AWS 솔루션 아키텍트 AWS-SAA(C02) 시험공부 (팁 & 주요 개념)

 

💡  TIPS

• Windows server -> FSx
• 인스턴스끼리 전송속도 향상 -> Placement Group
• secure network connectivity -> Site to Site VPN
• ~~TB의 데이터를 초기에 전송해야 함 -> Snowball
• 전 세계 유저에게 빠른 접근 제공 -> CloudFront
• 특정 국가에서의 접근을 막고자 함 -> CloudFront Geo restriction
• 용량을 자유롭게 바꾸고 여러 인스턴스에서 접근 -> EFS File system
• 초당 수십만개의 트랜젝션을 처리할 block storage -> EC2 instance store
• Key-value request -> Dynamo DB
• API gateway + 예측 불가능한 요청 패턴 -> Lambda
• 인스턴스를 주기적으로(ex) 매월 초에만) 20개로 늘려줘야 하면? -> Scheduled Reserved Instances
• Layer4(TCP/UDP)에서의 고가용성 -> Network Load Balancer
• CPU 사용률에 따라 Auto Acaling -> target tracking policy
• S3 object를 실수로 삭제하지 않으려면? -> versioning, MFA Delete
• EC2에서 S3 bucket에 접근 -> S3에 대한 IAM생성하여 EC2 인스턴스 프로필에 추가
• High availability -> Multi AZ
• 암호화? -> 거의 KMS
• Decoupling -> SQS
• Secured internet connection -> NAT gateway
• RESTful services -> API gateway
• 파일 복사본을 동기화하여 관리하고 싶다 -> File Gateway
• 읽기 부하가 큰 상태... -> Read Replica

📚 덤프 보며 헷갈렸던 내용 

SG vs. NACL

SG(Security Group)

• Instance Level
• stateful(인바운드 트패픽만 명시)
  NACL
• VPC Level
• stateless
• default
  * default NACL : 모든 in/outbound traffic 허용
  • 사용자지정 NACL : 모든 in/outbound traffic 차단

S3 with Transfer Acceleration

S3로의 업로드/다운로드 속도 향상 (50~500%)
트래픽을 아마존 CloudFront의 분산된 Edge Location과 AWS backbonne network를 통해 처리하여 속도 향상시킨다.

Route 53 active-passive failover configuration

기본 리소스 또는 리소스 그룹이 대부분의 시간 동안 사용 가능하도록 하고 보조 리소스 또는 리소스 그룹은 기본 리소스가 사용 불가능할 경우를 대비해 대기 중에 있도록 설정함

Amazon Kinesis

Amazon Kinesis Data Streams: 실시간 데이터 스트리밍 서비스. 조정 가능하고 내구성이 뛰어남. 수십 만 개의 소스에서 초당 기가바이트의 데이터를 연속적으로 캡처할 수 있음. 데이터의 순서를 지킬 수 있음.
Amazon Kineses Data Firehose : 실시간 분석을 위해 데이터 스트림을 캡처 및 변환하여 AWS 데이터 스토어로 로드
Amazon Kinesis Data Analytics : SQL 또는 Apache Flink를 통해 실시간으로 데이터 스트림을 분석

AWS Global Accelerator Vs. Amazon CloudFront?

둘 다 edge location을 활용하는 서비스이다
Cloudfront는 캐싱 가능한 컨텐츠(이미지, 비디오..)와 동적 컨텐츠(API acceleration, dynamic. site delivery..)의 성능을 향상시키는데 사용된다
Global Accelerator는 TCP/UDP를 사용하는 보다 다양한 용도의 어플리케이션에 사용된다. non-HTTP 예를들어 게이밍(UDP), IOT(MQTT), VoIP 등에 사용된다.

AWS Direct Connect vs. AWS Site-to-Site VPN

DirectConnect : private network. 일관성(consistentcy)은 제공하지만 보안은 떨어진다. 처음 설정할 때 최소 1달 이상 소요된다.
Site-to-Site VPN : 보안성이 높고 바로 세팅이 가능하다. 일관성은 떨어지지만 Accelerated Site-to-Site VPN를 사용하면 일관성을 보장할 수 있다. Accelerated Site-to-Site VPN 은 가용성이 높은 AWS global network를 활용하여 더 일관성 높은 경험을 제공한다.

Amazon RDS Read Replicas for MySQL w/ Multi-AZ deployments

Amazond RDS는 같은 또는 다른 리전에 read-only copy를 생성할 수 있다.
이 Read replica는 read강도가 높은 workload에 대해 확장성을 제공하고
필요하면 standalone database로 승격될 수 있다.
business reporting이나 data warehouse가 필요할 때에도 primary DB instance대신 read replica에서 read query를 수행할 수 있다.

Elastic Load Balancer vs. AWS Global Accelerator

ELB : 단일 리전에서의 Load balancing 제공
AWS Global Accelerator : 여러 리전에 걸친 트레픽 관리 제공. global client를 기반으로 하는 workload가 있다면 AWS Global Accelerator를 사용하는 것을 권장함.

AWS S3 Cross-region Replication

절대 유실되어선 안되는 중요한 데이터를 저장할 때 다른 리전에 S3를 생성하고 cross-Region replication을 설정할 수 있다

AWS S3 Gateway Endpoint, Interface Endpoint

Gateway endpoint : internet 거치지 않고 저장소 접근할 때 사용. 아마존 S3 public ip 주소를 사용하고, on premise에서의 접근을 허용하지 않는다. VPC 내에서는 어플리케이션에서 엔드포인트 변경등이 필요없이 바로 적용이 되지만 ip는 제공되지 않는다.
Interface gateway : VPC에서의 private IP address를 사용하고, on-premise에서의 접근을 허용한다.

Amazon CloudFront

EC2인스턴스에서 호스팅중인 웹사이트이고, ALB가 세팅되어있다.
웹사이트는 dynamic과 static이 섞여있다.
전세계의 사용자들이 웹사이트가 느리다고 할 때 방법은?

dynamic이고 EC2니깐 coludfront아닌 줄 알았는데, cloudfront..
CloudFront distribution을 생성하고, ALB를 오리진으로 설정한다. Amazon Route 53 레코드를 CloudFront를 바라보도록 업데이트한다.

cloudfront가 그냥 정적 컨텐츠 캐싱이라고만 생각했는데 더 찯아봐야할듯..

Geolocation vs. Geoproximity

Geolocation : 사용자의 위치에 기반하여 트래픽 라우팅하려는 경우
Geoproximity : 리소스의 위치를 기반으로 트래픽을 라우팅하고 필요에 따라 한 위치의 리소스에서 다른 위치의 리소스로 트래픽을 보내려는 경우

Network allow/deny rules

• WAF : IP -> block
• ACL on CloudFront distribution : CloudFront는 서브넷 상에 있는게 아니므로 ACL적용 불가(ACL은 Subnet상에서만 적용 가능)
• SG: SG는 deny rule 없음

AWS Directory Service

AWS의 관리형 Active Directory(AD)를 활용
클라우드의 여러 워크로드에서 AD 공유
관리 작업 간소화

RDS & ASG(Auto Scaling Group)

RDS는 managed service이므로 AWS가 scaling을 관리하므로 ASG와는 관계가 없음

AWS Storage Gateway (File, Tape, Volume)

Storage Gateway : Hybrid storage(cloud + on-prem). 디폴트로 데이터를 암호화함. File, Tape, Volume 세 종류가 있다.
1. Storage File Gateway : NFS나 SMB프로토콜을 이용해서 Amazon S3에 접근하는 인터페이스. S3오브젝트로 저장되고 lifecycle management나 cross-region replication과 같은 기능을 사용할 수 있다. 각각의 파일 게이트웨이는 최대 10개의 버킷에 쉐어할 수 있다.
2. Storage Volume Gateway : 블록스토리지를 클라우드로 이전. 로컬 캐싱 기능이 있는 하이브리드 블록 스토리지. iSCSI 프로토콜 사용. 백업이나 DR(disaster recovery에 사용.
3. Storage Tape Gateway : 백업용

참고) https://cloud.in28minutes.com/aws-certification-aws-storage-gateway

AWS Storage Gateway Hardware Appliance

amazon.com에서 주문하여 사용하는 하드웨어 장비.
virtualized environment없이도 Storge Getway를 세팅할 수 있음

ACID

atomicity, consistency, isolation, and durability

Service Control Policy

여러 계정에 대한 IAM을 중앙 관리.
AWS Organization을 통해서 생성한다

Encryption

SSE-S3((Server Side Encryption with S3-Managed Keys): AWS가 data key와 master key 둘 다 관리함
SSE-KMS(Server Side Encryption with KMS-Managed Keys): AWS 가 data key를 사용자가 master key를 관리함
SSE-C(Server Side Encryption with Customer-Provided Keys): Master key와 data key 모두 사용자가 관리함

AWS PrivateLink

복잡하게 IGW나 VPC peering connnection 을 설정할 필요 없이 서로 다른 계정, VPC에 있는 두 서비스를 연결할 수 있음

ASG(Auto Scaling Group) and Region

ASG는 여러 region에 걸쳐서 설정될 수는 없다.

Fargate

컨테이너에 적합한 서버리스 컴퓨팅 엔진으로 ECS 와 EKS에서 모두 작동함.

Transit Gateway

중앙 허브를 통해 VPC와 온프레미스 네트워크를 연결
복잡한 피어링 관계를 제거하여 네트워크를 간소화

AWS Organiztions

결제를 관리하고, 액세스, 규정 준수 및 보안을 제어하고, AWS 계정에서 리소스를 공유하는 일을 모두 중앙에서 손쉽게 처리