Closed80

AWSソリューションアーキテクトプロフェッショナルの学習メモ

組織の複雑さに対応する設計

クロスアカウント認証とアクセス戦略

  • フェデレーティッドユーザーは、AWS アカウントを持たないユーザー (またはアプリケーション) のこと
  • AWS Directory Service には3つの選択肢がある
    • AWS Managed Microsoft AD
    • AD Connector
      • オンプレミスのユーザーがADを介してAWSサービスにアクセスする必要がある
    • Simple AD
      • 低スケール、低コストの基本的なActive Directoryの機能
  • フェデレーティッドユーザーが認証されたあとのAWSリソース利用のための認可方式のパターンを外部で認証されたユーザー(ID フェデレーション)へのアクセスの許可で洗い出している

ネットワーク

ハイブリッド型VPN接続

  • AWS マネージドVPN
    • リモートネットワーク上のオンプレミスネットワーク機器から、VPCにアタッチされたAWSマネージド型ネットワーク機器へのハードウェアVPN接続
      • ハードウェアVPN接続についてはこちらの記事がわかりやすかったです。
  • AWS VPN Cloudhub
    • 複数のリモートブランチオフィスをVPCに接続するハブ・アンド・スポークスモデル
      • リモートオフィス間の接続をVPCを介して行う
  • ソフトウェアVPN
    • リモートネットワーク上の機器から、VPC内で実行されているユーザー管理型ソフトウェアVPNアプライアンスへのVPN接続

ハイブリッド型DirectConnect

  • VIF(仮想インターフェース)
    • プライベート仮想インターフェース: VPCに接続するときに使用する
    • パブリック仮想インターフェース: S3等AWSのパブリックサービスにアクセスするために使用する

全然理解できていないのであとで学習する。

ハイブリッド型 – AWS Storage Gateway

  • ファイルゲートウェイ
    • NFS等のファイルプロトコルを使用してS3やS3 Glacierでのオブジェクトの保存や取得を実行できます。IAMロールを使用して、選択したS3バケットにマッピングされるファイル共有を設定します
    • 紹介はなかったが、Amazon FSx ファイルゲートウェイというのもある
  • テープゲートウェイ
    • バックアップアプリケーションと、仮想メディアチェンジャー、仮想テープドライブ、仮想テープから成るiSCSI VTLインターフェースを提供します
    • 仮想テープのデータはS3内に保存されます。Glacierにアーカイブすることも可能です。
    • マネージメントコンソールでデータ転送とストレージインターフェースのステータスをモニタリングします。
    • さらに、APIまたはSDKを使用して、アプリケーションとゲートウェイ間のやり取りをプログラムで管理します
  • 保管型ボリュームゲートウェイ
    • 保管型ボリュームゲートウェイに書き込まれたデータは、オンプレミスのストレージハードウェア に保存され、EBSスナップショット形式でS3に非同期でバックアップされます
    • ストレージボリュームは 最大16TB まで作成でき、オンプレミスのアプリケーションサーバーからiSCSIデバイスとしてマウントされます
  • キャッシュ型ボリュームゲートウェイ
    • キャッシュ型ボリュームゲートウェイでは、最大サイズ32TBのストレージボリューム を作成し、オンプレミスのアプリケーションサーバーからiSCSIデバイスとしてマウントできます。
    • これらのボリュームに書き込まれたデータは S3 に保存されますが、最近書き込みや読み出しをしたデータのキャッシュのみがオンプレミスのストレージハードウェアにローカル保存 されます。
    • S3にあるボリュームデータのポイントインタイムスナップショットをEBSスナップショット形式で作成できます。これにより、データ保護と様々なデータ再利用のニーズに合わせて容量効率に優れ、バージョニングされたボリュームのコピーを提供します。

VPC エンドポイント

インターネットゲートウェイまたは仮想ゲートウェイをかいせずにインスタンスがプライベートIPを使用して、AWSサービスと接続することを可能にする仮想デバイス

  • インターフェースエンドポイント
    • プライベートIPアドレスを持ったENIで、AWS Private Linkを使用するサービス宛宛てのトラフィックのエントリポイントになります
  • ゲートウェイエンドポイント
    • ルートテーブルで指定されたルートのターゲットターゲットであるゲートウェイです。このタイプのエンドポイントは、サポートされているAWSサービス(DynamoDBやS3)へのトラフィックでに使用されます。
  • IAMポリシーを介してVPCエンドポイントへのアクセスを管理する

マルチアカウントの AWS 環境

リソースと請求の分離

  • AWS のお客様の多くが、ビジネスユニットごとの個別アカウントや、開発、テスト、本番リソースの別個のアカウントなど、組織のために複数の AWS アカウントを作成しています。
  • 開発リソースと本番リソースで別個の AWS アカウント (通常は一括請求 (コンソリデーティッドビリング) と併用) を使用することで、お客様は種類の異なるリソースを明確に分離できます。これにはセキュリティ面での利点もあります。

複数アカウントの請求戦略

  • 通知をグループエイリアスに送信する → 何のことを指しているか不明。
  • すべてのアカウントにAWSタグ付け標準を使用する
    • おそらくこの例のようにSCPに定義
  • AWS APIとスクリプトを使って企業のベースライン設定を自動化する

AWS Organizations

  • 複数のAWSアカウントをポリシーベースで一元管理
    • アカウント全体アカウント全体のポリシーを管理し、不要なアクセスをブロック
    • APIを使用して新しいアカウントの作成を自動化
    • アカウントを組織単位(OU)に編成する
    • AWS一括請求(コンソリデーティッドビリング)

新しいソリューション - パート1

スケーリングと信頼性

  • Amazon EC2 Autoscaling
    • Multi AZ Auto Scaling
    • 起動設定
    • ELBからトラフィックを分散させる方法
    • ELBにインスタンスを登録する方法
    • グローバルなデプロイ(CloudFrontディストリビューション)
  • Amazon ElastiCache
  • Amazon Simple Notification Service
  • AWS CloudFormation
  • ELB
  • Amazon Simple Queue Service
  • Amazon Kinesis
    • Kinesis Data Streams
      • 受信レコード毎のカスタム処理
      • 1秒未満の処理レイテンシー
      • ストリーム処理フレームワークの選択
    • Kinesis Data Firehose
      • 管理が不要
      • 60秒以上の処理レイテンシー
      • S3, Redshift, ElasticSearch Serviceベースの既存の分析ツールが使用可能
  • Amazon CloudWatch

模擬試験1回目の理解できていなかったところを調べてまとめる

Amazon SWFの使い所。現在となっては、AWS Step Functions推奨だが、SWFはこのとき使うとのこと。
「結果を親に返す子プロセスを起動する場合 」は、StepFunctionsで同期実行ができるようになって該当しない気がするけど、「プロセスにおいて介入する外部信号が必要な場合」にワークフローの中に人の手が入ることも含まれていて、その場合はSWF使ってねということなんだろうか。(SWFを触る気にならん。)

  • AWS Snowball
    • 大量データのAWS移行
  • VM Import/Export
    • 仮想マシン(VM)のAWS移行

設問にはAWS Import/Exportとあったが、ドキュメントに記載はなく、AWS Snowballのドキュメント以下でも見つけられなかった。
過去記事を探すと、AWS Import/Export(Snowball)と記載があったりするので、名前が途中で変わったということなんだろうか。

模擬試験2回目の理解できていなかったところを調べてまとめる

模擬試験3回目の理解できていなかったところを調べてまとめる

プライベート仮想インターフェイス: プライベート IP アドレスを使って Amazon VPC にアクセスするには、プライベート仮想インターフェイスを使用する必要があります。

パブリック仮想インターフェイス: パブリック仮想インターフェイスは、パブリック IP アドレスを使用してすべての AWS のパブリックサービスにアクセスできます。

トランジット仮想インターフェイス: Direct Connect ゲートウェイに関連付けられた 1 つまたは複数の Amazon VPC Transit Gateway にアクセスするには、トランジット仮想インターフェイスを使用する必要があります。1/2/5/10 Gbps の AWS Direct Connect 接続でトランジット仮想インターフェイスを使用できます。

https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html
  • 読み取り容量ユニット (RCU)

    • 項目のサイズが 4 KB までなら、1 RCU で、強力な整合性のある読み取りリクエストを 1 秒あたり 1 回実行できます。
    • 項目のサイズが 4 KB までなら、1 RCU で、結果整合性のある読み取りリクエストを 1 秒あたり 2 回実行できます。
    • トランザクション読み取りリクエストでは、4 KB までの項目を 1 秒あたり 1 回読み取るのに 2 RCU が必要です。
    • 項目が 4 KB より大きい場合、追加の RCU が必要です。
  • 書き込み容量ユニット (WCU)

    • 項目のサイズが 1 KB までなら、WCU 1 個で、標準の書き込み要求を 1 秒あたり 1 回実行できます。
    • トランザクション書き込み要求では、1 KB までの項目を 1 秒あたり 1 回書き込むのに WCU 2 個が必要です。
    • 項目が 1 KB より大きい場合、追加の WCU が必要です。

https://aws.amazon.com/jp/dynamodb/pricing/provisioned/#Key_terms

AWS Global Accelerator は、Amazon Web Services のグローバルネットワークインフラを利用して、ユーザーのトラフィックのパフォーマンスを最大 60% 向上させるネットワーキングサービスです。

https://aws.amazon.com/jp/global-accelerator/

受験後の反省

かなり新しい話題も出題されているように感じたが、正解として適切でなかったかもしれない。
S3通知+EventBridge+StepFunctionsはこれからよく使われそうなやつなので、覚えておきたい。

合格したからCloseする

このスクラップは2022/03/10にクローズされました
ログインするとコメントできます