クラウドプラクティショナー勉強で詰まったポイント
●ゲートウェイ系
・インターネットゲートウェイ
インターネットへの出入り口となるゲートウェイで、デフォルトゲートウェイとして利用されることが多い
・NATゲートウェイ
プライベートサブネットのリソースからインターネットへのトラフィックを可能にするためのゲートウェイ
・Egress-Only InternetGateway
IPv6向けのインターネットゲートウェイ
IPv6経由でのVPCからインターネットへの送信を可能にし、インターネットからのインスタンスへの接続は防ぐ
・カスタマーゲートウェイ
オンプレミス環境と接続する際に利用するゲートウェイ
カスタマーゲートウェイデバイスまたはソフトウェアアプリケーションに関する情報をAWSに提供する
・仮想プライベートゲートウェイ
仮想プライベートゲートウェイは、VPNトンネルのAmazon側にあるルーター
VPN(VirtualPrivateNetwork:仮想専用線)接続に利用する
●EFS
インターネットからアクセスできず、かつ複数の EC2インスタンスからアクセスすることができるストレージ
●セキュリティの自動検知系サービス
・Amazon GuardDuty
悪意のある操作や不正なトラフィック通信を継続的にモニタリングする脅威検出サービス
機械学習を使った自動検出が可能
・Amazon Inspector←事前に定義されたテンプレートに対して行う
ソフトウェアの脆弱性や意図しないネットワークのエクスポージャーがないか継続的にAWSワークロードをスキャンする自動脆弱性管理サービス
・Amazon Macie
S3のデータを機械学習によって自動的に検出、分類、保護するサービス
不正アクセスやデータ漏洩などを監視する
・Amazon Detective
CloudTrailのログ、VPCフローログ、GuardDutyの結果を自動収集して、潜在的なセキュリティ案件を分析するサービス
●AWSのモニタリング系のサービス
・Amazon CloudWatch
ほとんどのAWSリソースに自動的に適用され、メトリクス値を取得してアラームなどを設定できるモニタリングサービス
・AWS CloudTrail
ユーザーアクティビティとAPI使用状況を追跡するログを取得し、監視するサービス
・AWS Systems Manager
AWSとオンプレミス環境のモニタリングデータを統合管理でき、運用タスクを自動化する運用支援サービス
・AWS Config
AWSリソースの設定状況を評価して、AWSリソースの変更をモニタリングして、履歴管理する構成管理サービス
・AWS Personal Health Dash board
AWSサービスの異常・正常などのステータスをユーザーの利用状況に合わせて表示するモニタリングサービス
●ECS、EKS、Fargate
ECS(Elastic Container Service)
EKS(Elastic Kubernetes Service)
FargateはECS、EKSの両方で動作する、コンテナ向けサーバーレスコンピューティングエンジン
ECSの中で EC2インスタンスの代わりにサーバーレスコンピュートエンジンとして利用されるもので、コンテナー化されたアプリケーションに利用されるものの、ECSのようにDockerコンテナーそのものを実行する機能ではない
●Elastic BeanStalk OpsWorksの違い
・Elastic BeanStalk
アプリケーションのデプロイ自動化
ウェブアプリケーションやサービスを使い慣れたサーバーにおいてデプロイとスケーリングするためのサービス
・OpsWorks
インフラの設定自動化
ChefやPuppetのマネージド型インスタンスのサーバーの設定・デプロイ・管理を自動化できるようになるインフラの設定管理サービス
●RDSのバックアップを定期的に保存するために利用されるストレージ
S3
Amazon RDSではDBインスタンスの自動バックアップはデフォルトでAWS側で管理されたAmazon S3バケットに取得され、指定した期間保存される。さらに、ユーザー側でスナップショットを作成することも可能
●VPS(仮想プライベートサーバー)に利用できるサービス
Amazon Lightsail
コンテナなどのクラウドリソースを予測可能な低価格で簡単に管理できる、使いやすい仮想プライベートサーバー
VPSとは、1台の物理的なサーバコンピュータ上で仮想的なサーバコンピュータを何台も起動する技術
●AMIとAWS EC2Image Builder
・AMI
Amazonマシンイメージ(AMI)には、インスタンスの起動に必要な情報が用意されている
イメージそのもの
・ EC2Image Builder
仮想サーバーのイメージ(AMI)の作成、テスト、メンテナンスなどを自動化するパイプラインを作成し、イメージをセキュアで最新に保つ労力を最小化する
●ALB、NLB、GLBの違い
・ALB(Application Load Balancer)
OSIモデルの第7層であるアプリケーションレイヤーで機能するロードバランサー
一般的なWEBアプリケーション向けのロードバランサーとして利用される
HTTP、HTTPSと書かれていたらALB
ALBはパスルーティング機能によって、CLBよりも容易に、複数のサーバー群に分けてバランシング構成が可能
・NLB(Network Load Balancer)
OSIモデルの第4層で機能する高性能なロードバランサー
毎秒数百万のリクエストを処理できる
ALBより高性能
TCP、UDP、TLSと書かれていたらNLB
・GLB(Gateway Load Balancer)
ファイアウォール、侵入検知と防止システム、分析、可視化などのサードパーティの仮想アプライアンスのフリートを展開および管理するためにGateway Load Balancerを利用する
・AWS Budgets
予算設定管理をするサービス
予算を設定に対してコストまたは使用量が予算額や予算量を超えた際などにアラートを通知することができる
また、リザーブドインスタンス(RI)またはSaving Plansの集計使用率とカバレッジメトリクスをモニタリングできる
●AWS Audit Manager
AWSリソースの使用状況を継続的に監査して、リスクとコンプライアンスの評価を自動化するサービス
● EC2インスタンスの最適な利用を機械学習によって検証するべきサービス
AWS Compute Optimizer
機械学習を利用して EC2、AutoScalingグループ、EBSおよびLambda関数の最適化することができるサービス
CPU使用率、メモリ、ストレージなどのメトリクスを分析してコスト最適化に向けた推奨事項を提供する
●CloudFrontの料金
・トラフィックの分散
データ転送とリクエストの価格は地域によって異なり、価格はコンテンツが配信されるエッジの場所に基づいている
・リクエスト
・データ転送アウト
●AWS Well-Architectedフレームワークの設計原則
・運用上の優秀性
・セキュリティ
・信頼性
・パフォーマンス効率
・コスト最適化
・サスティナビリティ
●Amazon AppStream2.0とAmazon WorkSpaceの違い
・Amazon AppStream2.0
フルマネージドで非永続的なデスクトップおよびアプリケーションサービス
リモートで業務にアクセスすることができる
・Amazon WorkSpace
サポートされているあらゆるデバイスからリソースにアクセスできるWindowsおよびLinux向けのフルマネージドデスクトップ仮想化サービス
非永続的な場合はAmazon AppStream2.0を選択する
●AWSリソースグループ
AWSリソースグループはリソースの管理やタスクの自動化をするための管理サービス
●リザーブド購入の例
・EC2リザーブドインスタンス
・RDSリザーブドインスタンス
・ElasticCacheリザーブドインスタンス
・DynamoDBリザーブドキャパシティ
・Redshiftリザーブドノード
●AWS Local Zones
レイテンシーの影響を受けやすいアプリケーションをエンドユーザーにより近い場所で実行することができる特別なゾーン
1桁ミリ秒単位のレイテンシーを要求する高速アクセスが必要な革新的なアプリケーションをエンドユーザーにより近い場所に設置することができる
●AWS Batch
数十万件のバッチコンピューティングジョブをAWSで簡単かつ効率的に実行できる。
●クラスタープレイスメントグループが提供する機能
・1つのAZ内における EC2インスタンスグループ
・ EC2インスタンス間で低レイテンシーネットワークパフォーマンスを実現する
●リモートワーク系
・Amazon Chime
従量課金性のオンライン会議、チャットサービス
・Amazon WorkMail
安全な企業向けEメールおよびカレンダーサービス
・Amazon WorkDocs
エンタープライズ向けストレージおよび共有サービス
・Amazon WorkSpaces
セキュアな仮想デスクトップサービス
・Amazon WorkLink
社内のウェブサイトへのモバイルアクセスを可能にする
●ELBの主要機能
・ヘルスチェック
EC2インスタンスの正常/異常を確認し、利用する EC2の振り分けを行う
・クロスゾーン負荷分散
配下の EC2の負荷に応じて、複数のAZにまたがる EC2インスタンスに均等に負荷分散を行う
・暗号化通信
SSL/TSL証明書をELBに設定することでHTTPSまたはTLS通信を実施することができる
・スティッキーセッション
セッション中に同じユーザーから来たリクエストを継続して同じ EC2インスタンスに送信する
・Connection Draining
インスタンスが登録解除されるか異常が発生した場合に、そのバックエンドインスタンスへの新規リクエスト送信を中止する
・ログ取得
ELBのログ取得を有効化するとS3バケットにログを収集
●Auto-Scaling ターミネーションポリシー
・OldestInstance
最も古いインスタンスから順番に終了
・NewestInstance
最も新しい起動時刻のインスタンスから終了
・OldestLaunchConfiguration
最も古い起動設定により起動しているインスタンスから終了
・ClosestToNextInstanceHour
次の課金が始まるタイミングが最も近いインスタンスから終了
●Route53を利用して複雑なルーティングポリシーを設定する際の機能と使い方の組み合わせについて
トラフィックフローを用いて、順序を設定することでルーティングポリシーを設定する
●CloudFrontでエッジロケーションとリージョナルエッジキャッシュというロケーションは自動的に利用して効率的な配信を行なっているため設定できない
●DynamoDBのRead処理について
デフォルト:結果整合性モデル
最新の書き込み結果が即時読み取り処理に反映されない可能性がある
オプション:強い整合性モデル
GetItem/Query/Scanでは強い整合性のある読み込みオプションが指定可能
●NATゲートウェイ配置場所について
NATゲートウェイはプライベートサブネットのインスタンスからインターネットへのアクセスを可能にするため、パブリックサブネットに設置する
ネットワークアドレス変換(NAT)ゲートウェイを使用して、プライベートサブネットのインスタンスからはインターネットに接続できるがインターネットからはプライベートサブネットないのインスタンスとの直接接続できない
●AmazonAuroraの特徴
・マルチAZにまたがって仮想ボリュームを構成している
※RDSの5倍の性能が可能になっているが確実には保証されていない
●データの移行系
・DMS
データベース系
・SMS
サーバー系
・DataSync
ファイル移行系
●AWS API Gateway特徴
・APIを生成、管理することができる
・WEBSocketを利用した双方通信が可能
・ EC2、Lambda、任意のウェブアプリケーションのワークロード処理を実行する
・最大数十万個のAPI同時呼び出し、受付が可能
・AWS IAMとAmazon Cognitoを使用してAPIへのアクセスを許可
・Amazon CloudFrontとの連携
・Amazon CloudWatchを使用してサービスへの呼び出しを視覚的にモニタリング
●AWS KMSの特徴
KMSとは
暗号化に利用するマスターキーを作成・管理するサービス
・独自のキー管理インフラストラクチャーのキーと利用することができる
・RDSやS3などのデータベース/ストレージサービスにおける暗号化に活用できる
・カスタマーキーはデータ暗号化キーを制御することができる
●ElasticCacheを使用するユースケース
・インメモリデータベースを利用したい
・Webアプリケーションのセッションデータ等の高速解析処理を向上させたい