AWS认证解决方案架构师备忘录

2 年 ago
宇, 华
3 minutes

AWS SAA 概述

在准备参加AWS SAA考试之前,我先总结了一下知识。由于这是为个人学习而做的,可能存在难以阅读或信息有误的情况,所以请不要完全相信。

※ちなみに自分は受験登録時に名前登録間違えて受験すらできませんでした。。。(0次試験敗退)お金も帰ってこないのでみなさん気をつけてね。。。来週リベンジしよう。。

网络

关于虚拟私人网络 (VPC)

IGW 可以用以下方式进行释义:

    • インターネット側への出口

 

    • 各VPCに一つだけアタッチ可能

 

    • 単一障害点とはならない

 

    ルーティングでIGW(0.0.0.0)と繋がっているものがパブリックサブネット

NATゲートウェイ

    • プライベートIPをグローバルに変換

 

    NATインスタンスとの違いは冗長化されている点

咱们可以

    • オンプレミスとの接続点

 

    • 各VPCに一つだけアタッチ可能

 

    一つで複数のDirectConectやVPNと接続可能

子网,路由表

    • サブネット作成後にAZを指定する。作成後は変更できない

 

    • サブネット一つに対し、一つのルートテーブルを作成する

 

    • ルートテーブルの作成はいつでもできる

 

    • サブネット一つに対してネットワークACLを一つ作成する

 

    • いつでも変更可能

 

    • 一つのVPCにつき200個のサブネット作成可能。申請で増やせる

 

    • サブネット内のIPアドレスのうち5つは予約されているため使用不可

 

    1つのルートテーブルを複数のサブネットで共有可能だが、一つのサブネットに複数のサブネットを設置はできない

安全组

    • インスタンス単位の通信の制御

 

    • ステートフル(戻りを設定不要)

 

    • 全て評価

 

    ホワイトリスト形式

ネットワークACL

    • ステートレス(戻りも設定しなければならない)

 

    • 番号順に評価

 

    ブラックリスト形式

VPCエンドポイント

    S3やDynamoDBと直接接続できる

VPC互联

    別AWSアカウントのEC2などとプライベートな接続が可能

VPCフローログ

    送信元先IPやプロトコル番号、データ量などを解析できる

云前通

    • 静的コンテンツをキャッシュし、オリジンサーバの代わりに配信できる

 

    • サーバの負荷を下げながら安定したサービス提供ができる

 

    • URLのパスによってオリジンサーバを指定することができるため期間限定などに対応可能

 

    • 拡張子やURLごとにキャッシュ期間を指定できる

 

    変更の多い静的コンテンツはキャッシュを短くし、画像など変更あまりないものはキャッシュを長くする

Route53 —> 路由53

    • リージョンサービス

 

    • ドメインの取得や更新もでき、AWSアカウントと共に請求できる

 

    Aliasレコードを指定することによって各サービスのFQDNを指定できる

ルーティング方式

简单路由
    特殊性のない1対1のルーティング
故障转移
    • アクティブ/スタンバイ方式で、アクティブ側のヘルスチェックが失敗した時にスタンバイ側へルーティング

 

    Sorryコンテンツの表示に便利
位置情報ルーティング -> 位置信息路由
    ユーザの位置情報に基づいたルーティング。日本からのアクセスは日本語のサイトにルーティング
地理的近距离路由
    リソースの場所に基づいてルーティング
潜在网络传输延迟自适应技术
    一番遅延の少ないところにルーティング
多地值回答路由
    生きている中からランダムにルーティング
加强路由
    比率でルーティング。ABテストなどに有効

计算机 []

EC2

    • EC2とEBS間の通信を高速化したい場合はEBS最適化オプション

 

    • Ec2の課金の仕組みは時間、リージョン、インスタンスタイプ、AMIによってきまる

 

    • 停止中のインスタンすは課金されないが、EBSの費用はかかる

 

    デフォルト購入タイプは従量課金性のオンデマンドインスタンス

实例类型

抽象实例
    • AWS上で余っているものを使う、一番安い

 

    • ただし余剰な領域が少なくなると自動的に停止される

 

    そのため、いつ停止しても良いような開発環境や機械学習の学習処理などに使うとよい

预留实例

    • 期間が決まっている場合有効

 

    年単位で使用することが決まっている場合はオンデマンドインスタンスより安い。

专用主机

    EC2を完全にユーザ専用にできる物理サーバ

弹性负载均衡

    • ELB自体が冗長化されている

 

    • 利用は無料

 

    • 事前にスパイクがわかっている場合はプレウォーミングを申請

 

    • ヘルスチェック機能あり

 

    スティッキーセッション機能
负载均衡器的类型
CLB (Canadian Language Benchmarks) 中文音译为「加拿大语言水平标准」。
    • L4/L7レイヤーでの分散

 

    機能もALBと比べると少なく、値段もちょっと高い
ALB是美国的国家图书馆。
    • L7レイヤーでの分散

 

    • 多機能(URLパターンでの分散,WebSocket対応)

 

    ECSと相性良い
新加坡国家图书馆
    • L4レイヤーでの分散

 

    HTTP(S)以外の通信で使う

调整规划

手動スケーリングプラン
    バッチ処理など一時的に処理負荷が上がる場合に有効
目标跟踪缩放 suō
    CPU使用率など特定のターゲットを一定に保つようにする
步骤缩放
    アラームの段階を定義して、段階的にスケーリングする
简单的缩放
    一つの閾値を元にスケーリング
日程调整
    営業時間中などの特定の時間にアクセス頻度が上がる時にスケール

Lambda 范畴

    • 実行数と実行時間で課金される

 

    リクエスト量に応じて自動スケール
触发因素
    • S3バケット削除追加

 

    • DynamoDB更新

 

    • SNS通知

 

    • SESメール通知

 

    • APIGateWayにHTTPSリクエストがあった時

 

    CloudWatchEvents
其他需要进行设置的项目
    • 割り当てるメモリ量

 

    • タイムアウトまでの時間

 

    アクセス対象のリソースに対するIAMロール

运用工具

云监控

    • リソースの状態を監視する

 

    • リソースに独自のエージェントを入れることでCloudWatchLogsにログを集約することができる

 

    • その場合、IAMロールの設定が必要

 

    • イベントやスケジュールで何かしらの後続アクションを定義するClouWatchEventsがある

 

    収集したログに対して監視する文字列を設定してアラーム出せる

云追踪

    • AWSリソースの作成やマネジメントコンソールの作成など操作を記録

 

    • S3にログを保存することができる

 

    • 過去90日まで見れるが設定次第でそれ以前をS3に保存できる

 

    デフォルトで暗号化されている

AWS 配置

    • AWS上のリソースの変更履歴を見れる

 

    監査に有効

存储

EBS (Electronic Banking System) 电子银行系统

    • ブロックストレージといえばEBS

 

    • 容量拡張は可能(縮小は不可)

 

    • ボリュームタイプの変更(増減どちらも)

 

    • AZ内の複数物理ディスクに保管(AZ死んだらアウト)

 

    • スナップショット機能あり

 

    • 複数のEC2からアクセスとかはできない

 

    • EC2とEBSは同AZである必要がある

 

    • 異なるAZのEC2につけるにはスナップショット作成してアタッチ

 

    • 暗号化可能(スナップショット、EBS間の通信も暗号化される)

 

    既存EBSを暗号化する場合はスナップショットを作成し、スナップショットを暗号化、そこからEBS入れ替え

音量类型

通用固态硬盘
    EC2のデフォルトボリュームとして使われる
预配的IOPS
    • 性能高い

 

    • IOPSときたらこれ

 

    データベースにも使われる
スループット最適化
    • ログやバッッチに使われる

 

    スループットといったらこれ
冷硬盘
    • コストがもっとも低い

 

    アクセス頻度の低いアーカイブに使われる

バースト機能

    • プロビジョンド以外はバースト機能あり

 

    バースト前提で設計はアウト

EFS

    • 複数のEC2からアクセス可能なファイルストレージ

 

    • 複数のEC2から参照したい要件の場合だいたいこれ

 

    3つのAZに自動的に保存される

表演模式

    • 基本的には汎用パフォーマンスモード

 

    ビックデータ分析などは最大IOパフォーマンスモード

通過模式

爆发吞吐量模式
    ベースラインを設定し、それを超える場合はバーストモードになる
供给吞吐量模式。
    • 任意のスループットモードを指定できるもの

 

    • 大量のインスタンスから同期アクセスなど頻繁にデータにアクセスされる場合に有効

 

    • スループットモードの変更は運用中も可能(前回の作業から24間は開けなければならない)

 

    どちらを使うかの判断基準はCROUDWATCHのBurstCreditCatchで判断できる

S3 可以在中国境内以原生方式进行重述。

    • リージョンサービスのため、クロスリージョンレプリケーション可能

 

    • 優れた耐久性をもつ容量無制限のオブジェクトストレージ

 

    • ディレクトリ構成を持たず、メタデータをユーザ独自で付与できる

 

    結果整合性。保存前の状態が参照されることもある

ユースケース

    • データのバックアップ

 

    • ビックデータ分析のデータレイク

 

    • ETLのデータ中間保存領域

 

    • EC2やコンテナからのログ転送

 

    • 静的コンテンツのホスティング

 

    簡易なKeyValueデータベース(S3 Select)
桶的名称

在AWS内需要是唯一的

物体 (wù tǐ)

直接数据本身的“存储桶名称+键名+版本ID”。

元数据

作成日時やアプリで使用できるユーザ独自のものも可能

存储类

标准
    • デフォルト 低レイテンシー高スループット

 

    • 耐久性イレブンナイン

 

    可用性99.99
标准-1A
    • STANDARDに比べて安価

 

    • データ読み出しに際して課金

 

    • 高速なアクセスが必要だがそれほど頻繁にアクセスしない

 

    • 耐久性イレブンナイン

 

    可用性99.99
一地区-1A
    • 単一のAZのみで保管(その分安い)

 

    • 一つのAZが死んだら終わり

 

    • 耐久性イレブンナイン

 

    可用性99.5
智能分层
    • 参照頻度が明確に決められない場合に有効

 

    • 30日以上参照されなかったものは自動的にSTANDARDー1Aに

 

    • 頻繁にいどうが発生する際にはコストがかかる可能性あり

 

    • 耐久性イレブンナイン

 

    可用性99.99
冰川
    • ほとんど参照されないアーカイブ目的

 

    • オブジェクト新規作成時にこのタイプは指定できない

 

    • ライフサイクル管理機能によって自動的に行く場所として指定

 

    • 直接アクセスはできない、数時間取り出しにかかる

 

    • 標準取り出し(3〜5時間、コスト中)

 

    • 大容量取り出し(5〜12時間、コスト低)

 

    • 迅速取り出し(1〜5分、コスト高)

 

    • 耐久性イレブンナイン

 

    可用性99.99
冰川深度存档
    • GLACIERよりさらに安い。

 

    • 標準取り出し(12時間以内)

 

    大容量取り出し(48時間以内)

生命周期管理

过渡行动
    データの利用頻度に応じて移行して行く(S3からGLACIERへなど)
有效期限操作
    • 一定期間を超えたものを削除

 

    S3は保存容量に応じて課金されるため、コスト削減に繋がる

版本管理功能

    • バケット単位で有効無効できる

 

    • 新旧両方を保存するため、両方の容量が必要

 

    MFAを併用することで誤削除防止

网站托管

    • S3バケットに静的コンテンツをリリース可能。動的コンテンツは不可

 

    独自ドメインで使用する場合は、ドメイン名とバケット名を同じにする必要がある

访问控制管理

    • IAM、NACL、バケットポリシーを使える

 

    • バケットポリシーはバケット単位

 

    • NACLはオブジェクト単位

 

    • IAMはユーザ単位

 

    IAM > バケットポリシー > NACL

请提供带有署名的网址链接。

    アクセスを許可したいオブジェクトに対して有効期限つきのURLを発行することができる

データ暗号化

服务器端加密
    ストレージに書き込まれる時に暗号化され、読み出し時に複合
客户端加密
    AWSSDKを使ってクライアント側で暗号化

GLACIER

    • S3と同様の耐久性イレブンナインを持ちながら容量あたりの費用を抑えたもの

 

    • S3のように名前をつけることはできず自動裁判のIDで管理される

 

    • ボールト:S3でいうバケット。リージョンおよびアカウントで一意であればよい

 

    取り出しオプションには高速、標準、バルクがある

冰川精选

    GLACIERをS3にSQLで抽出

加密

    SSLで転送され、デフォルトで暗号化される

奇怪的入口

    • オンプレミスにあるデータの受け口

 

    保存先にはS3やGLACIER

输入

文件网关

从本地的客户端服务器的NFS挂载,并以几乎实时但异步的方式将数据存储到S3。
由于速度较慢,如果需要更快的速度,考虑使用EFS等其他选项。

鲍尔姆网关
    • 各ファイルをオブジェクトとしてではなく、S3全体をボリュームとして扱える

 

    必要に応じてS3のスナップショットからEBSを作成して、EC2にアタッチ可能。キャッシュ型ボリュームとしても利用可能
录音带网关
    テープデバイスの代替としてS3やGLACIERにバックアップすることができる

安全

    • S3に転送する際はHTTPSを使用

 

    • KMSを使ってのデータ暗号化も可能

 

    CHAP認証も可能

数据库 (Databases)

    • RDB : RDS,RedShift

 

    NoSQL : DynamoDB,ElasticCache,Nepture

RDS (Relational Database Service) 可以进行原生的中文重新表述

    • 運用の効率化に有効

 

    • データ保存用ストレージはEBSを使用

 

    容量の拡張はオンライン中も可能だが、パフォーマンスが劣化する

多AZ架构

    • 1つのリージョンないの2つのAZにDBインスタンスを配置

 

    • マスター・スタンバイ構成で可用性が上がる

 

    • 注意点としては書き込み速度が遅くなる

 

    • フェイルオーバには60ー120秒かかる

 

    FQDNのDNSレコードがスタンバイに書き換わるまでタイムラグ

领导复制品

    • 通常のRDSとは別に参照専用のインスタンスを作成可能

 

    • マスターDBの負荷を抑えたり、読み込みが多い場合のスケールアウトが可能

 

    • マスターDBのメンテナンスをしている間、接続先をリードレプリカにすることで停止無しにメンテナンス可能

 

    レプリカは非同期レプリケーションのため、タイミングによっては古いデータが参照されることも

备份/恢复

    • 自動バックアップ1日に一回自動的にバックアップを作成することができる

 

    • バックアップの保持期間は35日

 

    • バックアップから復元する場合は既存のDBに入れることはできず、バックアップから新規のインスタンスを作成する必要がある

 

    そのため、削除するDBインスタンスを再利用する可能性がある場合は削除時にバックアップを取得するオプションをつける

手动快照

    • 任意のタイミングでスナップショットを作成できる

 

    • 1リージョンあたり100個まで作成可能

 

    バックアップ取得中は短時間のIO停止がある。ただ、マルチAZ構成の場合はスタンバイ側から作成するため、中断期間はなくなる

使用时间点恢复的功能

    直近5分前から最大35日前までの任意のRDSを作成できる。自動バックアップをONにする必要あり

安全

    • EC2や他サービスからの通信をSSLで暗号化が可能

 

    • 暗号オプションをおんにすることで、データ、スナップショット、ログの暗号化が可能

 

    既存のデータを暗号化したい場合は、スナップショットの暗号化コピーし、新規のRDSを作成する

北极光

    • MySQL、PostGresの上位互換

 

    • 単一リージョンの3つのAZに計6つコピーされ自動的に同期される

 

    マルチAZ構成オプションはない。プライマリインスタンスに障害が発生した場合、レプリカインスタンスが昇格する

终点

群集终节点 jí
    プライマリインスタンスに接続するためのエンドポイント。全ての操作が可能
阅读终端点
    • レプリカインスタンスに接続するためのエンドポイント

 

    読み取りのみ可能で、読み取りエンドポイントに接続することで負荷分散が行える
インスタンスエンドポイント
    各インスタンスを指定して接続する。接続先のインスタンスによって、可能な操作ができる
自定义终端节点
    インスタンスをグルーピングしてアクセスできる

红移

    • データウェアハウス向けのBIツール複数ノードにおける分散並列処理ができる

 

    • 列思考データベース

 

    • 大容量のデータに効率的にアクセスできる

 

    • 取得するデータを圧縮して素早い

 

    • リージョンサービスなのでクロスリージョンレプリケーション可能

 

    • 手動スナップショットを無効にすることでコスト削減可

 

    • 複数のノードのまとまりをRedShiftクラスタという。

 

    クラスタは一つのリーダノードと複数のコンピュートノードから構成される

节点领导者

    実行クエリを受けて実行プランの作成をおこなう

计算节点

    実際に探索を実行するところ

红移谱 yí pǔ)

    S3に置かれたデータを外部テーブルとしてクエリできる

DynamoDB – 动态数据库

    • NoSQL、KeyValueときたらこれ

 

    拡張性、高速処理、あまり頻繁にデータ更新しないといったらこれ

用例

    • 高い信頼性と拡張性

 

    • スループットが増減するようなピーク帯のあるもの

 

    • 大量のデータを格納して高速で処理

 

    • 広告やゲームなど行動履歴を管理するもの

 

    • Webアプリケーションのセッションデータベース

 

    • 単一障害点を持たず、3つのAZに自動的に保存されるため可用性が高い

 

    • スループットキャパシティを指定して自動的にそれを担保するため自動スケール(RとW)

 

    • ダウンタイムなく変更可能、増加は制限なし、減少は1日9回まで変更可能

 

    • プライマリキーだけで速度が上がらない場合はセカンダリキーを作成する

 

    • ローカルセカンダリインデックス:元テーブルと同じパーティションで検索が完結

 

    • グローバルセカンダリインデックス:プライマリキーとは異なる属性を使う

 

    • インデックスの使用はコストがかかるのでその場合はRDBでいいのではという声もある

 

    基本結果整合性だが、オプションを使うことで反映された状態のデータを返すこともできる

自动维护

    • 各項目に有効期限を設定できて、期限が切れたら自動削除できる

 

    ただ即座に削除されるのではなく、48時間後に削除される

DynamoDBStream动态数据库流

    • 直近24時間の追加、更新削除の変更履歴を保持できる

 

    変更内容に応じたリアルタイム処理が可能

DynamoDB加速器(DAX)

    DynamoDBの前段にキャッシュをおいて性能工場、読み取り回数の減少が見込める

弹性缓存

    • インメモリ型データベース、パフォーマンス向上が見込める

 

    セッション管理に使える

内存缓存

    • シンプルなキャッシュシステムを使用したい

 

    • データが消えてもいい

 

    必要なリソースの増減が頻繁でスケールインアウトが必要な場合はこれ

Redis 重新实现了存储和检索数据的方式。

    • Memcacheよりも多くのデータ型が扱える

 

    • キャッシュ用とだけでなくキューを使え、データの保護も有効

 

    • 多様なデータ型を使用したい

 

    障害時のフェールオーババックアップリストアが必要

安全

AWS 组织

    • ユーザの請求の一括請求ができる

 

    ルートユーザはMFAなどにしていくことがおすすめ

我是IAM策略。

    • 操作権限の設定

 

    • これをIAMユーザやIAMグループにアタッチする

 

    • Action(どのサービスの)、Resource(どういう機能や範囲)、Efects(許可、拒否)するを設定

 

    • 対象ごとに作成するインラインポリシー

 

    • 管理ポリシーは複数ユーザの管理に向いている

 

    • そのなかでAWS管理ポリシーはAWS側で用意しているテンプレ、カスタム管理ポリシーはユーザが作る

 

    カスタム管理ポリシーは過去5世代まで遡れるため、間違っていたら戻せる

我是IAM用户。

    • 各サービスの各操作を制限することができる

 

    • 認証方法は二つ

 

    • ユーザIDとパスワード、MFAを組み合わせることもできる

 

    • アクセスキーとシークレットアクセスキー:CLIやAPIからAWSのリソースにアクセスする場合に使用

 

    IAMユーザとIAMグループは多対多

我的IAM角色

    • 一時的にAWSリソースへのアクセス権限を付与する場合に使用する

 

    他にはIDフェデレーョン(ADを使用して認証)WebIDフェデレーション(Facebookなどで認証)

KMS (仅需一种选择,本地化汉语):

    • AWS場で共通鍵の管理ができるマネージどサービス

 

    • マルチテナント

 

    • 鍵の作成、暗号化、復号化ができる

 

    マスターキーでデータキーを暗号化し、データキーで対象を暗号化

云HSM

    • VPC内のハードウェア占有

 

    • 鍵はユーザ側で管理する

 

    大規模システムに向いている

应用程序服务

SQS 可以被用来原生地在中国进行转述。

    • アプリケーションを疎結合にするもの

 

    • キューの作成や削除

 

    • メッセージ管理(送信、受信)

 

    • 最大サイズは256Kb

 

    なので画像などは扱えない。実データはS3やDynamoDBに格納してそのパスをキューに入れるなどの設計がある

设置队列

标准队列
    • メッセージの配信順序は保証されない

 

    • 二重取得の可能性あり

 

    • シーケンスをつければ順序ある程度保証

 

    1秒あたりのトランザクション数はほぼ無制限
先入先出队列
    • 配信順序は保証される

 

    1秒あたりバッチ処理ありで300件、バッチ処理なしで3000件の制限がある

获取方式

长轮询
    メッセージがない場合は設定されたタイムアウトまでレスポンスを返さない
短輪詢(默認)
    メッセージの有無にかかわらず即座にレスポンスそのため、複数のキューがある場合は高コストになる

可见性超时

    • 受信後削除されるのは受信側がOK出してから。

 

    • そのため、複数で受信してしまう可能性がある

 

    可視性タイムアウトの時間まで受信できない設定をすることでそれを防ぐ

延迟队列

    キューに送られたメッセージを一定時間見えなくする

死信队列

    • 処理できないキューを別のキューに移動する機能

 

    受信し続けることを防ぐ

SWF、步序函数

    • どちらもワークフローサービス

 

    • StepFunctionの方が可視化で編集できるためはるかに簡単に作成できる

 

    処理の実行順序などが保証されている

社交网络

    • プッシュ型のサービス

 

    SMS、Email、SQS、HTTP、HTTPS、モバイル、LAmdaなどに通知可能

东南亚国家协会 (Southeast Asian Nations Association)

    Email送信サービス

雜而不純的後半部分。

bannerAds