいてリソースを終了、停止、削除することはできない
- リソース識別子の指定が必要
EBSボリュームの暗号化
- EBS作成時に暗号化できる
デフォルトのセキュリティグループ
- インバウンド:許可しない
- アウトバウンド:すべて許可
- このセキュリティグループに関連付けられているインスタンス同士の通信を許可する
SQSを使った優先付け
- SQSの標準仕様
- 順番は保証されない
- キューに送信した順番で送信されるとは限らない
- 実現方法
- SQSのキューを2つにする
- 優先度の高いメッセージ
- 通常のメッセージ
- 優先度が高いメッセージキューをポーリングして、なければ通常のメッセージキューをポーリングする
- SQSのキューを2つにする
EXAM87
特になし
EXAM88
AWSへの専用線
- AWS Direct Connect
- 1Gbpsと、10Gbpsをサポート
- 以下の速度はAPNパートナーから注文できる
- 50Mbps
- 100Mbps
- 200Mbps
- 300Mbps
- 400Mbps
- 500Mbps
- 以下の速度はAPNパートナーから注文できる
- 1Gbpsと、10Gbpsをサポート
リードレプリカの遅延確認
- CloudWatchのメトリクスで確認可能
- ReplicaLag
- ソースDBインスタンスから、リードレプリカDBインスタンスまでのラグ
- 単位は秒
- ReplicaLag
DynamoDBの読み書きスループットの制限
- 制限なし
- ただし、読み書きで10000/秒を超える場合は、事前にAWSに申請が必要
S3の特性について
- 転送時と保管時にデータを保護できる
Elastic MapReduce(EMR)
- 大量のデータを迅速、容易に、かつコスト効果よく処理するためのサービス
- DynamoDB内のデータをS3にエクスポートして、SQL likeな宣言を使用してデータをクエリできる
- マネージド型のHadoopFrameworkを提供
- ビッグデータ解析に使用
EXAM89
AWSアクセスキー管理のベストプラクティス
- ルートアカウントアクセスキーを削除(または作成しない)
- 長期のアクセスキーの代わりにIAMロールを使用する
- IAMユーザのアクセスキーを適切に管理する
ElastiCacheとは
- Key-Valueストアなインメモリキャッシュサービス
- 永続性が重要ではないが高速に読み書きしたいデータの管理に最適
- データキャッシュ
- セッション情報管理
- 永続性が重要ではないが高速に読み書きしたいデータの管理に最適
RDSのセットアップ
- [Specify DB Details]で設定できるもの
- Master Password
- Master Username
- DB Instance Idenfifier
RDSのストレージ不足
- storage-fullの状態になると、インスタンスに接続したり再起動できなくなる
ヒューリスティックなログ監視構成
- 1つのシステムでログを統合
- アクセスログ
- アプリログ
- Securityログなど
- Kinesis+EMRを使用して実現
- Kinesisは、ストリーミングデータをリアルタイムで収集、処理、分析できる
EXAM90
予測不可能なトラフィック需要のニュースサイト
- AutoScaling+EC2ステートレス+Elasticache+RDSリードレプリカ
- EC2とAutoScalingの関係
- EC2ステートレスインスタンス(使い捨て)
- AutoScalingにはステートレスにする必要がある
- EC2ステートフルインスタンス(状態を保持。使い捨てにできない)
- EC2ステートレスインスタンス(使い捨て)
- EC2とAutoScalingの関係
VPCのセキュリティ
- セキュリティグループ
- インスタンスレベルのファイアウォール
- ステートレス
- ネットワークACL
- サブネットのファイアウォール
- ステートフル
- フローフラグ
- VPC間のIPトラフィックをキャプチャする
Redshiftについて
- ビッグデータ向けのデータハウス
- Query APIを使用してプログラム的に管理できる
Trusted Advisor
AWS環境を検査するservice - コスト削減 - システムパフォーマンス向上 - Security項目(14項目) - セキュリティグループ無制限アクセス - /0 - 開かれたポート - port:20が無制限 - ELBセキュリティグループ - ELBにセキュリティグループがない - RDSセキュリティグループ - グローバルアクセスを許可している - ELBリスナーのセキュリティ - SSLを使用していない - IAMの使用 - IAMパスワードポリシー - IAMアクセスキーローテーション - S3バケット許可 - オリジンサーバのCloudFront SSL証明書 - CloudTrailロギング - ルートアカウントのMFA - 有効になっているか
RDSのストレージサイズ
- 減らすことはできない
- 増やす場合は10%以上増やす必要がある
Multi-Factor Authentication(MFA)
- IAMユーザおよびRootユーザ
- ユーザ1人につきMFAデバイスを1つ有効にできる
- スマホで6桁の番号入力
EXAM91
CloudFrontのアクセスログ
- 任意のS3に送信できる
ENIのフェイルオーバー
- ネットワークインターフェイスの受信トラフィックに対して、以下2つを使用する
- Elastic IP
- セカンダリPrivateIP
同一VPCの異なるサブネットA、Bの通信について
- 同一VPC内ではサブネット間の通信はデフォルトで可能
- サブネット間のルーティング設定は不要
- 通信できない場合は
- サブネットBのネットワークACLで送信ICMPトラフィックを許可していない
- インスタンスBのセキュリティグループでインバウンドICMPトラフィックを許可していない
MFA(多要素認証)トークン
以下2つを利用できる - ハードウェア - 仮想MFAデバイス
AWSの歴史
- 2006年7月に公開された
S3の誤操作(削除・変更)防止策
以下2つの策が有効。 - S3のバージョン管理 - バケットのMFAを有効にする(MFA Delete)
[バージョニングの使用(https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/Versioning.html)
EXAM92
S3の特徴
耐久性は、99.999999999 可用性は、99.99
ボリュームのステータス
- ok
- OK
- warning
- 警告
- impaired
- 障害
- insufficient-data
- 不十分なデータ(Monitoringできない)
S3のデータ整合性モデル
- AWS再入門 Amazon S3編
- 結果整合性モデル(Eventual Consistency Read)
- 新規登録(新規PUT)
- 書き込み後の読み取り整合性
- PUT要求に対する正常な応答が発生する
- データ登録完了後、即時データが参照できる
- 書き込み後の読み取り整合性
- 更新(上書きPUT)
- 結果整合性
- 更新直後は、以前のデータが参照される可能性がある
- 削除(DELETE)
- 結果整合性
- 削除直後は、以前のデータが参照される可能性がある
- 新規登録(新規PUT)
マルチAZのRDS for MySQLリードレプリカの状態
- フェイルオーバー後、ステータス:スタックとなった場合
- リードレプリカを削除して、新規に再作成する必要がある
EXAM93
AutoScaling時の通知
- AutoScaling Groupを設定すればできる
- SNS通知を行うことができる
- スケーリングするたびに通知する
- SNS通知を行うことができる
S3のマルチパートアップロード
- スループットが改善される
- 利用できる帯域が半分あれば改善が見込める
AWS OpsWorks
- PuppetまたはChefを使用してアプリを設定するためのサービス
EC2のRAID構成
- 自由に構成することができる
- RAID5
- RAID10
- RAID0
- RAID1
S3の種類
- S3標準
- 堅牢性:99.999999999%
- 可用性:99.99%
- S3低冗長化ストレージ
- 多少のデータ損失が許され、コストを抑えたい場合に採用
- 堅牢性:99.99%
- 可用性:99.99%
- 多少のデータ損失が許され、コストを抑えたい場合に採用
- Glacier
EXAM94
DBインスタンスのセキュリティグループ
- TCPを使用するべき
クロスアカウントアクセス
- 異なるAWSのアカウントをIAMロールで許可できる
S3へのアクセスプロトコル
- SOAP over HTTPS
EXAM95
S3のステータスコード
- S3にオブジェクト配置成功時に、200を返す
- MD5チェックサムも返す
EXAM96(700問目!)
ステートレスなアプリ開発を実現したい
- ステート情報を以下に保存すればOK
- DynamoDB
- Elasticache
Trusted Advisor
- コストの最適化
- セキュリティ
- 耐障害性
- パフォーマンスの向上
デフォルトのオートスケーリング設定
- SNS通知する
- もっとも多いAZから選択する
CloudFrontの最小キャッシュ時間
- ウェブディストリビューション:0秒
- HTTP、HTTPSを使用してコンテンツを提供する
- RTMPディストリビューション:3600秒
- Adobe Media Serverと、Adobe Real Time Messaging Protocolを使用してメディアファイルをストリーミングできる
- RTMPディストリビューションでは、オリジンはS3を指定する
EXAM97
EC2の完全なスナップショットの取得
- EC2を停止してから取得する
- EC2を起動後、ボリュームがマウントされていることを確認する
RDSのマルチAZ
- プライマリとスタンバイは同期レプリケーション
- リードレプリカは非同期レプリケーション
- 最新の値が常に取れるわけではない
EXAM98
EC2 t2インスタンス
- CPUのバーストができるインスタンス
- ハードウェア仮想マシン(HVM)
- ストレージ:EBSのみ
S3のアップロード成功時のレスポンスコード
- 204(デフォルト)
- 200
- 201
CloudWatchのデータ取得と集計の最小時間
- 1分単位で取得できるものもある
- EC2のデフォルトは5分
- CPUCreditUsageは5分のみ
- EC2のデフォルトは5分
RDS SQLServer
- 監査ログに対応していない
- MySQL,MariaDB,Oracleは対応している
- OracleはDBA監査、ファイングレイン監査など(オンプレと同じ)
- MySQL,MariaDB,Oracleは対応している
EXAM99
SNSの通知先
- HTTPS
- SMS
- AWS SQS(キュー)
- AWS Lambda
- モバイルPush
リージョン内のデータを自動で暗号化するサービス
- AWS Strage Gateway
- オンプレミスのアプリから使えるハイブリッドストレージ
- Glacier
EXAM100
VPN接続の方法
- 仮想プライベートゲートウェイにパブリックIPアドレスを割り当てる
EBSスナップショットへのアクセス方法
- EC2 APIを使用する
IAMロールの考え方
- グループは他にグループに含めることはできない
- グループにはユーザーのみ含めることができる
- AWSユーザ全てを含むようなグループはデフォルトではない
EXAM101
インターネットからのトラフィックで不正侵入検知(IDS・IPS)を導入する
- SSLリスナーを持つELBを実装する
- WEBサーバのフロントにリバースプロキシ層を配置して、IDS/IPSエージェントを導入する
AWS Strage Gatewayの機能
- ファイルゲートウェイ
- S3へのファイルインターフェースをサポートする
- ゲートウェイキャッシュ型ボリューム
- ボリュームゲートウェイ
- オンプレの端末から、iSCSI接続できる
- ゲートウェイ保管型ボリューム
- テープゲートウェイ
- Glacierのアーカイブできる
- ゲートウェイ仮想テープライブラリ(VTL)
EC2インスタンスの削除保護設定
- `DisableApiTermination 属性を有効にする
リザーブドインスタンスの特徴
- EC2-classic/EC2-VPCを変更できる
- インスタンスタイプに固有
- 同一リージョンの複数アベイラビリティゾーン間でインスタンスを移動できる
インスタンスの平均使用料が削減できる
`