다시 공부할 것
- Amazon Storage Gateway 유형
- CloudFormation - stack
- Elastic Beanstalk 배포 유형
또 틀린 거 (8 문제)
⭐3. AWS RDS DB의 모든 연결에 대한 암호화 설정 방법
- 정답) DB parameter group을 점검한다.
- RDS DB 인스턴스에 대해 SSL 연결만 허용하려면 `rds.force_ssl` 파라미터를 DB 파라미터 그룹에서 활성화해야 한다. 기본값은 "0"이며, 이를 "1"로 설정하면 SSL 연결만 허용하게 된다.
- 파라미터 그룹은 RDS 인스턴스의 구성 옵션 집합을 정의하는데, 이는 RDS 콘솔이나 CLI를 통해 설정할 수 있다.
- 이 설정을 통해 비암호화된 연결을 차단하고, 모든 연결을 SSL을 통해 암호화된 상태로 유지하도록 강제할 수 있다.
- 다른 옵션에 대한 설명
- RDS는 AWS의 완전관리형 서비스이기 때문에 사용자가 직접 패치를 설치할 수 없다.
- 또한, PostgreSQL에서 SSL/TLS Addon 설치 기능은 제공되지 않는다.
9. EC2 인스턴스 시작할 때 InsufficientInstanceCapacity 오류 발생 시 대처 방법
- 정답) 다른 AZ에서 인스턴스를 시작하기
- `InsufficientInstanceCapacity` 오류는 AWS의 특정 가용 영역(AZ)에서 요청된 인스턴스 유형에 대해 현재 가용한 용량이 부족할 때 발생하는 오류다.
- 다른 AZ에 충분한 인스턴스 용량이 있을 수 있기 때문에 '다른 AZ에서 인스턴스를 시작하는 것'이 가장 빠르고 효과적인 기법이다.
- 다른 옵션에 대한 설명) InstanceLimitExceeded
- 개인 AWS 계정의 단일 리전에서 생성 가능한 EC2 인스턴스의 제한 수를 넘어섰을 때 발생한다.
- 리전 당 사용할 수 있는 인스턴스 제한 수 증가를 요청한다.
⭐⭐20. 7년 간 매주 1TB 단위 아카이브를 저장하고 보호하는 방법
- 정답) 아카이브를 Glacier에 보관하고, WORM 접근을 위한 Vault Lock 정책을 세워야 한다.
- Amazon S3 Glacier는 저렴한 비용으로 장기 아카이브 스토리지를 제공하는 서비스이다. Glacier Vault Lock을 사용하면 Write Once Read Many (WORM) 정책 같은 규정 준수 제어를 쉽게 배포하고 개별 Glacier Vault에 대한 Compliance 제어를 강제할 수 있다.
- Vault Lock Policy를 사용하여 데이터를 "한 번 쓰기(write once), 여러 번 읽기(read many)" 모드로 잠그면, 정책이 한 번 잠기면 더 이상 변경할 수 없다.
- 주어진 사용 사례에서는 아카이브가 변경되지 않도록 보장해야 하므로, Glacier에 아카이브를 저장하고 Vault Lock Policy를 설정하여 WORM 접근을 적용해야 한다.
- 다른 옵션에 대한 설명
- 아카이브를 S3에 보관하고, 버킷 정책을 세우고, MFA-Delete와 versioning 기능을 활성화한다.
- 이는 기존 객체를 덮어쓰고 새로운 버전 생성 시도를 저지하지 못하므로 해당 요구 사항을 엄격히 충족하지 못한다.
- MFA-Delete 는 오직 객체에 대한 영구 삭제만을 방지한다.
- 아카이브를 S3에 보관하고, 버킷 정책을 세우고, MFA-Delete와 versioning 기능을 활성화한다.
⭐⭐34. AWS AMI를 동일 조직의 다른 AWS 계정과 공유하는 방법
- 정답) AMI 콘솔 UI에서 AMI를 볼 수 있는 접근 목록을 편집하면 다른 계정이 이를 사용할 수 있다.
- >> EC2 console > AMIs > Actions, Modify Image Permissions > AWS Account Number field
- AWS 계정 ID만 있다면, AMI를 public으로 만들지 않고도, 특정 AWS 계정과 AMI를 공유할 수 있다.
- 암호화되지 않은 volume을 가진 AMI나 고객관리형 CMK로 암호화된 volume 만 공유할 수 있다.
- 다른 옵션에 대한 설명
- AMI를 공유하기 위해 IAM 역할 혹은 권한을 생성할 필요는 없다.
⭐49. AWS CloudFormation에서 EC2 인스턴스의 cfn-init 및 cfn-signal 스크립트를 사용하여 애플리케이션 배포 상태를 확인하는 방법
- 정답) Wait condition을 활성화하지 않았다.
- `cfn-init` 스크립트는 `AWS::CloudFormation::Init` 키에서 템플릿 메타데이터를 읽고 소프트웨어 설치, 파일 작성, 서비스 시작/중지를 처리한다.
- `cfn-signal` 스크립트는 EC2 인스턴스가 성공적으로 생성되거나 업데이트되었는지 여부를 CloudFormation에 신호를 보낸다.
- AWS CloudFormation은 wait condition을 생성하고, 상태를 CREATE_IN_PROGRESS 상태로 만든다. 이후 필요한 만큼의 성공 신호 혹은 wait condition timeout 기간이 만료되기까지 대기한다.
- timeout 시간 전에 필요한 만큼의 성공 신호를 받아들인다면 stack 생성을 이어가지만, 그렇지 않다면 wait condition의 상태를 CREATE_FAILED로 바꾸고 stack을 롤백한다.
- 다른 옵션에 대한 설명
- 사용자 데이터에 cfn-signal 명령어를 포함하지 않았다.
- cfn-signal 명령은 CloudFormation 템플릿 내에서 관리되며, 사용자 데이터에서 설정하는 것이 아니다.
- 사용자 데이터에 cfn-signal 명령어를 포함하지 않았다.
⭐⭐
54. CloudFormation을 사용하여 내부 LAMP 스택을 프로비저닝하는 동안 EC2 인스턴스에서 CloudFormation에 신호를 보내지 못해 스택 생성이 실패하는 이유
- 정답
- 서브넷에서 CloudFormation 서비스로의 네트워크 라우트가 없음
- 내부용 LAMP 스택을 사용한다는 것은 스택이 private subnet에 배포됨을 의미한다. 이건 NAT Gateway 또는 Internet Gateway를 통해 CloudFormation 서비스와의 네트워크 라우트를 거쳐야 한다.
- cfn-signal 스크립트가 대기 조건의 타임아웃 전에 실행되지 않음
- Timeout 속성은 AWS CloudFormation이 성공 신호의 필수 수를 기다리는 시간을 결정한다. 이는 최소 시간 속성으로, 지정한 시간보다 빨리 타임아웃이 발생하지 않지만 그 직후에 바로 발생할 수 있다.
- 서브넷에서 CloudFormation 서비스로의 네트워크 라우트가 없음
- 다른 옵션에 대한 설명
- cfn-init 스크립트가 실패해도, sfn-signal 스크립트는 여전히 실행될 수 있다.
- AWS 용량 부족이 발생했다면 인스턴스는 생성되지 않았을 것이고, 이로 인해 해당 스택은 처음부터 실패했을 것이다.
- cfn-signal을 사용하는 데 IAM 역할은 필요 없다.
58. 메모리 집약적 애플리케이션을 사용자의 수에 따라 자동으로 확장하는 방법
- 정답) CloudWatch 측정에 기반하여 연결된 수에 따라 Auto Scale 수행
- `ActiveConnectionCount` 메트릭은 클라이언트에서 로드 밸런서로, 로드 밸런서에서 대상(인스턴스)로의 활성 TCP 연결의 총 수를 나타낸다. 사용자 수에 따라 확장을 조정하려는 경우, 이 메트릭을 기반으로 자동 확장하는 것이 적절하다.
- 다른 옵션에 대한 설명
- RAM 사용량 - 로드 밸런서에는 RAM 사용량에 대한 기본 CloudWatch 메트릭이 없다. 메모리 사용량을 모니터링하는 것은 인스턴스 수준에서 수행되어야 한다.
64. RDS DB 읽기 확장성 개선을 위한 솔루션 설계
- 정답
- Read Replicas 설정 (맞춤)
- ElasticCache cluster 설정 (틀림) ~> 메모리 내 캐시를 제공하여 DB 읽기 성능 향상. RDS DB 전면에 세운다.
- 다른 옵션에 대한 설명
- DAX 는 DynamoDB에 호환되는 캐싱 서비스로, 관계형 DB의 caching 계층으로 사용될 수 없다.
- API Gateway는 주로 API 요청을 관리하고 Restful API의 전면에서 작동하지만, DB 확장성과는 직접적으로 연관이 없다. 대규모 DB 읽기 확장성 요구사항을 해결하기에는 충분하지 않다.
- Multi-AZ 배포는 주로 장애 조치 지원을 위한 설정이며, 읽기 성능 향상에는 직접적으로 기여하지 않는다.
처음 틀린 거 (6 문제)
25. Volume Gateway
33. S3 and CloudFront distribution
40. 내결함성을 띄고 언제든 재개될 수 있는 저비용 EC2 인스턴스 타입
- 정답) Spot Instances
- Spot Instance는 On-Demand 보다 저가로 사용 가능한 사용되지 않는 EC2 인스턴스이다.
- 수용량이 사용 가능하거나 요청에 대한 시간 당 최대 가격 Spot 가격을 넘어서면 Spot 인스턴스를 실행한다.
⭐⭐46. 종료 절차가 일시중지된 ASG가 rebalance 동작 수행 시 발생하는 여파
- 정답) Rebalance 가 실행될 것이며, EC2 인스턴스도 생성되어서 ASG의 크기도 10% 성장할 것이다. 하지만 인스턴스들은 종료되지 않을 것이다.
- 종료 절차가 중단된다면 ASG는 alarm이나 지정된 동작이 실행되어도 scale-in하지 않는다.
- 종료 절차가 중단됐지만 AZ rebalance가 여전히 활성화되었다면, AZ rebalance는 제대로 실행되지 않을 것이다.
- AZ rebalance는 이전 인스턴스를 종료하지 않고 새 인스턴스를 실행할 것이다. 이로 인해 ASG의 크기가 최대 크기의 10% 가량 커질 수 있는데, 이는 rebalance 동작에 대해서는 일시적으로 이런 동작을 허용하기 때문이다.
⭐⭐47. Elastic Beanstalk 배포 중 가용성을 헤치지 않으면서 복잡한 런타임과 업그레이드 시간이 오래 걸리는 문제 해결 방법
- 정답
- 각 애플리케이션에 대해 새 beanstalk 환경을 생성하고 blue/green 배포 패턴을 적용한다.
- AWS Elastic Beanstalk는 애플리케이션 버전을 수정할 때 제자리 대체를 수행하기 때문에, 애플리케이션이 단기간 동안 사용 불가능할 수 있다.
- 이를 Blue/Green 배포 방식을 통해 해결할 수 있다.
- 애플리케이션에 대한 Golden AMI를 생성한다.
- Golden AMI는 환경 설정, 일관된 보안 patching, 그리고 경화를 거쳐 생성된 AMI이다.
- 로깅, 보안, 그리고 성능 모니터링을 위한 에이전트 또한 포함한다.
- 이를 사용하여 복잡한 런타임과 OS 종속성 환경을 golden AMI 생성으로 해결할 수 있다.
- 각 애플리케이션에 대해 새 beanstalk 환경을 생성하고 blue/green 배포 패턴을 적용한다.
- 다른 옵션에 대한 설명
- All at Once : 새 애플리케이션 버전을 각 인스턴스에 배포하기 때문에, 이후 웹 프록시나 애플리케이션 서버가 재시작해야 한다.
- Rolling with Additional Batch : 한번에 인스턴스들에 대한 하나의 배치에 애플리케이션을 배포한다.때문에 다운타임을 회피하고 가용성 저하를 최소화하지만, 주어진 usecase는 짧은 애플리케이션 업그레이드 시간을 요구하기 때문에 적합하지 않다.
⭐52. ASG가 더 이상 scale-out action을 취하지 못하는 이유
- 정답
- ASG가 최대 수용량에 이미 도달했다. (맞춤)
- ASG 시작 절차가 중단됐다. (틀림)
- Amazon EC2 Auto Scaling은 2가지 진행 방식이 존재한다.
- Launch : ASG에 EC2 인스턴스를 추가하는 작업
- Terminate : ASG에서 EC2 인스턴스를 제거하는 작업
- 만약 Launch 작업이 중단되었다면 ASG는 alarm이나 계획된 action에 대해 동작할 수 없게 된다.
- 다른 옵션에 대한 설명
- ASG AZ Rebalance 작업이 중지됐다.
- AZ Rebalance 유형에 대해, ASG는 특정 event 이후에 인스턴스 재배치를 시도하지 않는다.
- 하지만, scale out/in event가 발생하면, scaling 과정은 여전히 AZ balance를 시도할 것이다.
- AZ Rebalance 작업을 중지하는 것이 scale out을 가로막지는 않는다.
- AWS가 요청한 EC2 인스턴스 유형을 더 제공할 정도의 수용량을 갖고 있지 않다. (틀림)
- 해당 문제가 발생했다면, 장문의 에러 메시지가 출력되었을 것이다.
- ASG AZ Rebalance 작업이 중지됐다.
맞췄는데 애매한 거 (12 문제)
⭐6. 지정한 S3 버킷에 이미지를 직접 업로드하도록 write access를 제공하는 방법
- 정답) 사용자를 Cognito와 연합하여 S3에 접근할 수 있는 역할을 부여한다.
- Amazon Cognito를 사용하면 사용자 등록, 로그인, 접근 제어 기능을 웹 및 모바일 애플리케이션을 빠르게 추가할 수 있다.
- Cognito User Pool을 통해 애플리케이션별 사용자 인증을 제공한 후, Cognito Identity Pool을 사용하여 인증된 사용자에게 AWS 서비스(S3 포함)에 대한 접근 권한을 부여할 수 있다.
- Cognito는 Facebook, Google 같은 소셜 ID 공급자와 SAML 2.0을 통한 엔터프라이즈 ID 공급자를 통한 로그인을 지원하며, 모바일 사용자 계정을 관리하기 위한 최적의 기술이다.
- 다른 옵션에 대한 설명
- 모든 사용자가 공유하는 하나의 IAM 사용자를 생성하고 액세스 키를 모바일 애플리케이션에 포함시키는 건 보안 위험이 매우 크다.
- SAML Security Authentication Markup Language 을 사용하여 SSO를 설정하는 것은 엔터프라이즈 환경에 적합하며, 모바일 애플리케이션의 사용자 인증 및 S3 접근 권한을 관리하는 데는 적합하지 않다.
- 각 사용자를 위한 IAM 사용자를 생성하고 API 키를 모바일 앱 데이터베이스에 저장하는 것은 확장성이 없고 보안상 좋지 않은 접근 방식이다.
Amazon Cognito User Pools vs. Cognito Identity Pools
User Pools
User pool은 Amazon Cognito의 사용자 디렉토리로, 이를 통해 사용자는 웹 및 모바일 앱 가입 및 제3자 IdP를 통해 연합할 수 있다. 이 방법을 사용하는 모든 사용자는 SDK를 통해 접근할 수 있는 디렉토리 프로필을 가진다.
- 가입 및 로그인 서비스
- 커스터마이징 가능한 웹 UI
- 전화 및 이메일 인증, MFA 기능
Identity Pools
Identity pool을 통해 AWS 서비스에 접근할 수 있는 임시 AWS credential을 획득할 수 있다. 또한, 익명 guest 사용자를 보조한다.
11. S3 버킷에 MFA-Delete를 활성화하는 방법
- 정답) root 권한 계정과 AWS CLI를 사용한다.
@. Amazon Storage Gateway
16. Tape Gateway
19. Amazon File Gateway
- 정답) File Gateway
- AWS Storage Gateway의 File Gateway는 온프레미스 애플리케이션이 Amazon S3에 저장된 데이터를 파일 시스템 인터페이스를 통해 SMB 또는 NFS 프로토콜로 액세스할 수 있도록 한다.
- File Gateway는 자주 사용되는 파일을 로컬에 캐시하여 지연 시간을 줄이고, 사용자의 네트워크 대역폭을 절약한다. 해당 기능을 통해 온프레미스 환경과 클라우드 스토리지를 유연히 연결할 수 있다.
- 온프레미스 애플리케이션뿐 아니라, Amazon EC2 기반 애플리케이션이 파일 프로토콜을 통해 S3 오브젝트 스토리지에 접근할 때도 사용할 수 있다.
- 다른 옵션에 대한 설명
- EFS (Elastic File System)
- Amazon EFS는 파일 스토리지 서비스로서 NFS 프로토콜을 지원하지만, 온프레미스 애플리케이션과의 로컬 캐시 기능은 제공하지 않는다. 주로 AWS 클라우드 내에서의 사용을 염두에 두g고 설계된 서비스이다.
- Volume Gateway
- 클라우드 기반 iSCSI 블럭 스토리지 volume을 제공한다.
- on-premise 데이터를 Amazon S3에 저장하고 관리하며, cache 모드나 stored 모드에서 동작할 수 있다.
- EFS (Elastic File System)
⭐21. Multi-AZ RDS DB "512 - Cannot connect to the database" 문제 원인
- 정답
- DB 보안 그룹 inboud rule이 수정되었다.
- 보안 그룹은 상태 저장(stateful) 방식으로, 인스턴스에 들어온 트래픽은 나가는 트래픽 규칙에 따라 응답이 허용된다. 보안 그룹 규칙이 변경되어 DB에 대한 inbound rule 트래픽이 차단되었다면 웹사이트는 DB에 연결할 수 없게 된다.
- Network ACL의 inbound / outbound rule이 수정되었다.
- NACL은 비상태(stateless) 방식으로 작동한다. 따라서, inbound / outbound NACL 규칙이 변경되면 웹사이트에서 DB로의 연결이 차단될 수 있다.
- DB 보안 그룹 inboud rule이 수정되었다.
- 다른 옵션에 대한 설명
- 주 DB의 private IP 주소가 변경되었다.
- Multi-AZ failover로 인해 RDS DB의 private IP가 변경될 수 있다. 그러나 RDS DB에 연결할 때 DNS 엔드포인트를 사용해야 하며, private IP가 변경되어도 DNS 엔드포인트는 변하지 않는다.
- DB 보안 그룹 outbound rule이 수정되었다.
- 보안 그룹은 stateful 방식이기 때문에 허용된 incoming 연결은, outbound rule에 상관 없이, 다시 응답할 수 있다.
- 주 DB의 private IP 주소가 변경되었다.
DB 보안 그룹 특징
- 기본적으로, 보안 그룹은 모든 outbound 트래픽을 허용한다.
- 보안 그룹 규칙은 항상 허용적이다; 접근을 거부하는 규칙은 생성할 수 없다.
- 보안 그룹은 상태 저장 방식이다.
⭐35. 포트 개폐 여부 확인을 위한 AWS 서비스 - AWS Config
- 정답) AWS Config
- AWS Config는 AWS 리소스 환경을 진단/감사하고, 평가를 수행하는 서비스이다.
- 리소스의 구성 변경 사항을 모니터링하여 기록하고, 규정 준수를 보장하기 위한 규칙을 정의할 수 있다.
- 보안 그룹의 규정 준수를 모니터링하고 특정 포트가 열려 있는지 확인하는 규칙을 설정할 수 있다. 해당 규칙이 위배될 경우 Amazon SNS를 통해 알림을 보내 문제가 발생했음을 즉시 알 수 있다.
- 다른 옵션에 대한 설명
- AWS Shield : DDoS 공격으로부터 AWS 애플리케이션 보호/관리
- AWS GuardDuty : 지능형 위협 탐지 서비스. AWS 계정 및 워크로드 모니터링 후 악성 활동 식별
- AWS WAF : 웹 기반 공격을 필터링하는 데 사용됨.
36. 기존 운영에 영향을 주지 않고 비암호화 상태를 암호화 상태로 전환 가능한 서비스
- 정답) S3
- Amazon S3 기본 암호화는 S3 버킷의 기본 암호화 동작을 설정할 수 있는 기능을 제공한다. 버킷에 기본 암호화를 설정하면 새로 저장되는 모든 객체가 SSE-S3 또는 AWS KMS 관리 키로 암호화된다.
- 기본 암호화가 활성화되기 전에 존재하던 객체의 암호화 상태에는 변경이 없다. 즉, 기존의 암호화되지 않은 객체는 그대로 유지되며, 새로 업로드되는 객체만 암호화된다.
- 결과적으로, Amazon S3는 기존 객체를 유지하면서 새 객체의 암호화를 적용할 수 있으므로 운영에 영향을 주지 않고 제자리 대체 in-place 전환이 가능하다.
- 다른 옵션에 대한 설명
- RDS : DB 인스턴스가 생성될 때만 암호화 활성화 가능
- EBS : 기존 암호화되지 않은 볼륨이나 스냅샷을 직접적으로 암호화 불가능
- EFS : 파일 시스템 생성 시에만 데이터 암호화 설정 가능
39. AWS와 on-premise 데이터 센터에 존재하는 각 머신들을 동일한 모듈로 관리하는 방법
- 정답) OpsWorks
- OpsWorks는 환경설정 관리 서비스로 Chef and Puppet 에 대한 관리형 인스턴스를 제공한다.
- Chef and Puppet은 자동화 플랫폼으로 코드를 사용하여 서버 환경설정을 자동화할 수 있다.
- OpsWorks는 Chef and Puppet을 사용하여 서버가 환경설정, 배포/관리되는 방식을 자동화한다.
41. SSM parameter store를 사용하여 Aurora read replica에 대한 연결을 유지하는 방법
- 정답) Aurora Reader Endpoint를 사용한다.
- 해당 기능은 Aurora가 모든 Aurora replicas에 대해 로드 밸런싱을 수행하는 것이다.
- 다른 옵션에 대한 설명
- AWS Lambda의 CRON 기능을 사용한다... (X)
- 구현 가능하지만 해당 사례에 대해선 너무 과하다.
- AWS Lambda의 CRON 기능을 사용한다... (X)
⭐⭐42. AWS VPC와 데이터 센터 간 private 연결된 소프트웨어 구축에 사용할 수 없는 서비스
- 정답) Direct Connect
- AWS Direct Connect는 원격 네트워크에서 VPC로의 전용 프라이빗 연결을 설정하는 물리적 연결이다. 이 연결은 공용 인터넷을 사용하지 않으며, 물리적인 전용 회선을 통해 AWS와의 연결을 제공한다.
- Direct Connect는 하드웨어 기반의 물리적 연결로 최소 한달 이상의 설정 시간이 필요하며, 소프트웨어 기반의 VPN과 같은 소프트웨어 전용 연결을 제공하지 않는다.
- 문제의 요구사항은 소프트웨어 전용 프라이빗 연결을 설정하는 것이므로, Direct Connect는 사용하지 말아야 한다.
- 다른 옵션에 대한 설명
- Site-to-Site VPN : AWS VPC와 원격 네트워크 간 private network 연결을 제공하는 SW 기반 솔루션
- Virtual Private Gateway : AWS VPC 측에서 Site-to-Site VPN 연결을 설정하기 위해 사용하는 가상 라우터
- Customer Gateway : 고객 측에 있는 VPN 디바이스 또는 SW로, AWS와 VPN 연결을 설정하는 데 필요한 정보를 제공한다.
44. EC2 인스턴스가 장기간 CPU 사용률이 100%가 되면 고장나는 문제 해결 방법
- 정답) CPU 이용률이 5분간 3회 정도 100%에 도달할 때, CloudWatch Alarm을 생성하고, EC2 reboot를 실행한다.
- CW Alaram action은 오직 다음의 target에만 동작한다.
- Amazon SNS topic - sendind a notificatoin
- Amazon EC2 action
- Auto Scaling action
- Systems Manager OpsItem 생성 등.
- CW Alaram action은 오직 다음의 target에만 동작한다.
- 다른 옵션에 대한 설명
- AWS Lambda - 번거롭다.
- CPU 이용률이 100% 도달 시 CW Event 생성 - CW metric은 CW Event를 바로 실행하는 데 사용될 수 없다.
- ELB 상태 검사 - 추가 비용 발생
50. NAT Gateway 특징
- NAT 게이트웨이는 5 Gbps의 대역폭을 지원하고 45 Gbps 까지 자동 확장 가능하다.
- 하나의 Elastic IP 주소만 NAT 게이트웨이에 연결지을 수 있다.
- TCP, UDP, 그리고 ICMP 프로토콜만을 지원한다.
- Network ACL을 사용하여, NAT 게이트웨이가 위치한 서브넷을 오고가는 트래픽을 통제한다.
- NAT 게이트웨이는 동시에 최대 55,000 연결을 지원한다.
⭐⭐53. AWS 리소스에 영향을 미치는 서비스 문제를 확인하고 대응하는 방법
- 정답) AWS Personal Health Dashboard
- AWS Personal Health Dashboard는 AWS가 영향을 받는 이벤트가 있을 때 사용자에게 경고와 복구 가이던스를 제공한다.
- Service Health Dashboard는 AWS 서비스의 일반적인 상태를 표시하지만, Personal Health Dashboard는 사용자가 보유한 AWS 리소스와 직접적으로 관련된 성능과 가용성 정보를 개인화된 뷰로 제공한다.
- Personal Health Dashboard는 AWS에서 사용자의 리소스에 영향을 미칠 수 있는 이벤트가 발생할 때 사전에 알림을 보내주어, 진행 중인 이벤트의 영향을 최소화하고 하드웨어 유지보수와 같은 계획된 변경 사항에 대비하도록 돕는다.
- 다른 옵션에 대한 설명
- AWS Service Health Dashboard : 모든 AWS 서비스의 현재 상태와 가용성을 표 형식으로 제공하여 AWS 전반의 상태를 알 수 있지만, 사용자의 특정 AWS 계정 리소스에 맞춤화된 정보는 제공하지 않는다.
⭐60. AWS 내 서로 다른 AZ의 두 서브넷 간 네트워크 연결을 설정하는 방법
요점
- 'us-west-1b'-private 서브넷 인스턴스가 'us-west-1c'-public 서브넷 인스턴스와 private IP 주소를 사용한 통신 필요.
- 정답) 하나의 VPC를 생성하고 두 개의 서브넷을 설정한다
- VPC 내부의 서브넷 간에는 자동으로 네트워크 연결이 가능하다.
- VPC를 생성할 때 기본 라우팅 테이블이 자동으로 생성되며, 해당 테이블은 명시적으로 다른 라우팅 테이블과 연결되지 않은 모든 서브넷의 라우팅 주소를 제어한다.
- 두 서브넷이 동일한 VPC 내에 있으므로, private IP 주소를 통해 자동으로 서로 통신할 수 있다.
- 다른 옵션에 대한 설명
- NAT Gateway : public 서브넷에서 private 서브넷으로 인터넷 접근을 제공하는 데 사용된다.
- NAT instance : private 서브넷 인스턴스에게 인터넷 접근을 제공하는 데 사용된다.
'자격증 공부 > AWS SysOps Administrator - Associate' 카테고리의 다른 글
| AWS SysOps Administrator - Networking(VPC) (0) | 2024.08.31 |
|---|---|
| AWS SysOps Administrator - Security and Compliance for SysOps (1) | 2024.08.23 |
| AWS SysOps Administrator - Monitoring and Auditing (1) | 2024.08.08 |
| AWS SysOps 1 회차 실전 문제 풀이 (0) | 2024.08.07 |
| AWS SysOps Administrator - Databases for SysOps (1) | 2024.07.31 |
