[Associate SAA-C03] - dump 정리 231 ~ 250

---

231

VPC A에 Elastic IP 주소가 있는 Amazon EC2 인스턴스에서 실행 / VPC B의 데이터베이스에 대한 액세스가 필요

두 VPC는 동일한 AWS 계정 / 가장 안전한 액세스 솔루션

 

B. VPC A와 VPC B 사이에 VPC 피어링 연결을 구성합니다.

 

*VPC peering: 인터넷 연결 없이도 서로 다른 vpc끼리 안전하게 데이터 주고 받을 수 있음

---

232
고객을 위한 데모 환경 운영 / 환경에 대한 RDP 또는 SSH 액세스가 설정되면 운영팀에 알려야함

* RDP: 원격 데스크톱 프로토콜. TCP 포트 3389. Windows 환경

 

C. Amazon CloudWatch Logs에 VPC 흐름 로그를 게시합니다. 필요한 메트릭 필터를 만듭니다. 알람이 ALARM 상태일 때 알림 작업이 있는 Amazon CloudWatch 메트릭 알람을 만듭니다.

 

* VPC 흐름 로그: 네트워크 트래픽을 모니터링, 특정 IP (RDP 또는 SSH) 액세스를 감지

 

* AWS Systems Manager OpsItems: 운영 문제 기록 관리. 중앙 집중 관리 (Amazon CloudWatch, AWS Config, AWS CloudTrail, AWS Security Hub)

---

233
AWS 계정 루트 사용자 액세스 보호

A. 루트 사용자가 강력한 비밀번호를 사용하는지 확인하세요. 

B. 루트 사용자에 대해 다중 요소 인증을 활성화합니다.

 

강력한 비밀번호: 무단 액세스방지
다단계 인증: MFA 활성화

---

 

234 
새로운 웹 기반 고객 관계 관리 애플리케이션 구축 / ALB, EBS 볼륨으로 백업 /애플리케이션의 모든 데이터는 저장 시, 전송 시 암호화

C. AWS Key Management Service(AWS KMS)를 사용하여 EBS 볼륨과 Aurora 데이터베이스 저장소를 휴면 상태로 암호화합니다. AWS Certificate Manager(ACM) 인증서를 ALB에 연결하여 전송 중인 데이터를 암호화합니다.

* AWS Key Management Service(AWS KMS) 인증서: 데이터 암호화, 관리. 

 

저장 시 암호화 :

KMS → EBS 암호화하면 디스크에 저장 시 암호화 됨. 

Aurora 데이터베이스에 저장된 모든 데이터가 암호화 됨. 

 

전송시 암호화: 

ACM을 사용하여 ALB에 SSL/TLS 인증서를 배포. 클라이언트와 ALB 간의 전송 중인 데이터를 암호화

 

* BitLocker는 주로 Windows 환경에서 사용되는 암호화 도구

---

235
Oracle DB → Aurora PostgreSQL로 이전 / 한 달 간격으로 마이그레이션 / DB에 읽기와 쓰기가 많다는 우려 / 마이그레이션 하는 동안 두 DB에서 데이터를 동기화

 

C. 메모리 최적화 복제 인스턴스를 사용하여 AWS Database Migration Service(AWS DMS)와 함께 AWS Schema Conversion Tool을 사용합니다. 전체 로드 플러스 변경 데이터 캡처(CDC) 복제 작업과 테이블 매핑을 만들어 모든 테이블을 선택합니다.

 

메모리 최적화 복제 인스턴스 + SCT + CDC + 모든 테이블 매핑 

 

* AWS Schema Conversion Tool: Oracle 데이터베이스의 스키마를 PostgreSQL에 맞게 변환 / 호환성 문제 해결. 

 

* 데이터 캡처(CDC): db 변경 사항 실시간 감지, 기록. 수집 된 정보를 다른 시스템으로 전송, 저장. / 동기화 유지

 

* 메모리 최적화 복제 인스턴스: 읽기와 쓰기가 많은 환경에서 성능을 개선. 복제 인스턴스가 메모리를 초과하지 않도록 하여 디스크에서 읽을 때 발생하는 지연을 방지

---

236
이미지 공유를 위한 3 계층 애플리케이션 /  프런트엔드 계층 Amazon EC2 인스턴스 / 애플리케이션 계층 EC2 인스턴스 / MySQL 데이터베이스 EC2 인스턴스/

→ 애플리케이션에 최소한의 변경만 필요한 확장 가능하고 고가용성 솔루션

 

D. 프런트엔드 계층과 애플리케이션 계층에 로드 밸런싱된 Multi-AZ AWS Elastic Beanstalk 환경을 사용합니다. 데이터베이스를 Amazon RDS Multi-AZ DB 인스턴스로 이동합니다. Amazon S3를 사용하여 사용자의 이미지를 저장하고 제공합니다.

 

Elastic Beanstalk + RDS Multi-AZ + S3

 

* AWS elastic Beanstalk:애플리케이션을 신속하게 배포하고 관리할 수 있는 서비스. 업로드만 하면 용량 프로비저닝, 로드밸런싱, 조정, 모니터링 등 자동 처리

 

* Multi-AZ: 장애 조치. 고가용성. / RDS 읽기 복제본은 단순 부하 분산

 

A. Amazon S3 + AWS Lambda + DynamoDB

B. Elastic Beanstalk + Amazon RDS

C. S3 + Auto Scaling + 메모리 최적화 인스턴스

D. Elastic Beanstalk + RDS Multi-AZ + S3

---

237
VPC-A 와 VPC-B는 서로의 파일에 액세스해야함 / 보안 액세스를 구성하는 솔루션 / 단일 장애지점이나 대역폭 문제 x

 

A. VPC-A와 VPC-B 사이에 VPC 피어링 연결을 설정합니다.

 

* VPC Peering: private IP 주소를 사용하여 서로 통신 가능, 단일 장애 지점이나 대역폭 병목 현상X
→ VPN 연결, NAT 장치가 필요없이 다른 VPC의 인스턴스 간에 안전한 통신 가능

---

238
회사는 특정 월의 EC2 인스턴스 사용량이 각 계정의 특정 임계값을 초과하자마자 알림을 받고 싶어함 / 비용 효율적

 

C. AWS Budgets를 사용하여 각 계정에 대한 비용 예산을 만듭니다. 기간을 월로 설정합니다. 범위를 EC2 인스턴스로 설정합니다. 예산에 대한 알림 임계값을 설정합니다. 임계값을 초과하면 알림을 받도록 Amazon Simple Notification Service(Amazon SNS) 토픽을 구성합니다.

 

*AWS Budgets: AWS 비용과 사용량을 모니터링하고 예산 설정을 도와주는 서비스. 기간에 대한 예산을 설정하고 실제 사용량이나 비용이 초과하거나 절감하고자 하는 목표를 달성 할 경우 알람을 받을 수 있음, 추가적인 리소스 필요 없으므로 비용 효율적

* AWS Cost Explorer: 비용과 사용량을 보고 분석할 수 있는 도구, 알람 기능은 없음. 보고서 기능 제공

 

---

239
새로운 마이크로서비스 설계 / HTTPS 엔드포인트를 호출하여 마이크로서비스에 도달 / AWS IAM을 사용하여 호출을 인증. → 가장 운영 효율적 함수 배포 솔루션. 

 

A. Amazon API Gateway REST API를 만듭니다. Lambda 함수를 사용하도록 메서드를 구성합니다. API에서 IAM 인증을 활성화합니다.

* API Gateway: RESTful API 생성 → 백엔드의 HTTP 엔드포인트 역할 제공하는 서비스

* Lambda는 ‘함수’의 역할, API Gateway를 연결하여 엔드포인트를 만들어줘야함. 

---

240
데이터웨어하우스 솔루션을 AWS로 마이그레이션 / Direct Connect 연결을 보유 / 시각화 도구를 사용하여 데이터웨어하우스를 쿼리 크기 50MB / 어떤 솔루션이 회사에 가장 낮은 데이터 전송 이탈 비용을 제공

 

D. 데이터 웨어하우스와 동일한 AWS 지역에 시각화 도구를 호스팅하고 동일한 지역의 위치에서 Direct Connect 연결을 통해 액세스합니다.

 

* Direct Connect: 인터넷이 아닌 다른 방법으로 AWS에 연결할 수 있는 서비스. 프라이빗 네트워크 연결을 통해 전달

---

241
회사는 PostgreSQL 데이터베이스에 학생 기록 보관 /

여러 AWS 지역에서 항상 데이터를 사용할 수 있고 온라인 상태인 솔루션 / 운영 오버헤드 최소화

 

C. PostgreSQL 데이터베이스를 Amazon RDS for PostgreSQL DB 인스턴스로 마이그레이션합니다. 다른 Region에 읽기 복제본을 만듭니다. 

---

242
AWS 7개의 인스턴스를 사용하여 웹 애플리케이션 호스팅 / 모든 건강한 EC2 인스턴스의 IP 주소가 DNS 쿼리에 대한 응답으로 반환되어야 함

 

C. Multivalue routing policy(다중값 라우팅 정책)

 

*Route 53 다중값 응답: DNS 쿼리에 대해 여러 IP주소로 반환. 인스턴스가 정상 상태인지 확인 후, 정상 상태인 인스턴스의 IP 주소만 반환. 

• 다중값 라우팅 정책: 여러 IP 주소를 반환하고, 상태 확인을 통해 비정상적인 인스턴스를 제외
• 간단한 라우팅 정책: 한 번에 하나의 IP 주소만 반환.
• 대기 시간 라우팅 정책: 사용자와 가장 가까운 리소스로 트래픽을 라우팅. 대기 시간 최소화.
• 지리적 위치 라우팅 정책: 사용자 위치에 따라 리소스를 선택.

---

243
의학 연구실에서 새로운 연구와 관련된 데이터 생성 / 전국의 클리닉에서 온프레미스 파일 기반 애플리케이션을 위해 최소한의 지연 시간으로 데이터를 제공 / 데이터 파일은 읽기 전용 권한이 있는 S3 버킷에 저장

 

A. 각 클리닉의 온프레미스에 AWS Storage Gateway 파일 게이트웨이를 가상 머신(VM)으로 배포합니다.

 

*AWS Storage Gateway: 온프레미스 애플리케이션이 S3에 저장된 데이터를 NFS를 통해 파일 시스템으로 마운트.

 

지연 시간 최소화 : 로컬처럼 S3에 저장된 파일을 직접 액세스. 

읽기 전용 권한: 데이터는 S3에 저장, 클리닉은 데이터를 읽기만 함. 

---

244
회사의 인스턴스에서 실행되는 콘텐츠 관리 시스템 / 인스턴스에는 웹과 데이터베이스

→ 웹 사이트를 고가용성 /사용자 수요를 충족하도록 확장

 

C. 다른 가용성 영역에 읽기 복제본이 있는 Amazon Aurora로 데이터베이스를 이동합니다. EC2 인스턴스에서 Amazon Machine Image(AMI)를 만듭니다. 두 가용성 영역에 Application Load Balancer를 구성합니다. 두 가용성 영역에 걸쳐 AMI를 사용하는 자동 확장 그룹을 연결합니다.

 

다른 가용영역 RDS 읽기 전용 복제본: DB 장애 조치 가능
EC2 AMI, ASG → 장애발생 시 인스턴스 쉽게 복제 가능

---

245
ALB, ASG / 회사에는 개발환경, 프로덕션 환경 필요 / 프로덕션 환경에는 트래픽이 많은 기간 존재

→ 가장 비용 효율적인 개발 환경. 

 

D. 개발 환경의 자동 확장 그룹에서 EC2 인스턴스의 최대 수를 줄입니다. 

 

⇒ 개발 환경은 일반적으로 프로덕션 환경보다 리소스가 덜 필요하며, 개발 환경에서 많은 수의 인스턴스가 필요한 트래픽이 많은 기간이 발생할 가능성은 낮음 → 개발 환경에서의 ASG에서 인스턴스의 최대 수 줄이기

---

246
여러 가용 영역 EC2 인스턴스는 프라이빗 서브넷에 존재 / ALB / 인터넷 트래픽이 EC2 인스턴스에 도달X

D. 각 가용성 영역에 퍼블릭 서브넷을 만듭니다. 퍼블릭 서브넷을 ALB와 연결합니다. 퍼블릭 서브넷의 경로 테이블을 프라이빗 서브넷으로의 경로로 업데이트합니다.

 

프라이빗 서브넷 → 인터넷과 통신 경로 x / ALB는 퍼블릭 서브넷에 위치해야함/들어오는 트래픽 프라이빗 서브넷에 전달해야함. → 퍼블릭 서브넷과 프라이빗 서브넷 간의 연결을 라우팅 테이블을 통해 해결. 

---

247
RDS for MYSQL 데이터베이스 배포 / 거래가 증가함에 따라 데이터베이스 지원팀은 DB 인스턴스에 대한 읽기 속도가 느리다고 보고/ 읽기 복제본을 추가할 것을 권장

 

C. 소스 DB 인스턴스에서 장기 실행 트랜잭션이 완료되도록 허용합니다.

E. 백업 보존 기간을 0이 아닌 다른 값으로 설정하여 소스 인스턴스에서 자동 백업을 활성화합니다

 

활성적이고 장기 실행 트랜잭션은 읽기 복제본을 만드는 프로세스를 느리게 할 수 있습니다. 읽기 복제본을 만들기 전에 장기 실행 트랜잭션이 완료될 때까지 기다리는 것이 좋음
읽기 복제본을 만들려면 소스 DB 인스턴스에서 자동 백업을 활성화 → 백업 보존 기간을 0이 아닌 값으로 설정하여 수행

---

248
사용자는 제출된 일부 데이터가 처리되지 않는다고 보고 / CloudWatch는 인스턴스의 CPU 사용률이 100%에 가깝거나 일정하게 유지된다고 보여줌

D. 들어오는 요청을 Amazon Simple Queue Service(Amazon SQS)로 라우팅합니다. 대기열 크기에 따라 EC2 자동 확장 그룹을 구성합니다. 대기열에서 읽도록 소프트웨어를 업데이트합니다
일부 데이터 처리 x → SQS 사용

---

249

미디어 공유 스토리지 솔루션 회사는 SMB 클라이언트를 사용하여 데이터에 액세스할 수 있어야함 

솔루션은 완전 관리

 

* SMB( Server Message Block ): 네트워크 파일 공유 프로토콜 / Windows 시스템에서 주로 사용. 

D. Amazon FSx for Windows File Server 파일 시스템을 만듭니다. 파일 시스템을 원본 서버에 연결합니다. 애플리케이션 서버를 파일 시스템에 연결합니다.

SMB + 완전관리 = 윈도우용 Fsx
* Fsx는 Windows 파일 시스템 기능과 네트워크를 통해 파일 저장소에 액세스하기 위한 SMB 프로토콜을 기본적으로 지원

* Storage Volume Gateway는 SMB가 아닌 iSCSI를 통해 가상 디스크를 제공

* Storage Tape Gateway는 SMB가 아닌 iSCSI를 통해 가상 테이프를 제공

---

250
보안팀에서 네트워크 트래픽을 VPC Flow Logs에 캡처 요청 / 로그는 90일 동안 자주 액세스한 다음 간헐적으로 액세스

 

D. Amazon S3를 대상으로 사용합니다. S3 Lifecycle 정책을 활성화하여 90일 후에 로그를 S3 Standard-Infrequent Access(S3 Standard-IA)로 전환합니다.

 

* S3 Standard-Infrequent Access: 자주 액세스하지 않지만 필요할 때 빠르게 액세스해야 하는 데이터에 적합

* AWS Cloudtrail: 기업의 운영 및 위험 감사, 거버넌스 및 규정 준수를 지원하는 솔루션
⇒ API 활동 감사, 모니터링

* S3 Intelligent-Tiering: 30일 이상 액세스 되지 않은 데이터를 이동시킴. 

---