CSAA PRACTICE TEST 4

CSAA PRACTICE TEST 4

5

  1. AWS CloudTrail加密问题:默认情况下,将使用 服务器端加密 (SSE) 对 事件日志文件进行加密。您还可以选择使用 AWS Key Management Service (AWS KMS) 密钥加密您的日志文件。您可以将日志文件在存储桶中存储任意长的时间。您也可以定义 Amazon S3 生命周期规则以自动存档或删除日志文件。如果您想接收有关日志文件传送和验证的通知,可以设置 Amazon SNS 通知。
  2. CloudTrail的工作原理
  1. 账户监控创建时机:在您创建 账户时,将对账户启用 。当您的 AWS 账户中发生活动时,该活动将记录在 CloudTrail 事件中。您可以通过转到Event history (事件历史记录) 轻松查看 CloudTrail 控制台中的事件。利用事件历史记录,您可以查看、搜索和下载 账户中过去 90 天的 活动。此外,您还可以创建一个 CloudTrail 跟踪来存档、分析和响应您的 AWS 资源的变化。跟踪是一种配置,可用于将事件传送到您指定的 Amazon S3 存储桶。也可以使用 Amazon CloudWatch Logs 和 Amazon CloudWatch Events 传送和分析跟踪中的事件。您可使用 CloudTrail 控制台、AWS CLI 或 CloudTrail API 创建跟踪。
  2. 您可以创建两种类型的跟踪
  1. 应用到所有区域的跟踪:当您创建一个应用于所有区域的跟踪时,CloudTrail 会记录每个区域中的事件,并将 CloudTrail 事件日志文件传输到您指定的 S3 存储桶。如果您在创建应用到所有区域的跟踪后又添加了一个区域,则该新区域会自动包括在内,该区域中的事件也将被记录。在 CloudTrail 控制台中创建跟踪时,这是默认选项。有关更多信息,请参阅在控制台中创建跟踪。
  2. 应用到一个区域的跟踪:当您创建一个只应用于一个区域的跟踪时,CloudTrail 仅记录该区域中的事件。然后,它将 CloudTrail 事件日志文件传输到您指定的 Amazon S3 存储桶。如果您另外创建了单个跟踪,可以让这些跟踪将 CloudTrail 事件日志文件传送到同一个 Amazon S3 存储桶或单独的存储桶。这是使用 AWS CLI 或 CloudTrail API 创建跟踪时的默认选项。
  3. 注意:对于这两种类型的跟踪,您可以指定来自任何区域的 Amazon S3 存储桶。
  1. 日志传输策略:CloudTrail 通常会在账户活动发生后的 15 分钟内传送日志文件。此外,CloudTrail 一小时内会多次发布日志文件,通常约每 5 分钟发布一次。这些日志文件包含账户中来自支持 CloudTrail 的服务的 API 调用。

10

  1. 如果只是需要高性价比的文件归档解决方案,直接使用Glacier是最佳选择

11

  1. 流量控制:如果web server与db instance在一个VPC中,设置流量访问控制建议直接使用SecurityGroup;
  2. NACL的使用场景:主要用于你想拒绝一个指定的IP访问或者一个CIDR 块的访问的时候
  3. 简单来说,只是流量控制,使用SecurityGroup,如果有拒绝某些IP和CIDR的场景,就配合上NACL来控制流量;

24

  1. AWS的最佳实践的跨AZ部署服务包括如下:DNS/ELB/Application Load Banlancer/API Gateway/EC2;
  2. S3-IA/S3已经支持Region内的高可用;
  3. DynamoDB已经是支持了跨Region容灾,单region内多AZ的高可用;

36

  1. SSE-S3:需要S3管理data和master的Encrypted keys;
  2. SSE-C:需要你自己管理Encrypted keys;
  3. SSE-KMS:需要AWS管理Data keys,客户管理master keys;
  4. SSL:是数据传输加密

41

  1. Redshift是一个基于column-oriented、全托管、PB级别的数据仓库,支持你使用现有的BI工具进行数据分析,提供简单高性价比的分析能力;
  2. Redshift归档存储高效、并行查询的性能优化较好,列式高效存储,目标数据encoding 压缩;

51

  1. ECR:Amazon Elastic Container Registry (ECR) 是完全托管的 Docker 容器注册表,可使开发人员轻松存储、管理和部署 Docker 容器映像。Amazon ECR 与 Amazon Elastic Container Service (ECS) 集成,从而简化生产工作流程的开发。Amazon ECR 使您无需操作自己的容器注册表,或使您不必为扩展底层基础架构而感到担心。Amazon ECR 将您的映像存储在高度可用、可扩展的基础架构中,使您能够为应用程序可靠部署容器。与 AWS Identity and Access Management (IAM) 集成使您可以对每个存储库进行资源级别的控制。Amazon ECR 没有预付费用或长期合约。您只需为存储库中存储的数据量以及传输到 Internet 的数据量付费。

59

  1. RDS的只读副本:Amazon RDS Read Replicas 可增强数据库实例的性能和持久性。此功能可轻松实现弹性扩展,突破单个数据库实例的容量限制,以处理高读取量的数据库工作负载。您可以为给定的源数据库实例创建一个或多个副本,利用多份数据副本满足大量应用程序读取流量需求,以此增加总读取吞吐量。只读副本在需要时还能升级成独立的数据库实例。Amazon RDS for MySQL、MariaDB 和 PostgreSQL 以及 Amazon Aurora 均提供只读副本。
  2. RDS的只读副本机制:对于 MySQL、MariaDB 和 PostgreSQL 数据库引擎,Amazon RDS 使用源数据库实例快照创建第二个数据库实例。然后在源数据库实例发生更改时,使用引擎的本机异步复制功能更新只读副本。只读副本是仅允许只读连接的数据库实例;应用程序可按其连接到任何数据库实例的方式连接到只读副本。Amazon RDS 复制源数据库实例中的所有数据库。
  3. Aurora副本机制:Amazon Aurora 采用专为数据库工作负载构建的 SSD 型虚拟存储层。Amazon Aurora 副本与源实例共用同一个底层存储,从而降低成本并消除将数据复制到副本节点的需求。
  4. RDS数据分片:这个AWS官方没有给出托管服务支持,需要我们应用层做解决方案,或者通过构建独立的中间件解决;
  5. ElasticCache:Amazon ElastiCache 提供完全托管 Redis 和 Memcached。无缝部署、操作和扩展热门开放源代码兼容的内存数据存储。通过从高吞吐量和低延迟的内存数据存储中检索数据,构建数据密集型应用程序或提升现有应用程序的性能。Amazon ElastiCache 是游戏、广告技术、金融服务、医疗保健和 IoT 应用程序的热门选择

60

  1. 多语言的app部署上云的场景下,每个应用及语言都不同的时候,那么lambda很显然不合适;
  2. 这里建议使用docker容器进行隔离封装,然后通过Beanstalk进行快速不出,这样的部署方式是最快的;
  1. Elastic Beanstalk 支持从 Docker 容器部署 Web 应用程序。使用 Docker 容器,您可以定义自己的运行时环境。您可以选择自己的平台、编程语言以及其他平台不支持的任何应用程序依赖项 (如包管理器或工具)。Docker 容器具有独立性,包含您的 Web 应用程序运行所需的所有配置信息和软件。
  2. 将 Docker 与 Elastic Beanstalk 配合使用会得到一种基础设施,可以自动处理容量配置、负载均衡、扩展和应用程序运行状况监控的详细信息。您可以在支持与 Elastic Beanstalk 集成的服务范围的环境中管理 Web 应用程序,包括但不限于 VPC、RDS 和 IAM。

你可能感兴趣的:(CSAA PRACTICE TEST 4)