SAP 시험 준비 #1

1차 모의고사 결과

공부할 목록

• cost, migration 관련 FAQ 정리 하기
• 오답노트 만들기
• 검토 플래그 문제 다시한번 검토
• aws Organizations, scp 관련 FAQ 정독
• 볼륨 스토리지 게이트웨이
  • 이거 사용하려면 EBS 볼륨이 무조건 있어야함

 

잘 모르는부분

• AWS Direct Connect Gateway(DWS, 이전에는 VGW-virtual private gateway) VS Transit Gateway(TGW)
  • Virtual Interface
    • 프라이빗 가상 인터페이스 : 프라이빗 IP 주소또는 엔드포인트를 사용하여 Amazon VPC에 액세스
    • 퍼블릭 가상 인터페이스 : 온프레미스 데이터 센터에서 AWS 서비스에 액세스. AWS 서비스 또는 AWS 고객이 인터넷을 통과하는 대신 인터페이스를 통해 네트워크에 액세스하도록 허용함.
    • 전송 가상 인터페이스 : Direct Connect 게이트웨이와 연결된 하나 이상의 VPC 전송 게이트웨이에 액세스.
  • VGW
    • 동일 리전 내 여려 VPC가 동일 계정의 Direct Connect를 공유하는 기능(전이적 라우팅 X)
    • 사이트간 VPN 함께 사용 가능
  • DWS
    • VGW 확장 버전
    • 다른 지역의 Gateway를 호출하여 Direct Connect를 사용할 수 있음
    • VPC-A -> Direct Connect -> 데이터센터 라우트 -> Direct Connect -> VPC-B로 라우팅은 가능함
  • TGW
    • 초기는 VPN만 1.25Gbps로 지원하다 Direct Connect 지원 시작
    • 여러 계정들의 여러 VPC를 통합하여 관리할 수 있음
    • 온 프레미스 라우팅은 BGP
    • Amazon VPC와의 라우팅은 CIDR 내부 API 사용
    • FAQ : https://aws.amazon.com/ko/transit-gateway/faqs/

AWS Transit Gateway - Amazon Web Services

• AWS Organizations, scp 관련
  • 계정 생성, 리소스 할당, 단일 결제 방법 설정, 계정 그룹 생성, 워크플로우 구성등이 가능
  • 계정 생성 관리 자동화, CloudFormation으로 프로비저닝
  • 보안 서비스 관리 및 정책 적용
  • 서비스,리소스 및 리전 액세스 관리
  • 계정에 대한 정책 중앙 관리
  • 규정 준수 감사
  • 결제 통합
  • 서비스 구성
  • 기능
    • 통합 결제 전용
    • 모든 기능(중앙 관리 하기위해선 이거 써야함)
  • OU 또는 계정, 또는 조직에 대한 정책을 만들어 별도로 적용 가능함
• AWS Control Tower
  • Organizations에서 추상화, 자동화 및 규범적 환경 제공
• AWS Server Migration Service(SMS)
  • EC2 VM Import의 향상된 버전
  • AWS로 라이브 서버 볼륨 증분 복제 자동화
  • 복제 예약
  • 복제 진행률 추적
  • CloudFormation 템플릿을 사용해 스택을 생성하여 서버를 구동함(생성된 템플릿은 수정이 불가능함)
  • VMware vSphere 및 Windows Hyper-V에서 가상머신 마이그레이션 가능
  • 최대 90일 동안 복제 가능(AWS에 요청해서 제한을 늘릴 수 있음)
  • 16TB 대용량 볼륨 마이그레이션 가능
  • 암호화 프록시 지원(NRLM 프록시는 지원 안함)
• AWS Secrets Manager VS AWS System Manager Parameter Store 차이
  • Secrets Manager
    • 교체, 감사 및 액세스 제어를 비롯한 조직내에서 사용하는 보안정보의 수명 주기를 중앙 집중식으로 관리
    • 보안 정보를 자동으로 교체하며 CloudWatch Event를 통해 관리자에게 알람을 보낼 수 있음
    • RDS, Redshift, DynamoDB, EC2 for Oracle(Lambda 셈플 참조)의 자격증명을 안전하게 관리 할 수있음
    • Lambda를 통해 사용자 지정 별도 유형의 보안정보로 확장 가능
    • 키가 교체 되어도 연결이 유실되지 않음
  • System Manager Parameter Store
    • 데이터 베이스 연결 문자열, 암호, 라이선스 코드와 같은 파라미터값을 저장
    • 저장된 데이터는 평문 또는 암호화 된 데이터가 될 수 있음
    • AWS ECS, CloudFormation과 같은 서비스에 구성 가능
    • 기본 10000개의 파라미터까지는 공짜임
    • 고급 파라미터를 활성화 하면 10000개 이상 저장하며 최대 8kb 파라미터도 저장 가능함
    • 고급 파라미터를 활성화 하면 만료 정책을 지원함(일정 기간 지나면 파라미터가 만료되는것, 교체랑 다름)
    • 고급 파라미터를 활성화 하면 변경 없음 알림 정책을 지원함(일정 기간 변경안된것 찾을 수 있음)
  • 차이점
    • 구성과 보안 정보를 위한 단일 스토어를 원한다면 Parameter Store
    • 수명주기 관리 제공되는 전용 보안 정보 스토어라면 Secret Manager
    • 보안 모델에는 차이가 없음(둘다 KMS 사용해서 암호화함)
    • Parameter Store에서 Secret Manager의 보안정보를 참조할 수도 있음
• OpsWork
  • 로드 밸런싱, 데이터베이스. 애플리케이션 서버등 다양한 계층을 스택으로 모델링 가능함.
  • EC2 배포 및 구성, RDS와 연결등 가능함(Chef 레시피로 패키치, 언어, 프레임워크, 소프트웨어 구성도 가능함)
    • 제어와 자동화 가능
      • 제어 : 배포, Auto Scaling
      • 자동화 : 실패 인스턴스 자동 교체, 앱 서버 소프트웨어 구성및 앱 배포
  • CloudFormation과 유사하지만 JSON기반의 AWS 리소스 프로비저닝 목적인 CloudFormation보다 좀더 상세하고 높은 수준의 설정이 가능함
  • Beanstalk는 Java, .NET등 웹 애플리케이션 서버 자동 배포및 조정등 운영 걱정이 없는 자동화 반면 OpsWork는 높은 수준의 사용자 정의 가능
  • 최대 40개 스택, 40개 인스턴스, 40개 앱 보관
• SNS와 SQS, SWF, Step Function 사용 차이
  • SQS 
    • SQS는 분산 시스템 서버리스 어플리케이션을 위한 완전 관리형 메시지 대기열
    • 마이크로 서비스
    • SSE(server side encryption)
    •  AWS KMS로 통합 암호화 제공
    • Pull 방식(Push는 안한다!!)
    • 메시지는 256kb크기, 큐는 1분에서 최대 14일까지 유지(Default 4일)
    • 대용량은 2GB까지 지원(Blob도 가능함) -> S3와 Amazon SQS Extended Client Librart for JAVA 사용함
    • 순서는 Standard SQS(정렬 X)와 FIFO(정렬 O) 방식
    • 메시지 보존 시간동안 존재하니까 사용이 끝났으면 따로 삭제 해 줘야함.
  • Amazon MQ
    • Apache ActiveMQ 관리형 (SQS랑 완전 다름)
    • 일반적으로 소스 수정 없이 마이그레이션 가능함(SQS는 일부 수정 해야함)
  • SWF
    • 백그라운드 작업을 병렬 또는 순차적으로 실행 해주는 서비스(Apache Airflow랑 굉장히 유사하다)
    • 분산 서비스 컴포넌트를 코디네이트 해줌
    • 미디어 프로세싱(동영상 인코딩)에 자주 사용
    • 어플리케이션 백엔드, 분석 파이프라인, 워크플로우등 처리함
    • Deciders 프로그래밍을 통해 코디네이션을함(Task 순서, 스케즁링 또는 동시실행)
    • Activity Workers와 통신하여 Task를 가져오고 수행함
  • Step Function
    • SWF와 굉장히 유사함
    • 상세한 조정이 필요한 경우는 SWF를 사용하지만 간단하게 UI로 조정할때는 Step Function이 유리함
  • SNS
    • 푸시 노티 (클라우드, Apple, Google등 다양하게)
    • 엔드포인트 프로토콜:Https, Smtp, SMS, SQS, Lambda등 내/외부 모두 연계
    • 토픽 = Access point, publish 채널
    • pub/sub 구조임
    • 전송된 메시지는 동일 리전에 복수 가용영역으로 복제되어 가용성을 높힘
    • Push 방식으로 구독중인 애들한테 일거리를 분배함
• Amazon GuardDuty & Amazon Macie
  • GuardDuty(포괄적인 광범위한 보호, 예방)
    • 공격자 정찰, 인스턴스 침해, 계정 침해 및 버킷 침해와 같은 위협을 파악하도록 지원하여 AWS 계정, 워크로드 및 데이터에 대한 광범위한 보호를 제공함
  • Macie(데이터보호, 예방)
    • 보유한 데이터, 해당 데이터와 관련된 보안 및 액세스 제어 항목을 분류하도록 지원함으로써 Amazon S3에서 민감함 데이터를 발견하고 보호하도록 도와줌