Description: The number of client connections to the file system.
Use Case: Helps in understanding the load and concurrency levels on your file system.
b. Metadata Operations
Metric Name: MetadataOperations
Description: The number of metadata operations (e.g., open, close, rename) performed.
Use Case: Useful for diagnosing issues related to file system structure and access patterns.
3.2. Storage Metrics
a. StorageBytes
Metric Name: StorageBytes
Description: The amount of data stored in the file system, measured in bytes.
Use Case: Essential for monitoring storage usage and forecasting capacity needs.
3.3. Throughput Metrics
a. DataReadInBytes
Metric Name: DataReadInBytes
Description: The total number of bytes read from the file system.
Use Case: Monitors read-heavy workloads and helps in assessing read performance.
b. DataWriteInBytes
Metric Name: DataWriteInBytes
Description: The total number of bytes written to the file system.
Use Case: Monitors write-heavy workloads and helps in assessing write performance.
c. ThroughputInBytes
Metric Name: ThroughputInBytes
Description: The total number of bytes processed (read/write) by the file system.
Use Case: Provides an overview of the overall data transfer activity.
3.4. Bursting Metrics (Applicable for Bursting Throughput Mode)
a. BurstCreditBalance
Metric Name: BurstCreditBalance
Description: The remaining burst credits available for the file system.
Use Case: Ensures that your file system has enough burst credits to handle sudden spikes in throughput.
3.5. IOPS Metrics
a. IOPS
Metric Name: IOPS
Description: The number of input/output operations per second.
Use Case: Critical for applications requiring high I/O performance, such as databases.
찍어서 맞춘 거 (16 문제)
⭐ 15. Raspbian 시스템을 포함한 on-premise 서버를 관리하는 중앙 관리형 AWS 서비스
요점 : AWS System Manager를 사용하여 모든 EC2 인스턴스와 해당 환경 설정을 중앙 관리 중
정답) AWS Systems Manager
여러 AWS 서비스에서 운용 데이터를 중앙관리 할 수 있고, AWS resource에 걸친 작업들을 자동화한다.
애플리케이션 등 resource의 논리 그룹, application 스택의 다른 계층, dev 상황에 대응되는 prod 생성 가능
해당 서비스를 사용하면 AWS, on-premise 데이터 센터, 그리고 Rasberry Pi 같은 기기에서 실행되는 서비를 관리할 수 있다.
17. TLS를 사용하여 VPC 외부에서 Aurora DB cluster로 공개 접근 가능한 설정 방법
정답
VPC 특성인 DNS hostname과 DNS resolution을 활성화한다.
Aurora DB 인스턴스는반드시 public IP 주소를 가져야 한다.
public 서브넷에 DB 서브넷 그룹을 설정하고, 해당 서브넷 그룹에 Aurora DB 인스턴스를 생성한다.
Amazon DB 인스턴스에 대해서 특정 서브넷을 선택할 수 없다.
대신, DB 인스턴스 생성 시 DB의 서브넷 그룹을 선택할 수 있다.
DB 서브넷 그룹은 VPC에 속한 서브넷의 집합이다. 기저 host를 생성할 때 , Amazon RDS가 무작위로 DB 서브넷 그룹에서 서브넷을 선택한다.
다른 옵션에 대한 설명
공개 접근을 허용하기 위해선 Aurora DB 인스턴스 생성 시 public 서브넷을 선택한다. (X)
Default VPC에서 공개적으로 접근 가능한 Aurora DB 인스턴스를 시작할 수 없다. (X)
⭐18. 계정 간 공유 스토리지 설정을 위해 EFS mount helper로 사용 가능한 옵션
※ 선택 가능한 옵션
Mounting on supported EC2 instances
Mounting with IAM authorization
Mounting with Amazon EFS access points
Mounting with an on-premise Linux client
Auto-mounting when an EC2 instance reboots
Mounting a file system when a new EC2 instance launches
정답
Mounting with IAM authorization
IAM authorization을 사용하여 Linux Instance에 EFS 파일 시스템을 mount
Auto-mounting when an EC2 instance reboots
/etc/fstab 파일을 사용하여 mount 자동화. (fstab은 파일 시스템 관련 정보를 포함한 파일)
다른 옵션에 대한 설명
Mounting from Amazon EC2 Windows instances : 지원하지 않는다.
Mounting with Amazon Cognito authentication : EFS 파일 시스템을 보호 접근하는 데 사용할 수 없다.
20. DynamoDB 테이블을 타 AWS 계정의 S3 버킷에 이전 시, 버킷 소유주가 데이터에 대한 접근 및 분석 실행이 불가능한 이유
정답) export가 완료되면 export된 모든 객체들에 대해 'PutObjectAcl' 권한을 포함해야 한다.
DynamoDB 테이블이 타 계정으로 export 되어도 여전히 주인은 계정 A이다.
IAM은 기본적으로 타 계정의 객체 접근을 허용하지 않는다.
export 기능은 ACL bucket-owner-full-control으로 데이터를 작성하지 않는다.
때문에 export된 모든 객체들에 대해 'PutObjectAcl' 권한을 포함시켜야 한다.
다른 옵션에 대한 설명
AWS Data Pipeline을 사용하여 계정 A의 DynamoDB 테이블을 계정 B의 S3 버킷으로 export 한다.
AWS Data Pipeline을 사용하면 데이터 이전은 가능하지만 접근 문제는 해결하지 못한다.
AWS Glue crawler를 사용하여...
AWS Glue crawler 사용 시, Data catalog에 대한 계정 간 접근은 지원되지 않는다.
⭐21. Snow family 사용 시, CLI가 아닌 방식으로 쉽게 조작하는 방법
정답) AWS OpsHub
AWS OpsHub는 Snowball API에서 사용 가능한 모든 기존 명령을 취하여 이를 GUI 형식으로 표시한다.
주로, 단일 혹은 연합된 디바이스 환경설정과 unlocking, 파일 전송 및Snow Family 디바이스에서 실행 중인인스턴스 생성과 관리를 담당한다.
다른 옵션에 대한 설명
Service Workbench on AWS
Service Workbench on AWS는 IT team으로 하여금데이터와 도구 및 컴퓨팅 파워에 대한 안전하고 반복 가능하며 연합된 접근 통제를 제공하는 클라우드 솔루션이다.
AWS Control Tower
(landing zone으로 불리는)안전한 multi-account 환경을 구축할 수 있는 가장 쉬운 방법이다.
이는 AWS Organizations를 사용하여 landing zone을 생성하여 지속적인 계정 관리와 운영을 가능하게 만든다.
AWS OpsWork
AWS OpsWork는Chef and Puppet의 관리형 인스턴스를 제공하는 환경설정 관리 서비스이다.
Chef and Puppet은 자동화 플랫폼으로 코드를 사용하여 서버 환경 설정을 자동화한다.
OpsWorks는 Chef and Puppet을 사용하여 서버 환경설정 방식을 자동화하고, Amazon EC2 인스턴스를 사용하여 배포하고 관리한다.
⭐22. LB의 NACL / SG 모두 inbound port 80을 열었는데 통신이 되지 않는 문제 해결 방법
정답) NACL의 outbound traffic port1024 ~ 65535를 허용하는 규칙을 추가한다.
Elastic Load Balancer 요청은 기본적으로 1024 ~ 65535의 단명 포트 번호를 사용한다.
대부분의 Linux kernel은 포트 번호 32768~61000을 사용한다.
ELB 요청은 포트 번호 1024~65535를 사용한다.
2003 이전의 Window OS는 포트 번호 1025~5000을 사용한다.
2008 이후의 Windows 서버는 포트 번호 49152~65535를 사용한다.
기타 AWS Lambda, NAT 게이트웨이 서비스는 포트 번호 1024~65535를 사용한다.
23. 에러가 발생한 EBS volume에서 데이터를 복구하고 정상 작동시키는 방법
요점
EBS volume을 인스턴스 스토리지로 사용하는 EC2 인스턴스를 사용 중
volume은 유지 plan으로계획된 백업을 시행하고 있다.
EBS volume 중 하나가 'error' 상태를 표시하고 있다.
정답) 'error'는 EBS volume과 관련된 기반 하드웨어가 실패했음을 의미한다. 해당 EBS volume은 복구될 수 없지만 데이터를 새로운 EBS volume의 백업을 통해 데이터를 복구한다.
Volume과 연관된 데이터는 복구 불가능하고, EBS는 잃어버린 volume을 처리한다.
Volume이 error 상태에 들어가면 Personal Health Dashboard에 통지가 나온다.
'error' 상태의 EBS volume에서는 데이터를 복구할 수 없고, 백업에서만 잃은 데이터를 복구할 수 있다.
다른 옵션에 대한 설명
해당 error는 EBS volume과 인스턴스 간 소통 channel이 무산됐음을 나타낸다.... (X)
오직 혼동을 주기 위한 선택지
연결된 EBS volume을 재시작하여 .... (X)
위에 언급했듯, 해당 error는 기반 H/W 문제이다.
Amazon DLM을 활용한 EBS volume 복구 ... (X)
Amazon DLM은 EBS snapshot과 EBS 기반 AMI에 대한 생성 / 보유 / 삭제를 자동화하는 도구다.
하지만, error 상태의 실제 volume을 복구할 수는 없다.
⭐26. AMI를 다른 region으로 복사 시, Linux error message "This AMI was copied from an AMI with a kernel that is unavailable in the destination Region : {Image ID}" 발생
정답) Linux paravirtual (PV) AMI는 모든 region에서 지원되지 않기 때문에, 지원되지 않는 영역으로 복사하는 것은 에러를 초래한다.
Linux AMI는 두 가지 유형의 가상화를 사용한다 : paravirtual (PV) or hardware virtual machine (HVM)
주요 차이점은부팅하는 방식과특수 HW ext.(ex. CPU, netwrok, storage) 로 더 좋은 성능을 취할 수 있는지이다.
Linux paravirtual (PV) AMI는 모든 region에서 지원되지 않는다.
메시지를 수령하면, 새 HVM 인스턴스를 생성하여 해당 인스턴스에 새로운 EBS 볼륨을 부착할 수 있다.
다른 옵션에 대한 설명
Linux hardware virtual machine (HVM) AMI는 모든 region에서 지원되지 않기 때문에, 지원되지 않는 영역으로 ...
모든 region은 HVM AMI를 지원한다.
27. ALB가 Amazon CF 배포의 origin으로 설정된 상태에서 stick session을 활성화했지만 재인증 요구 문제 발생
정답) CloudFront cache behavior가 모든 cookie를 origin으로 보내도록 설정되어야 한다.
기본적으로 CloudFront는 요청 및 응답 처리나 edge location의 object caching 시 cookie를 고려하지 않는다.
CloudFront는 Cookie 헤더 외에 동일한 두 요청을 수령했을 땐, CloudFront는 기본적으로 해당 요청들을 동일하게 대우하며, 양 요청에 대해 동일한 객체를 반환한다.
cookie forwarding을 설정하기 위해선, CF 배포의 cache 동작을 수정해야 한다.
각각의 cache 동작 환경설정은 다음 선택지를 통해 수행될 수 있다.
모든 쿠키를 origin으로 포워딩한다.
특정 쿠키의 whitelist를 포워딩한다.
origin으로 쿠키를 포워딩하지 않는다.
다른 옵션에 대한 설명
Sticky session이 CloudFront 배포에도 허용되어야 한다. (X)
혼동을 주기 위한 잘못된 선택지
CloudFront로 하여금 edge location에서 발생한 요청을 caching 하여 재인증 필요성을 최소화해야 한다. (X)
CloudFront 캐싱을 사용하면, 더 많은 객체를 CloudFront edge location에서 받을 수 있다.
edge location에 있는 CloudFront resource는 인증에 대한 요구사항을 충족하지 않는다.
⭐34. 제품 참조 공유 및 AWS Service Catalog에 동기로 저장된 사본을 다른 계정과 포트폴리오 공유 방법
정답) 계정 간 공유를 사용한다.
AWS Service Catalog 제품을 다른 AWS 계정에 공유하기 위해선 포트폴리오를 공유해야 한다.
이를 수행할 수 있는 방법은 1)계정 간 공유, 2)조직 공유, 3)stack sets을 이용한 배포가 있다.
계정간 공유 혹은 AWS Organization을 사용한다면, 다른 관리자의 AWS Service Catalog가 포트폴리오를 import할 수 있어야 한다.
다른 옵션에 대한 설명
stack set을 사용하여 다른 AWS 계정으로 카탈로그를 배포한다. (X)
stack set을 사용하여 catalog를 동시에 여러 계정에 배포할 수는 있다
참조를 공유하고 싶다면, 계정 간 공유 혹은 AWS Organization 공유를 사용해야 한다.
Catalog는 공유될 수없지만다른 계정에서의 재배포 및 재생성은 가능하다. (X)
⭐35. Storage Gateway 비용 절감 방법
정답) 필요한 캐시 공간을 지닌 새로운 Gateway 생성하기
기존 게이트웨이에 할당된 cache disk를 제거한다면 게이트웨이 기능이 붕괴된다.
때문에 한번 게이트웨이에 할당되면 cache disk의 크기는 줄일 수 없다.
대신, 새로운 게이트웨이를 생성하여 필요한 cache space를 부착해야 한다.
다른 옵션에 대한 설명
디스크 제거 전에 게이트웨이를 닫은 뒤, cache 디스크를 삭제하고 다른 것을 부착한다. (X)
⭐37. 다른 AWS 계정에게 버킷 내 모든 객체에 대한 권한 제공을 위한 주의사항
정답
객체를 생성한 AWS 계정은 다른 개체에 대한 권한을 위임하기 위해우선 버킷 주인에게 권한을 부여해야 한다.
버킷 주인은 다른 AWS 계정들에 의해 생성된 객체에 대한권한을 갖고 있지 않다.
다른 옵션에 대한 설명
버킷 주인은 다른 계정 내 사용자에게 계정 간 위임을 제공해야만 한다. (X)
버킷 주인 계정은 소유한 계정 내 모든 사용자에게 권한을 위임할 수 있다.
하지만, 계정 간 위임을 지원하지 않기 때문에 다른 AWS 계정에 대해서는 권한을 위임할 수 없다.
root 사용자는 생성된 모든 객체에 접근할 수 있다. root 계정을 사용하여 S3 버킷 내 객체에 대한 필요한 권한을 위임한다. (X)
버킷 주인은, 객체를 업로드한 AWS 계정에 상관없이, 버킷 내 모든 객체에 대한 주인이다. (X)
⭐50. 새로 생성된 EBS volume의 데이터에 최초 접근 시 상당한 지연이 발생하는 문제 해결 방법
정답) EBS volume을 초기화하거나 production으로 volume을 옮기기 전에 예열한다.
스냅샷으로 생성된 새 EBS volume의 각 데이터 블록을 처음 접근할 때는 상당한 지연이 발생한다.
이를 해결할 수 있는 방법은 두 가지다.
volume을 production으로 옮기기 전에 각 블록에 접근한다. (= initialization,pre-warming)
빠른 스냅샷을 활성화하여 EBS volume이 생성될 때 완전히 초기화되어야 한다.
다른 옵션에 대한 설명
st1과 sc1에 대한 고출력, 읽기가 부담스러운 워크로드를 위해 read-ahead를 증가시킨다.
몇몇 워크로드는 읽기 부담이 있고, OS page cache를 통해 block device에 접근한다.
그 경우, 고출력을 수행하기 위해선 AWS는 read-ahead 설정을 1 MiB로 설정할 것을 권장한다.
이것이 HDD volume에만 적용되어야 할 per-block-device 설정이다.
EBS 최적화 인스턴스를 사용한다.
해당 최적화는 EBS I/O와 인스턴스의 다른 트래픽 간의 충돌을 최소화하여 EBS volume에 최고 성능을 제공
인스턴스 resource의 이용률을 최대화하기 위해 RAID 0을 사용한다.
위의 세 가지 옵션은 모두 일반적인 EBS volume의 성능을 향상시키는 데 의미가 있다.
하지만 해당 사례의 요구사항을 가장 잘 충족시키는 것은 그저EBS volume을 예열하는 것이다.
52. 보안 접근을 위한 File Gateway와 Amazon S3 간 private 네트워크 연결을 비용 효율적으로 설정하는 법
정답) VPC endpoint를 사용하여 Amazon VPC 내에 private 연결을 설정한다.
Amazon S3에 대한 VPC endpoint를 생성한다.
VPC endpoint를 사용하여 File Gateway를 생성한다.
다른 옵션에 대한 설명
File Gateway와 Amazon S3 간 private 네트워크 연결을 위해 VPC Peering을 사용할 수 없다.
AWS Transit Gateway는 중앙 hub를 이용하여 VPC와 on-premise 네트워크를 잇는 서비스이다. 해당 서비스 또한 해당 사례에 적합하지 않다.
