AWS-最佳实践-杂信息
1.Amazon Aurora Serverless v1
AmazonAurora-Serverless版本1是亚马逊Aurora的按需自动缩放配置。Aurora Serverlessv1 DB集群是一个DB集群,
可根据应用程序的需求上下扩展计算容量。这与Aurora提供的DB集群形成对比,您可以手动管理容量。
Aurora Serverless v1为不频繁,间歇性或不可预测的工作负载提供了一个相对简单,经济高效的选项。
它具有成本效益,因为它可以自动启动,根据应用程序的使用情况扩展计算容量,并在不使用时关闭。
2.DynamoDB创建全局表的方法
通过启用DynamoDBStreams更新现有DynamoDB表的配置。添加第二个Region以创建全局表。
DynamoDB是一个NoSQL数据库,它是为高性能和可扩展性而设计的,非常适合这个用例。
此外,DynamoDB支持自动缩放,这有助于确保数据库能够处理传感器数量的预期增长。
3.配置使用多地S3
在us-east-1中的S3存储桶上配置复制,以将对象复制到第二个Region中的S3数据桶。
使用包含两个S3存储桶作为源的源组设置AmazonCloudFront分发。
4.关于数据加密
1)Amazon Macie报告
一家公司有一个包含数百万未加密对象的Amazon S3存储桶。
为了遵守最近的安全审计,解决方案架构师需要确保所有对象都是加密的,并且需要编译包含敏感数据的对象列表。
许多应用程序访问S3存储桶中的对象,开发团队的资源有限.哪种解决方案将通过LEAST开发工作满足这些要求?
解决方案:
在S3存储桶上运行Amazon Macie报告以识别敏感数据.修改S3存储桶以启用默认加密。
使用S3库存报告和S3批次加密同—S3存储桶中的现有未加密对象。
5.Discovery Agent
通过在物理机器和虚拟机上安装AWSApplication Discovery Agent来评估现有应用程序。
AWS应用程序发现代理(Discovery Agent)是安装在本地服务器和虚拟机上的软件。
Discovery Agent 收集系统配置、时间序列利用率或性能数据、过程数据和传输控制协议 (TCP) 网络连接。
6.aws迁移中心
使用AWS迁移中心将服务器分组到应用程序中进行迁移。使用AWS迁移中心生成推荐的实例类型和相关成本。
7.Route 53+CloudWatch+CloudFormation多地部署
为用户和联系人提供了一个新的Amazon Connect实例。为Amazon Connect实例的URL设置了Amazon Route 53健康检查。
为失败的健康检查设置了AmazonCloudWatch警报。
并设置了AWSLambda功能来部署AWS CloudFormation模板(该模板提供声明的电话号码),
启动该模板,重新部署或者在另一个region中部署系统。
8.Route53
健康监测机制、权重分发机制等
将跨越多个可用性区域(AZ)的应用程序负载平衡器(ALB)部署到美国东部-1地区的VPC,将EC2实例部署到多个AZ,
作为ALB服务的自动缩放组的一部分将相同的解决方案部署到美国西部-1地区。
创建一个Amazon Route53记录集,启用故障转移路由策略和运行状况检查,以在这两个地区提供高可用性区域。
9.RDS代理
是一种允许共享RDS数据库连接的服务。通过使用RDS代理,应用程序可以在故障切换事件后自动重新连接到数据库,而无需重新启动应用程序。
解决方案迁移到Aurora Serverless可能无法解决问题,因为Aurora Server less不支持Multi-AZ。
使用RDS代理,可以处理不可预测的数据库流量激增。否则,这些激增可能会由于过度订阅连接或快速创建新连接而导致问题。
RDS Proxy建立数据库连接池并重用该池中的连接这种方法避免了每次打开新数据库连接时的内存和CPU开销。
为了保护数据库不被过度订阅,可以控制创建的数据库连接数。
10.账单管理
从AWS组织管理账户创建AWS成本和使用报告(CUR)。允许每个团队通过AmazonQuickSight仪表板可视化CUR。
11.跨账户访问S3
要允许User_DataProcessor从帐户B访问S3存储桶,需要采取以下步骤:
在账户A中,设置S3存储桶策略,以允许账户B中的IAM用户访问存储桶。这是通过在存储桶策略中添加一条语句来完成的,
该语句允许账户B的IAM用户对存储桶及其内容执行必要的操作(GetObject和ListBucket)。
在帐户B中,创建一个IAM策略,允许IAM用户(user_DataProcessor)对S3存储桶及其内容执行必要的操作(GetObject和ListBucket)。
该策略应参考S3存储桶的ARN和允许用户执行的操作。
注意:在这种情况下,不需要为帐户A中的S3存储桶打开跨源资源共享(CORS)功能,因为它通常用于允许web浏览器访问来自不同域的资源。
12.S3加速器
启用S3传输加速。配置应用程序以使用传输加速端点进行上传。
13.DataSync
使用AWS DataSync计划每日任务,以在本地Windows文件服务器和Amazon FSx之间复制数据。
配置AWS DataSync.配置DataSync代理并将其部署到本地网络.创建传输任务并开始传输。
将NFS存储的内容迁移到S3、EFS、FSx并且加密=AWS DataSync+DataSync代理。
14.ComputeOptimizer
在每个EC2实例上安装Amazon CloudWatch代理并打开AWS ComputeOptimizer,
可以让解决方案架构师分析环境,并以经济高效的方式就EC2实例的大小提出建议。
AWSCompute Optimizer分析实例的利用率,并为工作负载推荐最佳实例类型。此解决方案比创建仪表板并定期查看它,
或注册AWS企业支持计划并等待Trusted Advisor的建议更具成本效益。
15.OpsCenter
OpsCenter是AWS系统经理的一种功能,它提供了一个中心位置,操作工程师和IT专业人员可以在这里管理与AWS资源相关的操作工作(Opsltems)。
操作项目是指需要调查和补救的任何操作问题或中断。使用OpsCenter,可以查看有关每个0psltem的上下文调查数据,包括相关Opsltem和相关资源。
也可以运行Systems Manager Automation Runbook来解析Opsltems。
16.最佳实践
使用AWS DataSync将测序数据传输到Amazon S3.使用S3事件触发AWS Lambda函数,
启动AWS Step Functions工作流.将Docker图像存储在Amazon Elastic Container Registry (Amazon ECR)中,
并触发AWS Batch运行容器并处理排序数据。
17.将其本地数据中心连接到AWS中的资源
在中央网络帐户中创建一个Direct Connect网关和一个transit网关将使该公司能够将其本地数据中心连接到AWS中的资源。
与其他账户共享传输网关将使公司能够与多个账户中的所有VPC进行通信。
仅提供私有子网,并在传输网关和客户网关上打开必要的路由,将使该公司能够通过其本地数据中心将其云资源路由到互联网。
在中央网络帐户中创建直连网关和中转网关.使用转接VIF将转接网关连接到直连网关。
与其他账户共享传输网关,将VPN连接到传输网关。
仅设置专用子网.在传输网关和客户网关上打开必要的路由,以允许来自AWS的出站互联网流量通过数据中心中运行的NAT服务。
18.最佳实践
该公司希望处理通过同一端点发布的URL,因此他们正在寻找一个跨区域交付的单一SNS,
但每个区域都有单独的SQS+Lambda。首先在每个区域创建SQS和Lambda,然后将SQS队列订阅到SNS主题(无需在每个区域中创建其他SNS主题)
19.IAM Access Analyzer
IAM Access Analyzer可帮助识别组织和帐户中与外部实体共享的资源,
如Amazon S3存储桶或IAM角色。这能够识别对资源和数据的意外访问,这是一种安全风险。
IAM Access Analyzer通过使用基于逻辑的推理分析AWS环境中基于资源的策略来识别与外部主体共享的资源。
可以防止应用程序以减少的容量运行。
20.Terminate进程
在这个解决方案中,架构师可以暂停自动缩放组的Terminate进程,这将防止标记为不健康的实例被终止。
这将允许架构师使用会话管理器登录到实例,并在不丢失对实例的访问权限的情况下解决问题。
21.RDS代理
将数据库迁移到Amazon AuroraMySQL
-创建一个亚马逊极光复制品(创建AWS Aurora副本)。
-在数据库前面使用RDS代理。
-这些选项是正确的,因为它们满足了将故障切换时间减少到20秒以下的要求。
迁移到Amazon Aurora MySQL并创建Aurora副本可以将故障切换时间减少到20秒以下。
Aurora有一个内置的容错存储系统,可以自动检测和修复故障。
此外,Aurora还有一个名为“Aurora全局数据库”的功能,允许在多个AWS区域创建只读副本,
这可以进一步帮助减少故障切换时间。
创建Aurora复制副本也有助于减少故障切换时间,因为它可以在发生故障时作为主数据库实例接管。
使用RDS代理还有助于减少故障切换时间,因为它可以将查询路由到健康的数据库实例,也有助于平衡多个数据库实例之间的负载。
将Amazon ElastiCache用于数据库前面的Memcached和Redis,是不正确的,
因为ElastiCCache是一种缓存服务,它没有为底层数据库提供高可用性解决方案。
创建RDSforMySQL读取副本,这是不正确的,因为读取副本只能用于卸载主实例的读取流量,它不能为底层数据库提供高可用性解决方案。
22.在组织的管理帐户中配置AWS预算
-在组织的管理帐户中配置AWS预算,并配置按应用程序、环境和所有者分组的预算警报。
将每个业务部门添加到每个警报的亚马逊SNS主题中。使用组织管理帐户中的成本资源管理器为每个业务单元创建月度报告。
此选项最具成本效益,因为它利用组织的管理帐户为组织中的所有账户设置预算和配置警报,而不必在每个帐户中单独配置预算和警报。
此外,在管理帐户中使用成本资源管理器可以让云治理团队查看组织中所有帐户的合并支出,并为每个业务单元创建报告。
这样就不需要访问每个单独的帐户来查看成本和创建报告。选项A不是最具成本效益的解决方案,因为它需要在多个帐户中配置预算和报告,
这增加了管理每个业务单元的云支出的复杂性和成本。选项C不是最具成本效益的解决方案,
因为它要求云治理团队访问每个账户中的AWS计费和成本管理仪表板,
为每个业务单元创建月度报告,这增加了管理每个业务单元云支出的复杂性和成本。
选项D不是最具成本效益的解决方案,
因为它需要创建一个AWSLambda函数来处理AWS成本和使用情况报告,这增加了管理每个业务单元的云支出的复杂性和成本。
23.S3智能分层
在S3存储桶上配置S3智能分层。AmazonS3智能分层是一个存储类,它根据不断变化的访问模式自动在两个访问层之间移动对象。
频繁访问的对象存储在频繁访问层中,而不经常访问的对象则存储在不经常访问层中。这允许在不需要手动干预的情况下进行成本优化。
这使它成为所描述场景的理想解决方案,因为它可以自动将30天后不常访问的对象移动到成本较低的存储层,同时仍然保持毫秒级的检索可用性。
24.最佳实践
在AWS主帐户中创建一个客户端VPN端点。配置允许访问内部应用程序的所需路由是符合这些要求的MOST经济高效的解决方案。
该解决方案允许员工使用客户端VPN端点连接到主要的AWS帐户,然后使用与其他AWS帐户建立的对等连接来访问内部应用程序。
这样就无需在每个AWS账户中添加额外的客户端VPN端点,从而降低了成本。
在每个AWS帐户中创建一个客户端VPN端点,成本会更高,因为它需要多个端点。
建立一个过境网关,也会增加不必要的成本。
将客户端VPN端点连接到站点到站点VPN,可能无法为远程员工提供可扩展的解决方案。
25.AWS架构转换工具(SCT)
AWS架构转换工具(SCT)可以自动将数据库架构从Microsoft SQL Server转换为AmazonRDS forMySQL。
这允许数据库模式的平稳转换,而无需任何手动干预。然后可以使用AWSDMS将数据从本地数据库迁移到新创建的Amazon RDSfor MySQL实例。
该服务可以执行数据的一次性迁移,也可以设置数据更改的持续复制,以保持本地数据库和AWS数据库的同步。
选项A不正确,因为尽管Amazon RDS forMySQL支持SQLServer数据库,但它不太适合迁移业务关键型应用程序。
数据模型和体系结构各不相同,需要进行重大的重新设计。
选项B不正确,因为AWS Snowball Edge Storage Optimized设备用于在AWS之间传输大量数据,但不支持SQL Server。
选项D不正确,因为AWSDataSync只能传输文件和文件夹,它不支持SQLServer数据库。
26.Glue Data Catalog
AWS Glue Data Catalog是元个托管元数据存储库,可用于存储和检索S3中存储的数据的表定义。
总之,这些服务可以提供一种经济高效的方式来查询和分析大量非结构化数据。
此外,通过使用S3生命周期策略将超过1年的数据转换到S3Glacier Deep Archive,可以出于法规遵从性原因无限期地保留数据,同时降低存储成本。
其他选项不正确,因为:A-使用S3Select可以很好地过滤S3中的数据,但它可能不是查询和分析大量数据的合适解决方案。
B-AmazonRedshift Spectrum可以用于查询存储在S3中的数据,但它可能不如使用Amazon Athena查询非结构化数据具有成本效益
D-将Amazon Redshift Spectrum与S3智能分层结合使用可能是一个很好的解决方案,但S3智能分层旨在根据访问模式优化存储成本,
出于合规性原因,它不是最佳解决方案,因为S3智能分层将根据访问模式将数据移动到其他存储类别。
27.Control Tower
-使用AWSControl Tower部署着陆区环境,并在AWS组织中的某个组织中注册账户,可以集中管理对所有账户和应用程序的访问。
-在每个账户中创建传输网关和传输网关VPC附件,并配置适当的路由表,以允许专用网络流量,
并确保生产帐户和共享网络帐户能够连接到所有帐户,而开发和暂存帐户只能彼此访问。
-设置并启用AWSIAM身份中心(AWS Single Sign-On),并为现有帐户创建具有所需MFA的适当权限集,
允许在登录时进行多因素身份验证,并将特定角色分配给用户组。
28.Amazon Connec+Amazon Pinpoint
以最少的持续运营开销满足公司要求并发送双向体验调查的解决方案是使用Amazon Connect取代旧的呼叫中心硬件,
并使用Amazon Pinpoint向客户发送短信调查。
Amazon Connect是一种完全管理的、基于云的联络中心服务,易于设置和配置,而Amazon Pinpoint可用于发送短信调查和收集回复。
通过使用这些服务,该公司可以将运行和维护呼叫中心硬件和调查系统的运营开销转移到AWS。
29.Athena和Glue Data Catalog
该解决方案允许使用Amazon Athena和AWS Glue Data Catalog来查询和分析S3存储桶中的数据。
AmazonAthena是一个无服务器的交互式查询服务,允许您使用SQL分析S3中的数据。
30.最佳实践案例
一家公司计划将Amazon RDS for Oracle数据库迁移到另一个AWS账户中的RDS for PostgreSQL数据库实例。
解决方案架构师需要设计一种迁移策略,该策略不需要停机时间,并将完成迁移所需的时间降至最低。
迁移策略必须复制所有现有数据和迁移过程中创建的任何新数据.迁移过程完成时,目标数据库必须与源数据库相同。
所有应用程序当前都使用Amazon Route 53 CNAME记录作为其与RDSforOracle DB实例通信的端点。
RDSfor Oracle DB实例位于专用子网中。解决方案架构师应该采取哪些步骤组合来满足这些需求?
解决方案:
1.在目标账户中创建一个新的RDSforPostgreSQL DB实例。
使用AWS模式转换工具(AWS SCT)将数据库模式从源数据库迁移到目标数据库。
2.在两个AWS账户中的VPC之间配置VPC对等,
以从目标帐户提供到两个DB实例的连接.配置附加到每个DB实例的安全组,以允许目标帐户中VPC的数据库端口上的流量。
3.在目标账户中使用AWS数据库迁移服务(AWS DMS)执行从源数据库到目标数据库的全负载加更改数据捕获(CDC)迁移。
迁移完成后,将CNAME记录更改为指向目标DB实例端点。
31.AWS Back
使用aws back创建辅助AWS区域中Aurora数据库和DynamoDB数据库的备份。
在主要区域和次要区域中,使用区域端点配置API网关API。实施Amazon Route 53故障切换路由,将流量从主要区域切换到次要区域。
32.EKSDistro
一家金融服务公司在经营场所内的工作量受到高度监管。
该公司正试图通过改用基于微服务的容器架构来实现其整体核心支付应用程序的现代化,
该公司正在等待监管部门批准在AWS上运行此工作负载与此同时,
该公司希望开始在本地部署容器化应用程序.解决方案架构师需要设计一个解决方案,
使公司能够运行和更新现有和新的工作负载,即使公司失去了与AWS地区的网络连接,哪种解决方案可以满足这些要求?
解决方案:
在公司管理的基础设施上安装Amazon EKS Distro。
在AWS上的Amazon EKS Anywhere集群中注册本地服务器或VM,在集群上启动工作负载的容器。
EKS-D可自行安装和管理,可以在本地、云中或自己的系统上运行EKS-D。
EKS-D提供了一条路径,可以在需要运行的任何地方运行基本相同的AmazonEKS-Kubernetes发行版。
33.CloudEndure
一家公司开发了一款应用程序,该应用程序在公司内部托管的VMwarevSphere VM上运行Windows Server。
应用程序数据以必须通过应用程序读取的专有格式存储。该公司手动配置了服务器和应用程序。
作为灾难恢复计划的一部分,如果公司的内部环境变得不可用,该公司希望能够在AWS上暂时托管其应用程序。
该公司希望应用程序在灾难恢复事事完成后返回本地托管,RPO为5分钟。哪种解决方案以最少的运营开销满足这些要求?
解决方案:
配置CloudEndure灾难恢复。
将数据复制到连接到Amazon Elastic Block Store (Amazon EBS)卷的复制Amazon EC2实例。
当本地环境不可用时,使用CloudEndure启动使用复制。
34.资源访问管理器
一家公司使用AWS组织。该公司在AWS帐户中创建了一个中央VPC,该账户指定用于在一个AWS区域内联网。
中心VPC有一个AWS站点到站点VPN连接到公司的内部网络。
解决方案架构师必须创建另一个AWS帐户,该账户使用与中央VPC相同的网络资源。哪种解决方案最经济有效地满足这些要求?
解决方案:
使用AWS资源访问管理器与新的AWS帐账户享中央VPC中的子网。
35.S3桶秘钥
为了减少亚马逊S3对AWSKMS的调用量,请使用亚马逊S3桶密钥,这是受保护的加密密钥,在亚马逊S3中可以在有限的时间内重复使用。
桶密钥可以将AWS KMS请求的成本降低高达99%。可以为AmazonS3存储桶中的所有对象或AmazonS3数据桶中的特定对象配置存储桶密钥。
36.AWS WAF webACL
一家公司已将其公司网站部署在VPC中的应用程序负载平衡器(ALB)后面的两个Amazon EC2实例上。
EC2实例部署在私有子网中。ALB位于公共子网中,到互联网网关的路由存在于公共子网路由表中。
该公司已部署了以ALB为源的Amazon CloudFront分发。该公司的安全团队最近发现恶意流量正在直接访问ALB。
该公司必须部署安全控制,以防止常见的攻击技术,包括跨站点脚本,并防止大规模拒绝服务。解决方案架构师应该推荐哪种策略来满足这些要求?
解决方案:
将AWS WAF webACL与CloudFront分发相关联。
配置CloudFront以向发送到ALB的请求添加自定义标头。在ALB上配置高级路由以仅转发包含CloudFront设置的自定义标头的请求。
37.最佳实践案例
一家公司希望将其三阶段web应用程序迁移到AWS云。
这三个阶段是开发、测试和生产,每个阶段必须使用自己的专用VPC。
该公司希望通过IPsec连接从公司的主要办公地点访问舞台。
解决方案架构师应在网络设计中实施哪些步骤组合以满足这些要求?
解决方案:
-创建传输网关.将所有VPC连接到传输网关。
-在每个VPC中创建安全组,以控制对应用程序资源的访问。
-创建客户网关,创建VPN连接,通过指定客户网关,将VPN连接连接到传输网关。
不希望私有网关支持传输网关,我们希望创建传输网关(B),而不是私有网关。
必须决定在哪里创建安全组。它们不是为传输网关创建的,而是在VPC中为各种资源创建。
要么将vpn连接到传输网关,要么连接到虚拟专用网关。由于有多个VPC,选择是传输网关。
38.AWS Config托管
一家公司正在使用许多Amazon S3存储桶来存储机密数据。
一些S3存储桶是防暴加密的,该公司希望使用AWS密钥管理服务(AWSKMS)客户管理的密钥来加密S3存储桶。
该公司希望有一种解决方案,能够检测任何未加密的S3存储桶,并对每个不符合要求的S3存储包应用AWSKMS加密。
哪种解决方案能够以最少的运营开销满足这些要求?
解决方案:
配置s3默认加密kms AWS Config托管规则.为规则创建一个自动修正脚本,该脚本将为任何不符合规则的桶启用AWSKMS加密
39.AmazonAPI网关HTTP API
一家公司在本地数据中心中托管Git存储库.该公司使用webhook来调用在AWS云中运行的功能。
该公司在一个自动缩放组中的一组AmazonEC2实例上托管webhook逻辑,
该公司将该组设置为应用程序负载均衡器(ALB)的目标,Git服务器为配置的webhook调用ALB。
该公司希望将解决方案转移到无服务器架构.哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
创建一个AmazonAPI网关HTTPAPI。在单独的AWS Lambda函数中实现每个webhook逻辑更新Git服务器以调用API网关端点。
一般来说,如果正在寻找操作开销最小的选项,并且对完全管理的无服务器环境感到满意,
那么带有API网关的AWSLambda可能是更好的选择。
然而,如果您需要对环境进行更多控制或需要使用容器,那么带有ALB的AWS App Runner可能是更好的选择。
40.AWS应用程序发现代理
一家公司计划将1000台本地服务器迁移到AWS。这些服务器在公司数据中心的几个VMware集群上运行,
作为迁移计划的一部分,该公司希望收集服务器指标,如CPU详细信息、RAM使用情况、操作系统信息和运行进程。
然后,该公司希望查询和分析数据.哪种解决方案能够满足这些要求?
解决方案:
将AWS应用程序发现代理部署到每个本地服务器。
在AWS迁移中心中配置数据探索。使用AmazonAthena对AmazonS3中的数据运行预定义的查询。
AWS无代理发现不会收集有关服务器上运行的进程的信息。它主要集中于收集有关服务器硬件。
操作系统和网络配置的信息.它主要用于发现和清点服务器,但它没有提供与AWS应用程序发现代理相同级别的详细指标。
如果公司想收集有关服务器上运行的进程的信息,AWS应用程序发现代理是最好的选择,因为它可以提供比无代理发现更详细的指标
41.NAT网关
一家公司正在构建一个无服务器应用程序,该应用程序运行在连接到专有网络的AWSLambda功能上。
该公司需要将该应用程序与来自外部提供商的新服务集成,外部提供程序仅支持来自允许列表中的公共IPv4地址的请求。
在应用程序开始使用新服务之前,公司必须向外部提供商提供一个公共IP地址.哪种解决方案将使应用程序能够访问新服务?
解决方案:
部署NAT网关.将弹性IP地址与NAT网关关联将专有网络配置为使用NAT网关。
此解决方案将通过NAT网关路由Lambda的出站流量,从而使Lambda功能能够访问互联网,NAT网关具有公共弹性IP地址。
这将允许外部提供商将与NAT网关相关联的单个公共IP地址列入白名单,并使应用程序能够访问新服务。
42.AWS计算优化器
一家公司在AmazonS3中以静态网站的形式运行一个新的应用程序。
该公司已将该应用程序部署到一个生产AWS帐户,并使用Amazon CloudFront交付网站。
该网站调用AmazonAPI冈网关REST API,AWS Lambda函数支持每个API方法。
该公司希望每两周创建一份CSV报告,显示每APILambda函数的推荐配置内存。推荐成本以及当前配置与推荐之间的价格差异。
该公司将把报告存储在S3存储桶中。哪种解决方案将在最少的开发时间内满足这些要求?
解决方案:
选择加入AWS计算优化器。创建一个调用ExportLambdaFunctionRecommendations操作的Lambda函数。
将.csv文件导出到S3存储桶中。创建一个AmazonEventBridge规则来安排Lambda函数每两周运行一次。
43.AWS控制塔
一家公司在AWS组织中有一个组织,该公司正在使用AWS控制塔为该组织部署一个着陆区。
该公司希望实施治理和政策执行。公司必须实施一项策略,检测公司生产组织单位中未加密的Amazon RDSDB实例,
哪种解决方案能够满足这一要求?
解决方案:
启用AWS控制塔中强烈推荐的护栏列表中的适当护栏。将护栏应用于生产组织单位。
正确答案是AWS控制塔提供了一套“强烈推荐的护栏”,可用于实施治理和政策执行。
其中一个防护措施是“加密亚马逊RDS实例”,它将检测静止时未加密的RDS数据库实例。
通过启用此防护措施并将其应用于生产组织单位,该公司将能够在生产环境中对RDS实例强制加密。
强制性护栏是AWS预定义的,无法自定义。AWS Config没有为RDS实例提供强制性护栏。
因为AWS控制塔不提供称为自定义SCP(服务控制策略)的功能,而是使用护栏。
44.迁移(Lambda和Aurora)
一家公司在一个名为Source的AWS帐户中有应用程序。该账户位于AWS组织中的一个组织中,
其中一个应用程序使用AWS Lambda功能,并将库存数据存储在亚马逊Aurora数据库中。
应用程序通过使用部署包来部署Lambda函数。该公司已经为Aurora配置了自动备份。
该公司希望将Lambda功能和Aurora数据库迁移到一个名为Target的新AWS帐户。
应用程序处理关键数据,因此公司必须最大限度地减少停机时间。
哪种解决方案能够满足这些要求?
解决方案:
从Source帐户下载Lambda功能部署包.使用部署包并在目标账户中创建新的Lambda函数。
使用AWS资源访问管理器(AWSRAM)与目标帐户共享Aurora DB集群。授予目标帐户克隆Aurora数据库集群的权限。
该解决方案结合使用AWS资源访问管理器(RAM)和自动备份,将Lambda功能和Aurora数据库迁移到目标帐户,
同时最大限度地减少停机时间。在此解决方案中,Lambda函数部署包从Source帐户下载,并用于在Target账户中创建新的Lambda函数。
Aurora DB集群使用AWS RAM与目标帐户共享,并授予目标帐户克隆Aurora数据库集群的权限,
从而允许在目标账户中创建Aurora数据库的新副本。这种方法允许将数据迁移到目标账户,
同时最大限度地减少停机时间,因为目标帐户可以使用克隆的Aurora数据库,而原始Aurora数据继续在源帐户中使用。
45.最佳实践
北美一家金融服务公司计划在AWS上向其客户发布一个新的在线网络应用程序,该公司将在亚马逊EC2实例上的美国东部地区启动该应用程序。
应用程序必须具有高可用性,并且必须动态扩展以满足用户流量。
该公司还希望通过使用主动-被动故障切换为美国西部地区的应用程序实现灾难恢复环境。
哪种解决方案能够满足这些要求?
解决方案:
在us-east-1中创建一个专有网络,在us-west-1中创建专有网络,在us-east-1VPC中,
创建一个扩展到该VPC中多个可用区的应用程序负载均衡器(ALB)创建一个自动缩放组,在us-east-1VPC的多个可用区时部署EC2实例。
将自动缩放组放在ALB后面,在us-west-1VPCreate an Amazon Route 53 hosted zone中设置相同的配置。
为每个ALB创建单独的记录。启用运行状况检查,并为每个记录配置故障转移路由策略。
解释:
满足应用程序的高可用性和动态扩展以满足用户流量的要求,并通过主动-被动故障切换在美国西部地区实现灾难恢复环境。
公司在us-east-1中创建一个VPC,在us-west-1中创建VPC,并在两个VPC中设置一个应用程序负载均衡器(ALB)和自动缩放组。
ALB扩展到每个VPC中的多个可用区,并且自动扩展组在这些可用区中部署EC2实例。
“自动缩放”组位于ALB后面,允许自动缩放实例以满足用户流量。还创建了一个亚马逊路线53托管区,每个ALB都有单独的记录。
将为每个记录启用运行状况检查,并配置故障转移路由策略。
这允许在两个区域之间进行主动-被动故障切换,从而确保应用程序的高可用性。
46.最佳实践
一家公司使用AmazonS3将文件和图像存储在各种存储类中,该公司的S3成本在过去一年中大幅增加。
解决方案架构师需要审查过去12个月的数据趋势,并为对象确定适当的存储类。哪种解决方案能够满足这些要求?
解决方案:
使用亚马逊S3存储镜头。升级默认仪表板,以包括存储趋势的高级指标。
存储类:配置过滤器后,将在24到48小时内开始在AmazonS3控制台中看到基于过滤器的数据分析。
然而,存储类分析会在30天或更长时间内观察过滤数据集的访问模式,以收集信息进行分析,
然后再给出结果存储镜头:所有S3存储镜头指标都会保留15个月。
但是,指标仅可用于特定持续时间的查询,这取决于您的指标选择。
此持续时间无法修改,免费指标可用于14天的查询,高级指标可用于15个月的查询,必须升级才能查询长达12个月。
47.维护期间备用页面
一家公司已经在AWS Elastic Beanstalk上部署了一个应用程序。该应用程序使用AmazonAurora作为数据库层。
AmazonCloudFront分发版为web请求提供服务,并将ElasticBeanstalk域名作为原始服务器。
分发配置了一个备用域名,访问者在访问应用程序时使用该域名。该公司每周都会暂停该应用程序的服务,以便进行日常维护。
在应用程序不可用期间,该公司希望访问者收到一条信息性消息,而不是CloudFront错误消息,
解决方案架构师创建AmazonS3存储桶作为该过程的第一步。解决方案架构师接下来应该采取哪些步骤组合来满足需求?
解决方案:
步骤1:解决方案架构师应该将静态信息内容上传到S3存储桶,当应用程序停机进行维护时,这些内容将显示给用户。
步骤2:解决方案架构师应该将S3bucket设置为原始CloudFront分发版中的第二个原点。
为了确保S3存储桶的安全,解决方案架构师应该将分发和S3存储桶配置为使用源访问标识(OAI)。
这将确保只有CloudFront可以访问S3存储桶。
步骤3:在每周维护期间,解决方案架构师应该编辑CloudFront分发版的默认缓存行为,
以使用S3原点.这将把所有传入的流量重定向到S3存储桶,并向用户显示静态信息内容。
一旦维护完成,解决方案架构师应该将更改恢复到原始的ElasticBeanstalk原点。
48.角色+权限
一家公司的财务信息需要接受监管审计。使用单一AWS账户的外部审计师需要访问公司的AWS账户。
解决方案架构师必须为审计员提供对公司AWS账户的安全,只读访问权限。该解决方案必须符合AWS安全最佳实践。
哪种解决方案能够满足这些要求?
解决方案:
在公司的AWS账户中,创建一个IAM角色,该角色信任审计师的AWS账户,创建一个具有所需权限的IAM策略。
将策略附加到角色,为角色的信任策略分配一个唯一的外部ID。
49.SES
公司可以使用亚马逊SES发送电子邮件,这将最大限度地减少运营开销,因为SES是一种完全管理的服务,可以处理发送和接收电子邮件。
该公司可以将电子邮件模板与客户数据的参数一起存储在亚马逊SES上,并使用AWSLambda函数调用SendTemplatedEmail API操作,
传入客户数据以替换参数和电子邮件目的地,此解决方案无需在EC2实例上设置和管理SMTP服务器,这可能既昂贵又耗时。
50.OpenSearch
一家公司正在使用亚马逊OpenSearch服务来分析数据.该公司将数据加载到OpenSearch服务集群中,
该集群包含来自使用S3标准存储的Amazon S3存储桶的10个数据节点。数据在集群中驻留1个月,用于只读分析。
1个月后,该公司将从集群中删除包含数据的索引出于合规目的,公司必须保留所有输入数据的副本。
该公司担心持续的成本,并要求解决方案架构师推荐一个新的解决方案,哪种解决方案能够经济高效地满足这些要求?
解决方案:
将群集中的数据节点数量减少到2个添加UltraWarm节点以处理预期容量。将索引配置为在OpenSearch Service接收数据时转换到UltraWarm。
使用用S3生命周期策略,在1个月后将输入数据转换到S3 Glacier DeepArchive。
减少集群中的数据节点数量并添加UltraWarm节点将有助于降低运行OpenSearch服务集群的持续成本。
将索引配置为在OpenSearch Service接收数据时转换到UltraWarm将进一步降低成本。
此外,通过使用S3生命周期策略,在1个月后将输入数据转换到S3 Glacier Deep Archive将降低出于法规遵从性目的保留输入数据的存储成本。
51.AWS全球加速器
一家公司正在专有网络中运行网络应用程序。web应用程序在应用程序负载均衡器(ALB)后面的一组AmazonEC2实例上运行。
ALB正在使用AWSWAF,外部客户需要连接到web应用程序。公司必须向所有外部客户提供IP地址。
哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
创建AWS全球加速器标准加速器,将ALB指定为加速器的端点.向客户提供加速器的IP地址。
52.Luster
一家公司正在将文档处理工作负载迁移到AWS。该公司已经更新了许多应用程序,使其能够本地使用AmazonS3API来存储。
检索和修改处理服务器以每秒大约5个文档的速度生成的文档。
文档处理完成后,客户可以直接从AmazonS3下载文档.在迁移过程中,该公司发现无法立即更新生成许多文档以支持S3 API的处理服务器。
服务器在Linux上运行,需要对服务器生成和修改的文件进行快速本地访问。
服务器完成处理后,文件必须在30分钟内可供公众下载。
哪种解决方案将以最少的工作量满足这些要求?
解决方案:
使用导入和导出策略为Lustre配置AmazonFSx.将新文件系统链接到S3存储桶。
安装Lustre客户端,并使用NFS将文档存储挂载到AmazonEC2实例。
Amazon FSx for Lustre是一项完全管理的服务,为计算工作负载提供经济高效、高性能、可扩展的存储。
FSx for Lustre由世界上最受欢迎的高性能文件系统Lustre提供支持,提供了具有亚毫秒延迟.高达每秒TB吞吐量和数百万IOPS的共享存储。
用于Lustre文件系统的FSx还可以链接到亚马逊简单存储服务(S3)存储桶,允许您同时从高性能文件系统和S3API访问和处理数据。
53.ShieldAdvanced
一家公司有一个网站,在应用程序负载均衡器(ALB)后面的亚马逊EC2实例上运行。
实例位于“自动缩放”组中,ALB与AWS WAF webACL相关联。网站经常在应用层遇到攻击。
这些攻击会导致应用程序服务器上的流量突然大幅增加。访问日志显示,每次攻击都源自不同的IP地址。
解决方案架构师需要实现一个解决方案来缓解这些攻击。
哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
除了AWSWAF之外,还部署AWS ShieldAdvanced,将ALB添加为受保护的资源。
解析:
AWS Shield Advanced是该服务的付费版本,可针对大规模复杂的DDoS攻击提供额外保护,此版本包括基本版本的所有功能,
但具有其他功能,如全天候可用性。专门的DDoS响应团队以及高级攻击分析和报告。
此外,AWS Shield Advanced还提供了高级DDoS保护和缓解功能,
例如为特定应用程序需求定制保护的能力,以及更快、更有效地缓解攻击的能力。
54.迁移计算器
解决方案架构师必须创建一个将公司内部数据中心迁移到AWS云的商业案例。
解决方案架构师将使用公司所有服务器的配置管理数据库(CMDB)导出来创建案例。
哪种解决方案能够经济高效地满足这些要求?
解决方案:使用迁移计算器进行分析,使用数据导入模板从CMDB导出上传数据。
解析:
AWS迁移评估器的工作原理是分析当前本地环境的数据,包括服务器、存储.网络和应用程序.然后,
它提供了一份报告,概述了与您现有的基础设施和应用程序最匹配的推荐AWS服务和配置,
本报告包括一份详细的成本分析,估计了在AWS云中运行应用程序的总成本。
55.成本优化&实例大小
解决方案架构师希望在单个AWS帐户中进行成本优化并适当调整亚马逊EC2实例的大小。解决方案架构师希望确保实例基于CPU。
内存和网络指标进行优化。解决方案架构师应该采取哪些步骤组合来满足这些要求?
解决方案:
1.在EC2实例上安装AmazonCloudWatch代理并配置内存度量集合。
2.在AWS账户中配置AWS计算优化器,以接收调查结果和优化建议。
56.AWS物联网核心域
一家环保公司正在全国主要城市部署传感器来测量空气质量.传感器连接到AWS物联网核心,以获取时间序列数据读数。
该公司将数据存储在亚马逊DynamoDB中。为了实现业务连续性,公司必须能够在两个AWS地区接收和存储数据。
哪种解决方案将满足这些要求?
解决方案:
为每个地区的AWS物联网核心创建一个域配置,创建一个用于评估域配置运行状况的Amazon Route 53运行状况检查。
使用AWS物联网核心域配置中的域名值创建故障转移路由策略.将DynamoDB表更新为全局表。
57.最佳实践
一家公司正在将应用程序迁移到AWS。它希望在迁移过程中尽可能多地使用完全管理的服务。
公司需要在应用程序中存储具有以下要求的大型重要文档:
1.数据必须具有高度持久性和可用性
2.数据必须在静止和传输过程中始终加密
3.加密密钥必须由公司管理并定期轮换,解决方案架构师应该推荐以下哪种解决方案?
解决方案:
使用带有bucket策略的Amazon S3来强制HTTPS连接到bucket,并强制服务器端加密和AWS KMS对象加密。
58.应用程序和数据库迁移
解决方案架构师需要评估新收购的公司的应用程序和数据库组合。
解决方案架构师必须创建一个业务案例,以便将产品组合迁移到AWS。这家新收购的公司在一个本地数据中心运行应用程序。
数据中心没有很好的文档记录.解决方案架构师无法立即确定存在多少应用程序和数据库,应用程序的流量是可变的,
有些应用程序是在每个月底运行的批处理过程。在开始迁移到AWS之前,解决方案架构师必须更好地了解产品组合。
哪种解决方案能够满足这些要求?
解决方案:
使用迁移计算器生成服务器列表。为业务案例构建报告,使用AWS迁移中心查看投资组合。
使用AWS应用程序发现服务来了解应用程序相关性。
59.AWS身份和访问管理访问分析器
一家公司需要对新收购的AWS账户的安全状况进行审计。
该公司的数据安全团队只要求在亚马逊S3存储桶公开时发出通知。
该公司已经建立了一个亚马逊简单通知服务(Amazon SNS)主题,订阅了数据安全团队的电子邮件地址。
哪种解决方案能够满足这些要求?
解决方案:
在AWS身份和访问管理访问分析器中创建一个分析器。为事件类型“Access AnalyzerFinding”创建一个Amazon EventBridge规则,
其中包含“isPublic:true”的筛选器.选择SNS主题作为EventBridge规则目标。
解析:
解决方案使用AWS身份和访问管理访问分析器来持续监控访问控制配置,并检测是否有任何S3存储桶被配置为可公开访问。
当检测到一个可公开访问的bucket时,会触发AmazonEventBridge规则,并向SNS主题通知该发现。
60.PrivateLink
一家公司有多个业务部门,每个业务部门在AWS上都有单独的账户,每个业务单元都通过几个具有重叠CIDR范围的VPC来管理自己的网络。
该公司的营销团队创建了一个新的内部应用程序,并希望所有其他业务部门都可以访问该应用程序。
该解决方案必须仅使用专用IP地址。哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
创建一个AWS PrivateLink端点服务来共享营销应用程序。
授予特定AWS账户连接到服务的权限.在其他帐户中创建接口VPC端点,使用私有IP地址访问应用程序。
解析:
通过AWSPrivateLink,营销团队可以创建一个端点服务,使用私人IP地址安全地与其他帐户共享其内部应用程序。
他们可以向特定的AWS帐户授予连接到服务的权限,并在其他帐户中创建接口VPC端点,以使用私有IP地址访问应用程序。
此解决方案不需要对其他业务单元的网络进行任何更改,也不需要对等或NAT,此解决方案既可扩展又安全。
61.CodeCommit
一家公司使用AWS CodeCommit存储库。公司必须将存储库中的数据备份副本存储在第二个AWS地区。
哪种解决方案能够满足这些要求?
解决方案:
当公司将代码推送到存储库时,创建一个Amazon EventBridge规则来调用AWSCodeBuild,
使用CodeBuild克隆存储库.创建内容的.zip文件,将文件复制到第二个Region中的S3存储桶中。
62.最佳实践
一家公司正在两个Linux AmazonEC2实例上运行一个关键的有状态web应用程序,
该应用程序位于带有Amazon RDS for MySQL数据库的应用程序负载均衡器(ALB)后面。
该公司在Amazon Route 53中托管应用程序的DNS记录,解决方案架构师必须推荐一个解决方案来提高应用程序的弹性。
解决方案必须满足以下目标:
应用程序层:RPO为2分钟、30分钟的RTO?
数据库层:RPO为5分钟,30分钟的RTO。
公司不想对现有的应用程序体系结构进行重大更改。公司必须确保故障切换后的最佳延迟。
哪种解决方案能够满足这些要求?
解决方案:
将EC2实例配置为使用AWS弹性灾难恢复,为RDS数据库实例创建一个跨区域读取副本,
在第二个AWS区域创建ALB.创建一个AWS全球加速器端点,并将该端点与ALB相关联。
更新DNS记录以指向全局加速器终结点。
解析:
可以使用AWS DRS恢复在支持的Windows和Linux操作系统版本上运行的所有应用程序和数据库。
这包括Oracle.MySQL和SQL Server等关键数据库,以及SAP.AWS Elastic Disaster Recovery(DRS) vS AWS DLM vS AWS Backup等企业应用程序。
当您希望自动创建、保留和删除EBS快照时,应使用DLM。应该使用AWS Backup从一个地方管理和监控您使用的AWS服务的备份,包括EBS卷。
64.维护期间备用页面
一家公司已经在AWS Elastic Beanstalk上部署了一个应用程序。
该应用程序使用AmazonAurora作为数据库层。AmazonCloudFront分发版为web请求提供服务,并将ElasticBeanstalk域名作为原始服务器。
分发配置了一个备用域名,访问者在访问应用程序时使用该域名。该公司每周都会暂停该应用程序的服务,以便进行日常维护。
在应用程序不可用期间,该公司希望访问者收到一条信息性消息,而不是CloudFront错误消息,
解决方案架构师创建AmazonS3存储桶作为该过程的第一步。
解决方案架构师接下来应该采取哪些步骤组合来满足需求?
解决方案
步骤1:解决方案架构师应该将静态信息内容上传到S3存储桶,当应用程序停机进行维护时,这些内容将显示给用户。
步骤2:解决方案架构师应该将S3bucket设置为原始CloudFront分发版中的第二个原点。为了确保S3存储桶的安全,
解决方案架构师应该将分发和S3存储桶配置为使用源访问标识(OAI)。这将确保只有CloudFront可以访问S3存储桶。
步骤3:在每周维护期间,解决方案架构师应该编辑CloudFront分发版的默认缓存行为,
以使用S3原点.这将把所有传入的流量重定向到S3存储桶,并向用户显示静态信息内容。
一旦维护完成,解决方案架构师应该将更改恢复到原始的ElasticBeanstalk原点。
65.角色+权限
一家公司的财务信息需要接受监管审计。使用单一AWS账户的外部审计师需要访问公司的AWS账户。
解决方案架构师必须为审计员提供对公司AWS账户的安全,只读访问权限。
该解决方案必须符合AWS安全最佳实践.哪种解决方案能够满足这些要求?
解决方案:
在公司的AWS账户中,创建一个IAM角色,该角色信任审计师的AWS账户,创建一个具有所需权限的IAM策略。
将策略附加到角色,为角色的信任策略分配一个唯一的外部ID。
66.SES
公司可以使用亚马逊SES发送电子邮件,这将最大限度地减少运营开销,因为SES是一种完全管理的服务,可以处理发送和接收电子邮件。
该公司可以将电子邮件模板与客户数据的参数一起存储在亚马逊SES上,并使用AWSLambda函数调用SendTemplatedEmail API操作,
传入客户数据以替换参数和电子邮件目的地,此解决方案无需在EC2实例上设置和管理SMTP服务器,这可能既昂贵又耗时。
67.OpenSearch
一家公司正在使用亚马逊OpenSearch服务来分析数据.该公司将数据加载到OpenSearch服务集群中,
该集群包含来自使用S3标准存储的Amazon S3存储桶的10个数据节点。数据在集群中驻留1个月,用于只读分析。
1个月后,该公司将从集群中删除包含数据的索引出于合规目的,公司必须保留所有输入数据的副本。
该公司担心持续的成本,并要求解决方案架构师推荐一个新的解决方案,哪种解决方案能够经济高效地满足这些要求?
解决方案:
将群集中的数据节点数量减少到2个添加UltraWarm节点以处理预期容量。
将索引配置为在OpenSearch Service接收数据时转换到UltraWarm。
使用用S3生命周期策略,在1个月后将输入数据转换到S3 Glacier DeepArchive。
解析:
减少集群中的数据节点数量并添加UltraWarm节点将有助于降低运行OpenSearch服务集群的持续成本。
将索引配置为在OpenSearch Service接收数据时转换到UltraWarm将进一步降低成本。
此外,通过使用S3生命周期策略,在1个月后将输入数据转换到S3 Glacier Deep Archive将降低出于法规遵从性目的保留输入数据的存储成本。
68.AWS全球加速器
一家公司正在专有网络中运行网络应用程序。web应用程序在应用程序负载均衡器(ALB)后面的一组AmazonEC2实例上运行。
ALB正在使用AWS WAF,外部客户需要连接到web应用程序。公司必须向所有外部客户提供IP地址。
哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
创建AWS全球加速器标准加速器,将ALB指定为加速器的端点,向客户提供加速器的IP地址。
69.Luster
一家公司正在将文档处理工作负载迁移到AWS。该公司已经更新了许多应用程序,使其能够本地使用AmazonS3API来存储。
检索和修改处理服务器以每秒大约5个文档的速度生成的文档。文档处理完成后,客户可以直接从AmazonS3下载文档。
在迁移过程中,该公司发现无法立即更新生成许多文档以支持S3 API的处理服务器。
服务器在Linux上运行,需要对服务器生成和修改的文件进行快速本地访问。
服务器完成处理后,文件必须在30分钟内可供公众下载,哪种解决方案将以最少的工作量满足这些要求?
解决方案:
使用导入和导出策略为Lustre配置AmazonFSx.将新文件系统链接到S3存储桶。
安装Lustre客户端,并使用NFS将文档存储挂载到AmazonEC2实例。
Amazon FSx for Lustre是一项完全管理的服务,为计算工作负载提供经济高效、高性能、可扩展的存储。
FSx for Lustre由世界上最受欢迎的高性能文件系统Lustre提供支持,提供了具有亚毫秒延迟。
高达每秒TB吞吐量和数百万IOPS的共享存储。用于Lustre文件系统的FSx还可以链接到亚马逊简单存储服务(S3)存储桶,
允许您同时从高性能文件系统和S3API访问和处理数据。
70.ShieldAdvanced
一家公司有一个网站,在应用程序负载均衡器(ALB)后面的亚马逊EC2实例上运行。
实例位于“自动缩放”组中,ALB与AWS WAF webACL相关联。网站经常在应用层遇到攻击。
这些攻击会导致应用程序服务器上的流量突然大幅增加。访问日志显示,每次攻击都源自不同的IP地址。
解决方案架构师需要实现一个解决方案来缓解这些攻击。
哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
除了AWSWAF之外,还部署AWS ShieldAdvanced,将ALB添加为受保护的资源。
解析:
AWS Shield Advanced是该服务的付费版本,可针对大规模复杂的DDoS攻击提供额外保护,
此版本包括基本版本的所有功能,但具有其他功能,如全天候可用性.专门的DDoS响应团队以及高级攻击分析和报告。
此外,AWS Shield Advanced还提供了高级DDoS保护和缓解功能,
例如为特定应用程序需求定制保护的能力,以及更快、更有效地缓解攻击的能力。
71.迁移计算器
解决方案架构师必须创建一个将公司内部数据。
中心迁移到AWS云的商业案例.解决方案架构师将使用公司所有服务器的配置管理数据库(CMDB)导出来创建案例。
哪种解决方案能够经济高效地满足这些要求?
解决方案:使用迁移计算器进行分析,使用数据导入模板从CMDB导出上传数据。
解析:
AWS迁移评估器的工作原理是分析当前本地环境的数据,包括服务器、存储、网络和应用程序。
然后,它提供了一份报告,概述了与您现有的基础设施和应用程序最匹配的推荐AWS服务和配置。
本报告包括一份详细的成本分析,估计了在AWS云中运行应用程序的总成本。
72.成本优化&实例大小
解决方案架构师希望在单个AWS帐户中进行成本优化并适当调整亚马逊EC2实例的大小。
解决方案架构师希望确保实例基于CPU,内存和网络指标进行优化。
解决方案架构师应该采取哪些步骤组合来满足这些要求?
解决方案:
1.在EC2实例上安装AmazonCloudWatch代理并配置内存度量集合。
2.在AWS账户中配置AWS计算优化器,以接收调查结果和优化建议。
73.AWS物联网核心域
一家环保公司正在全国主要城市部署传感器来测量空气质量,传感器连接到AWS物联网核心,
以获取时间序列数据读数.该公司将数据存储在亚马逊DynamoDB中。
为了实现业务连续性,公司必须能够在两个AWS地区接收和存储数据。哪种解决方案将满足这些要求?
解决方案:
为每个地区的AWS物联网核心创建一个域配置,创建一个用于评估域配置运行状况的Amazon Route 53运行状况检查。
使用AWS物联网核心域配置中的域名值创建故障转移路由策略.将DynamoDB表更新为全局表。
73.最佳实践
一家公司正在将应用程序迁移到AWS。它希望在迁移过程中尽可能多地使用完全管理的服务。
公司需要在应用程序中存储具有以下要求的大型重要文档:
1.数据必须具有高度持久性和可用性
2.数据必须在静止和传输过程中始终加密
3.加密密钥必须由公司管理并定期轮换。
解决方案架构师应该推荐以下哪种解决方案?
解决方案:
使用带有bucket策略的Amazon S3来强制HTTPS连接到bucket,并强制服务器端加密和AWS KMS对象加密。
74.应用程序和数据库迁移
解决方案架构师需要评估新收购的公司的应用程序和数据库组合。
解决方案架构师必须创建一个业务案例,以便将产品组合迁移到AWS。这家新收购的公司在一个本地数据中心运行应用程序。
数据中心没有很好的文档记录.解决方案架构师无法立即确定存在多少应用程序和数据库,应用程序的流量是可变的。
有些应用程序是在每个月底运行的批处理过程。在开始迁移到AWS之前,解决方案架构师必须更好地了解产品组合。
哪种解决方案能够满足这些要求?
解决方案:
使用迁移计算器生成服务器列表。
为业务案例构建报告,使用AWS迁移中心查看投资组合。使用AWS应用程序发现服务来了解应用程序相关性。
75.AWS身份和访问管理访问分析器
一家公司需要对新收购的AWS账户的安全状况进行审计。该公司的数据安全团队只要求在亚马逊S3存储桶公开时发出通知。
该公司已经建立了一个亚马逊简单通知服务(Amazon SNS)主题,订阅了数据安全团队的电子邮件地址。
哪种解决方案能够满足这些要求?
解决方案:
在AWS身份和访问管理访问分析器中创建一个分析器。
为事件类型“Access AnalyzerFinding”创建一个Amazon EventBridge规则,
其中包含“isPublic:true”的筛选器.选择SNS主题作为EventBridge规则目标。
解析:
解决方案使用AWS身份和访问管理访问分析器来持续监控访问控制配置,并检测是否有任何S3存储桶被配置为可公开访问。
当检测到一个可公开访问的bucket时,会触发AmazonEventBridge规则,并向SNS主题通知该发现。
76.PrivateLink
一家公司有多个业务部门,每个业务部门在AWS上都有单独的账户,每个业务单元都通过几个具有重叠CIDR范围的VPC来管理自己的网络。
该公司的营销团队创建了一个新的内部应用程序,并希望所有其他业务部门都可以访问该应用程序。
该解决方案必须仅使用专用IP地址。哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
创建一个AWS PrivateLink端点服务来共享营销应用程序。授予特定AWS账户连接到服务的权限。
在其他帐户中创建接口VPC端点,使用私有IP地址访问应用程序。
解析:
通过AWSPrivateLink,营销团队可以创建一个端点服务,使用私人IP地址安全地与其他帐户共享其内部应用程序。
他们可以向特定的AWS帐户授予连接到服务的权限,并在其他帐户中创建接口VPC端点,以使用私有IP地址访问应用程序。
此选项不需要对其他业务单元的网络进行任何更改,也不需要对等或NAT,此解决方案既可扩展又安全。
77.CodeCommit
一家公司使用AWS CodeCommit存储库。公司必须将存储库中的数据备份副本存储在第二个AWS地区。
哪种解决方案能够满足这些要求?
解决方案:
当公司将代码推送到存储库时,创建一个Amazon EventBridge规则来调用AWSCodeBuild,
使用CodeBuild克隆存储库,创建内容的.zip文件,将文件复制到第二个Region中的S3存储桶中。
78.最佳实践
一家公司正在两个Linux AmazonEC2实例上运行一个关键的有状态web应用程序,
该应用程序位于带有Amazon RDS for MySQL数据库的应用程序负载均衡器(ALB)后面。
该公司在Amazon Route 53中托管应用程序的DNS记录,解决方案架构师必须推荐一个解决方案来提高应用程序的弹性。
解决方案必须满足以下目标:?应用程序层:RPO为2分钟、30分钟的RTO?数据库层:RPO为5分钟,
30分钟的RTO公司不想对现有的应用程序体系结构进行重大更改。公司必须确保故障切换后的最佳延迟。
哪种解决方案能够满足这些要求?
解决方案:
将EC2实例配置为使用AWS弹性灾难恢复,为RDS数据库实例创建一个跨区域读取副本,
在第二个AWS区域创建ALB.创建一个AWS全球加速器端点,并将该端点与ALB相关联,更新DNS记录以指向全局加速器终结点。
解析:
可以使用AWS DRS恢复在支持的Windows和Linux操作系统版本上运行的所有应用程序和数据库。
这包括Oracle.MySQL和SQL Server等关键数据库,以及SAP.AWS Elastic Disaster Recovery(DRS) vS AWS DLM vS AWS Backup等企业应用程序。
当您希望自动创建、保留和删除EBS快照时,应使用DLM。
应该使用AWS Backup从一个地方管理和监控您使用的AWS服务的备份,包括EBS卷。
79.特定成员帐户与新组织单位关联
一家公司正在使用AWS组织来管理多个帐户。
由于监管要求,该公司希望将特定的会员账户限制在某些AWS地区,允许他们在那里部署资源,帐户中的资源必须进行标记,
基于组标准强制执行,并以最低配置进行集中管理,解决方案架构师应该做些什么来满足这些需求?
解决方案:
将特定成员帐户与新组织单位关联,使用条件应用标签策略和SCP来限制区域。
80.创建网路链接
一家公司正在构建一个混合环境,其中包括本地数据中心和AWS云中的服务器。该公司已经在三个VPC中部署了AmazonEC2实例,
每个专有网络位于不同的AWS区域,该公司成立了AWS Direct,将连接从距离数据中心最近的区域连接到数据中心。
该公司需要内部部署数据中心中的服务器能够访问所有三个VPC中的EC2实例。本地数据中心中的服务器也必须能够访问AWS公共服务。
哪种步骤组合将以最低的成本满足这些要求?
解决方案:
1.在离数据中心最近的地区创建一个直连网关。
将Direct Connect连接连接到Direct Connect网关,使用直连网关连接其他两个区域中的VPCs。
2.创建一个公共VIF,通过公共VIF与其他两个地区的VPN建立AWS站点到站点的VPN连接。
81.AmazonAppStream2.0
一家公司有一个基于Windows的桌面应用程序,它被打包并部署到用户的Windows机器上。
该公司最近收购了另一家公司,该公司的员工主要使用带有Linux操作系统的机器,
收购公司决定将基于Windows的桌面应用程序迁移并重新托管到AWS。所有员工在使用应用程序之前都必须经过身份验证,
收购公司在内部使用Active Directory,但希望以一种简化的方式管理所有员工对AWS应用程序的访问。
哪种解决方案将以最少的开发工作将应用程序重新托管在AWS上?
解决方案:
使用AmazonAppStream2.0映像生成器创建一个包含应用程序和所需配置的映像。
为AppStream 2.0随需应变车队配备动态车队自动缩放策略以运行映像,使用AppStream 2.0用户池实现身份验证。
指导员工通过启动基于浏览器的AppStream 2.0流式会话来访问应用程序。
解析:
选项C利用了AmazonAppStream 2.0,一个完全管理的应用程序流服务,使用AppStream2.0,
您可以创建一个包含基于Windows的桌面应用程序和所需配置的映像。
82.中转网关路由表
一家公司使用AWSCloudFormation在多个VPN内部署应用程序,这些VPN都连接到一个传输网关。
每个向公共互联网发送流量的专有网络必须通过共享服务专有网络发送流量,专有网络中的每个子网都使用默认的专有网络路由表,
流量路由到传输网关,传输网关对任何VPC附件使用其默认路由表。
安全审计显示,部署在专有网络内的亚马逊EC2实例可以与部署在该公司任何其他专有网络中的EC2实例进行通信。
解决方案架构师需要限制VPC之间的流量,每个VPC必须只能与一组预定义的,有限的授权VPC进行通信。
解决方案架构师应该做些什么来满足这些需求?
解决方案:
为每个VPC附件创建一个专用的中转网关路由表,仅将流量路由到授权的VPN。
解析:
为每个VPC附件创建一个专用的中转网关路由表,这允许对VPC之间的流量路由进行细粒度控制,
通过创建单独的路由表,架构师可以为每个VPC附件指定允许的路由,并将流量限制为仅授权的VPC。
这种方法确保了VPC之间的通信受到限制,并提供了一个安全和受控的网络环境。
83.最佳实践
一家公司计划在专有网络内的亚马逊EC2实例上部署一项新的私有内联网服务。
AWS站点到站点VPN将专有网络连接到公司的内部网络,新服务必须与现有的内部部署服务进行通信,
内部部署服务可以通过使用公司中的主机名来访问。例如DNS区域.此DNS区域完全托管在本地,并且只能在公司的专用网络上使用。
解决方案架构师必须确保新服务能够解析公司上的主机名,例如,要与现有服务集成的域,
哪种解决方案满足这些要求?
解决方案:
打开专有网络的DNS主机名.使用AmazonRoute 53 Resolver配置一个新的出站端点,
创建一个解析程序规则以将company.example的请求转发到本地名称服务器。
84.最佳实践
—家公司通过使用AWSStep Functions自动对其机器学习模型进行夜间再培训。
工作流程由使用AWS Lambda的多个步骤组成,每个步骤都可能因各种原因而失败,任何失败都会导致整个工作流的失败。
一项审查显示,在公司没有注意到失败的情况下,再培训已经连续多个晚上失败。解决方案架构师需要改进工作流程,
以便在重新培训过程中为所有类型的故障发送通知。解决方案架构师应该采取哪种步骤组合来满足这些需求?
1.创建一个亚马逊简单通知服务(AmazonSNS)主题,订阅类型为“电子邮件”,以团队的邮件列表为目标。
2.创建一个名为“电子邮件”的任务,将输入的参数转发到SNS主题。
3.向所有具有“ErrorEquals”:[“states.all”]和“Next”:“Email”语句的Task.Map和Parallel状态添加Catch字段。
85.AmazonS3中的阻止公共访问功能
一家公司有一个生成报告并将其存储在AmazonS3存储桶中的应用程序。
当用户访问他们的报告时,应用程序会生成一个签名的URL,允许用户下载报告。该公司的安全团队发现,
这些文件是公开的,任何人都可以在没有身份验证的情况下下载。该公司已暂停生成新报告,直到问题得到解决。
哪一组操作将在不影响应用程序正常工作流程的情况下立即修正安全问题?
解决方案:
使用AmazonS3中的阻止公共访问功能将bucket上的lgnorePublicAcls选项设置为TRUE。
解析:
Amazon S3 Block Public Access提供了访问点,存储桶和帐户的设置,以帮助您管理对Amazon S3资源的公共访问。
默认情况下,新的存储桶,访问点和对象不允许公共访问,但用户或应用程序可以修改存储桶策略或对象权限以允许公共访问。
S3阻止公共访问设置覆盖这些公共访问设置,您可以使用S3阻止公共访问来阻止现有的公共访问,无论是由ACL还是策略指定的,
并确保不会向新创建的项目授予公共访问权限。使用已签名的URL来授予对S3对象的临时访问权限是共享文件的一种安全方式,
它允许公司在不影响用户的情况下继续使用其当前工作流程,同时维护存储桶中文件的隐私和安全。
86.最佳实践
一家公司将敏感数据存储在亚马逊S3存储桶中,公司必须记录S3存储桶中对象的所有活动,并且必须将日志保存5年,每当有人试图删除S3存储桶中的数据时,公司的安全团队也必须收到电子邮件通知。哪种步骤组合能够最经济有效地满足这些要求?
解决方案:
1.配置AWS CloudTrail以记录S3数据事件。
2.配置Amazon S3将对象删除事件发送到发布到Amazon简单通知服务(Amazon SNS)主题的Amazon EventBridge事件总线。
3.配置一个新的S3存储桶,以使用S3生命周期策略存储日志。
解析:
1记录所有对象操作所需的日志,cloudtrail需要将这些日志存储在一个bucket中,因为bucket数据是敏感的,您需要将bucket分开,因为让cloudtrail将对象写入同一个数据敏感的bucket会添加cloudtrail putObject操作中的额外对象日志,可能会把事情搞砸,将cloudtrail日志保存在专用s3存储桶中的最佳实践。2)需要向安全团队发送通知,需要具有sns主题的事件桥。3)正如对1点所解释的那样,需要新的存储桶来存储cloudtrail日志,并在5年保留请求的日志存储桶上设置生命周期策略。
87.最佳实践
一位解决方案架构师正在设计一个应用程序,以接受员工在其移动设备上输入的时间表。时间表将每周提交一次,大部分提交时间在周五,数据必须以允许薪资管理员运行月度报告的格式存储,基础设施必须具有高可用性和可扩展性,以匹配传入数据和报告请求的速率。哪种步骤组合可以满足这些要求,同时最大限度地减少操作开销?
1.将应用程序前端部署到由AmazonCloudFront提供服务的Amazon S3存储桶中,使用带有AWSLambda代理集成的Amazon API网关部署应用程序后端。
2.将时间表提交数据存储在Amazon S3中,使用Amazon Athena和AmazonQuickLight以Amazon S3作为数据源生成报告。
解析: ECS(无服务器(fargate)或服务器(EC2),但是必须维护集群。
88.FSx for Windows
一家大型教育公司最近推出了亚马逊工作空间,以提供对多所大学内部应用程序的访问,该公司正在将用户配置文件存储在亚马逊FSx forWindows文件服务器文件系统上,文件系统配置有DNS别名,并连接到自管理的Active Directory。随着越来越多的用户开始使用工作区,登录时间增加到无法接受的程度,一项调查显示文件系统的性能有所下降.该公司在硬盘存储上创建了文件系统,吞吐量为16Mbps。解决方案架构师必须在定义的维护窗口期间提高文件系统的性能。解决方案架构师应该做些什么来用最少的管理工作来满足这些需求?
解决方案:
使用AWS备份创建文件系统的时间点备份,将备份还原到新的FSx for Windows文件服务器文件系统。选择SSD作为存储类型,选择32MBps作为吞吐量、备份和还原过程完成后,相应地调整DNS别名,删除原始文件系统。
89.加权目标组
一家公司正在AWS云中运行一个应用程序。核心业务逻辑运行在自动缩放组中的一组AmazonEC2实例上,应用程序负载均衡器(ALB)将流量分配给EC2实例。亚马逊路线53记录api.example.com指向ALB公司的开发团队对业务逻辑进行重大更新。该公司有一条规则,即当部署更改时,只有10%的客户可以在测试窗口期间接收新逻辑,在测试窗口期间,客户必须使用相同版本的业务逻辑。公司应该如何部署更新以满足这些要求?
解决方案:
创建ALB引用的第二个目标组,将新逻辑部署到此新目标组中的EC2实例,更新ALB侦听器规则以使用加权目标组,配置ALB目标群体粘性。
90.最佳实践
一家公司正在更新客户用于在线订单的应用程序.最近,不良行为者对应用程序的攻击次数有所增加,该公司将在亚马逊弹性容器服务(Amazon ECS)集群上托管更新后的应用程序。该公司将使用AmazonDynamoDB来存储应用程序数据,公共应用程序负载均衡器(ALB)将为最终用户提供对应用程序的访问权限。公司必须防止攻击并确保业务连续性,在持续攻击期间尽量减少服务中断.哪种步骤组合能够最经济有效地满足这些要求?
解决方案:
1.创建一个以ALB为原点的AmazonCloudFront分发版,在CloudFront域上添加自定义标头和随机值,如果标头和值匹配,则将ALB配置为有条件地转发流量。
2.部署一个包含适当规则组的AWS WAF webACL,将web ACL与Amazon CloudFront分发版相关联。
解析:
通过在CloudFront域上添加自定义标头和随机值,并配置ALB以在标头和值匹配的情况下有条件地转发流量,您可以实现一种形式的请求验证。这有助于筛选出潜在的恶意请求,并防止攻击到达应用程序。部署一个包含适当规则组的AWS WAF webACL,并将其与AmazonCloudFront分发关联,增加了额外的保护层。webACL可以包括阻止常见攻击模式的规则,并提供针对各种类型攻击的保护,例如SQL注入和跨站点脚本(XSS)。
91.Outposts
一家全球制造公司计划将其大部分应用程序迁移到AWS。然而,由于数据监管要求或个位数毫秒的延迟要求,该公司担心需要保留在特定国家/地区或公司内部数据中心的应用程序,该公司还担心其在一些工厂所在地托管的应用程序,这些工厂的网络基础设施有限。该公司希望获得一致的开发人员体验,以便其开发人员可以一次性构建应用程序,并在本地云中或混合架构中进行部署,开发人员必须能够使用他们熟悉的相同工具、API和服务。哪种解决方案将提供一致的混合体验来满足这些要求?
解决方案:
为有数据监管要求或延迟为个位数毫秒的应用程序安装AWS Outposts。使用AWS Snowball Edge计算优化设备在工厂站点中托管工作负载。
解析:
解决方案为有数据监管要求或延迟为个位数毫秒的应用程序安装AWS Outposts将提供一种完全管理的服务,将AWS基础设施。服务、API和工具扩展到客户,1.AWS Outposts允许客户在本地运行一些AWS服务,并连接到本地AWS Region1中提供的广泛服务。使用AWS Snowball Edge计算优化设备在工厂站点承载工作负载,将为网络基础设施有限的位置提供本地计算和存储资源。2.AWS Snowball Edge设备可以在本地运行Amazon EC2实例和AWSLambda功能,并在网络连接可用时与AWS同步数据。
93.最佳实践
一位解决方案架构师正在创建一个将对象存储在AmazonS3存储桶中的应用程序,解决方案架构师必须在将同时使用的两个AWS区域中部署应用程序两个S3存储桶中的对象必须保持同步。哪种步骤组合将以最少的运营开销满足这些要求?
解决方案:
1.创建S3多区域接入点更改应用程序以参考多区域接入点将。
2.在两个S3存储桶之间配置双向S3跨区域复制
(CRR)。
3.为每个S3存储桶启用S3版本控制。
解析:
-多区域接入点就像一个代理.它可以动态地向最近的S3存储桶请求流量(基于延迟)。
-必须启用双向复制才能同步数据。
-必须为复制启用版本控制。
94.Greengrass
一家制造公司正在为其工厂开发一种检测解决方案,该公司在每条装配线的末端都安装了IP摄像头。该公司使用亚马逊SageMaker训练了一个机器学习(ML)模型,以从静止图像中识别常见缺陷。该公司希望在检测到缺陷时向工厂工人提供本地反馈.即使工厂的互联网连接中断,公司也必须能够提供这种反馈,该公司有一个本地Linux服务器,该服务器托管一个API,为员工提供本地反馈,公司应该如何部署ML模型来满足这些需求?
解决方案:
在本地服务器上部署AWS物联网Greengrass,将ML模型部署到Greengrass服务器。创建一个Greengrass组件,从相机中获取静态图像并运行推理,将组件配置为在检测到缺陷时调用本地API。
解析:
离线操作:AWSloT Greengrass支持离线操作,使设备即使在与互联网断开连接的情况下也能继续处理数据。
95.Lambda函数别名
一家公司允许用户从自定义应用程序上传图像.上传过程调用AWSLambda函数,该函数处理图像并将其存储在AmazonS3存储桶中。应用程序通过使用特定的函数版本ARN来调用Lambda函数,Lambda函数通过使用环境变量来接受图像处理参数.该公司经常调整Lambda函数的环境变量,以实现最佳的图像处理输出,该公司测试不同的参数,并在验证结果后发布带有更新的环境变量的新函数版本。此更新过程还需要频繁更改自定义应用程序以调用新的功能版本ARN,这些更改会导致用户中断。解决方案架构师需要简化此过程,以最大限度地减少对用户的干扰。哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
创建Lambda函数别名,修改客户端应用程序以使用函数别名ARN,当公司完成测试时,重新配置Lambda别名以指向该功能的新版本。
解析:
创建Lambda函数别名允许解决方案架构师在不修改客户端应用程序的情况不更改别名所指向的Lambda函数的版本。这消除了对自定义应用程序频繁更新的需要,并最大限度地减少了对用户的干扰。解决方案架构师可以通过使用不同版本的函数来测试不同的参数,并在验证结果后重新配置别名以指向新版本。这使得该公司能够在不影响用户的情况下更新图像处理参数。直接修改已发布的Lambda函数版本的环境变量会导致所有客户端立即使用更新的环境变量,并且不允许进行测试。使用DynamoDB存储图像处理参数会增加复杂性和操作开销,而且它不会消除更新自定义应用程序的需要。在Lambda函数中直接编码图像处理参数并发布新版本不会消除更新自定义应用程序的需要。
96.记编辑器标记
一家大公司最近经历了亚马逊RDS和DynamoDB成本的意外增长,该公司需要提高对AWS计费和成本管理细节的可见性。有各种账户与AWS组织相关,包括许多开发和生产账户,整个组织没有一致的标记策略,但有一些指导方针要求使用具有一致标记的AWS CloudFormation部署所有基础设施,管理层需要所有现有和未来DynamoDB表和RDS实例的成本中心编号和项目ID编号,解决方案架构师应该提供哪种策略来满足这些需求?
解决方案:
使用标记编辑器标记现有资源.创建成本分配标记以定义成本中心和项目ID,使用SCP可以限制在资源上没有成本中心和工程ID的资源创建。
97.AWSAppSync
一家公司使用亚马逊API网关,亚马逊DynamoDB和AWS Lambda在AWS上托管博客帖子应用程序.应用程序当前不使用API密钥来授权请求,API模型如下:GET/posts/{postld}:获取帖子详细信息GET/users/{userld}:获得用户详细信息GET/comments/{commentld}:获取评论详细信息公司注意到用户正在评论部分积极讨论主题,公司希望通过实时显示评论来提高用户参与度,应该使用哪种设计来减少评论延迟并改善用户体验?
解决方案:
使用AWSAppSync并利用WebSockets提供评论。
98.最佳实践
一家公司希望将数据从其内部部署系统发送到亚马逊S3存储桶,该公司在三个不同的账户中创建了S3存储桶。该公司必须私下发送数据,数据不得在互联网上传播,该公司目前没有与AWS的专用连接。解决方案架构师应该采取哪种步骤组合来满足这些需求?
解决方案:
1.在AWS云中建立一个网络帐户,在网络帐号中创建一个专用专有网络.在内部部署环境和专用专有网络之间建立具有专用VIF的AWS直连连接。
2.在网络帐户中创建一个AmazonS3接口端点。
解析:Amazon S3:接口VPC端点和网关VPC端点.不同之处:当您配置接口VPC端点时,会在您的子网中部署一个具有私有IP地址的弹性网络接口(ENI).VPC中的AmazonEC2实例可以通过ENI和AWS网络与AmazonS3 bucket进行通信。使用接口端点,本地数据中心中的应用程序可以通过AWSDirectConnect或Site to Site VPN轻松查询S3存储桶,接口端点支持越来越多的AWS服务.查阅我们的文档,找到与AWSPrivateLink提供的接口端点兼容的AWS服务。
99.最佳实践
一家公司需要为其电子商务网站构建灾难恢复(DR)解决方案,该web应用程序托管在一组t3大型Amazon EC2实例上,并使用Amazon RDSforMySQL DB实例。EC2实例位于跨多个可用性区域扩展的“自动缩放”组中,在发生灾难时,web应用程序必须故障切换到辅助环境,RPO为30秒,RTO为10分钟。哪种解决方案能够以最经济的方式满足这些要求?
解析:
选项B利用基础设施即代码(laC)在灾难恢复区域提供必要的基础设施,从而实现自动化和可重复的部署。为Amazon RDS DB实例创建跨区域读取复制副本可确保数据库在DR区域中复制并可用,AWS弹性灾难恢复可用于将EC2实例从主区域连续复制到灾难恢复区域,确保应用程序的最新副本。在灾难恢复区域中以最小容量运行EC2实例有助于降低成本,因为只有在发生故障切换时才会使用资源,使用Amazon Route 53故障切换路由策略,可以在发生灾难时自动故障切换到灾难恢复区域,最大限度地减少停机时间。增加“自动扩展”组所需的容量可确保灾难恢复区域中有足够的资源可用于处理故障切换期间的工作负载。
100.AWSAppSync
一家公司希望重构零售web应用程序,该应用程序目前具有用于web托管。数据库API服务和业务逻辑的负载平衡Amazon EC2实例组,该公司需要创建一个解耦的、可扩展的架构,该架构具有保留失败订单的机制,同时最大限度地降低运营成本。哪种解决方案将满足这些要求?
解决方案:
使用Amazon S3进行web托管,使用AWSAppSync进行数据库AP|服务.使用亚马逊简单队列服务(Amazon SQS)进行订单排队。使用AWS Lambda进行业务逻辑,并使SQS死信队列来保留失败的订单。
101.确保正确配置身份联合
102.Aurora全球数据库
一家公司在一个AWS地区运营电子商务应用程序该应用程序使用一个五节点的AmazonAuroraMySQL数据库集群来存储有关客户及其最近订单的息。DB集群一整天都要经历大量的写入事务,该公司需要将Aurora数据库中的数据复制到另一个地区,以满足灾难恢复要求,该公司的RPO为1小时.。哪种解决方案将以最低的成本满足这些要求?
解决方案:
将Aurora数据库修改为Aurora全球数据库,在另一个地区创建第个Aurora数据库。
解析:
亚马逊Aurora全球数据库是为全球分布式应用程序设计的,允许单个亚马逊Auror数据库跨越多个AWS区域。AWS DMS (数据库迁移服务)通常用于数据库迁移,而不是用于灾难恢复目的的连续复制。
103.最佳实践
一家公司在AWSCloud中有一个应用程序,该应用程序在由20个AmazonEC2实例组成的车队上运行。EC2实例是持久的,并将数据存储在多个附加的Amazon弹性块存储(Amazon EBS)卷上,公司必须在单独的AWS区域中维护备份。该公司必须能够在1个工作日内恢复EC2实例及其配置,而丢失的数据不超过1天,该公司的员工有限,需要一个优化运营效率和成本的备份解决方案,该公司已经创建了一个AWSCloudFormation模板,可以在二级区域部署所需的网络配置。哪种解决方案将满足这些要求?
解决方案:
使用AWS备份为EC2实例创建计划的每日备份计划.配置备份任务以将备份复制到辅助区域中的vault,如果发生故障,请启动CloudFormation模板,从备份保管库恢复实例卷和配置,并将使用情况转移到辅助区域。
解析:
雪球边缘和雪球装置,Snowball和Snowball Edge之间的基本区别在于它们提供的容量。Snowball总共提供50TB或80TB,其中42TB或72TB可用,而Amazon Snowball Edge提供100TB,其中83TB可用。AWS数据库迁移和应用程序迁移服务,应用程序移植服务简化,加快并降低了应用程序迁移和现代化的成本,不适用于数据库。
104.Control Tower
一家制造公司开发了一种收集工厂地面设备遥测数据的方法,该公司使用AWS控制塔。该公司还使用AWS CloudFormation堆栈为每个工厂位置提供一个新的VPC,其中包含Amazon弹性容器服务(Amazon ECS)和Amazon CloudWatch中的一组容器。该公司目前正在收购另一家地理位置偏远的制造公司,该公司想使这些工厂现代化其中一项任务是应用相同的遥测采集过程,将设备直接连接到AWS网络中的服务所导致的网络延迟非常高,这可能会影响可靠性。公司如何将新工整合到现有架构中?
解决方案:
使用AWS ControlTower创建新OU,为新工厂添加新账户,将ECS容器和CloudWatch部署到帐户中。
105.Opsworks
一个政府解决方案运行在2000多个Amazon EC2实例上,每个EC2实例在安装了AWSSystemsManager Agent (SSM Agent)的Windows Server OS上运行高度安全的软件.TCP/443入站端口对实例组开放.所有其他入境口岸均关闭.目前,对端口配置的任何更改都需要漫长的多级审核过程.哪种解决方案将以最少的管理开销提供对实例组上运行脚本的安全访问?
解决方案:
为Puppet Enterprise配置AWSOpsWorks,并连接到实例上的SSM代理,使用木偶堆栈管理脚本。
106.最佳实践
一家公司希望改变其每个业务部门的内部云计费策略.目前,云治理团队与每个业务部门的负责人共享总体云支出报告。该公司使用AWS组织为每个业务部门管理单独的AWS帐户,组织中现有的标记标准包括应用程序,环境和所有者、云治理团队需要一个集中的解决方案,以便每个业务部门每月都能收到其云支出的报告。解决方案还应发送超过设定阈值的任何云支出通知,哪种解决方案是满足这些要求最具成本效益的方法?
解决方案:
在组织的主帐户中配置AWS预算,并配置按应用程序,环境和所有者分组的预算警报。将每个业务部门添加到每个警报的Amazon SNS主题中,使用组织主账户中的成本管理器为每个业务部门创建月度报告。
107.最佳实践
一家公司正在AWS云中开发和托管多个项目,这些项目是在AWS组织的同一组织下跨多个AWS帐户开发的,该公司要求将云基础设施的成本分配给所属项目。负责所有AWS账户的团队发现,几个Amazon EC2实例缺少用于成本分配的Project标签,解决方案架构师应该采取哪些措施来解决问题并防止将来发生?
解决方案:
-在每个账户中创建AWS配置规则,以查找缺少标记的资源。
-在组织中创建SCP,如果缺少Project标记,则对ec2:Runlnstances执行拒绝操作。
-为组织创建AWSConfig聚合器,以收集缺少Project标记的EC2实例列表。
108.最佳实践
一家公司有许多独立的AWS账户,不使用中央计费或管理。每个AWS帐户都为公司的不同部门提供服务,该公司已部署Microsoft Azure ActiveDirectory。解决方案架构师需要对公司的AWS帐户进行集中计费和管理,该公司希望开始使用身份联合,而不是手动用户管理。该公司还希望使用临时凭据,而不是长期使用的访问密钥。哪种步骤组合能够满足这些要求?
解决方案:
-创建一个新的AWS账户作为管理帐户。在AWS组织中部署组织.邀请每个现有的AWS帐户加入该组织.确保每个账户都接受邀请。
-在管理帐户中部署AWS IAM身份中心(AWS单一登录)。将IAM身份中心连接到AzureActive Directory.配置IAM Identity Center以自动同步用户和组。
-创建AWSIAM身份中心(AWS Single SignOn)权限集.将权限集附加到相应的IAMIdentity Center组和AWS帐户。
109.最佳实践
一位解决方案架构师与公司的本地身份提提供商(IdP)实现了SAML2.0联合身份解决方案,以验证用户对AWS环境的访问。当解决方案架构师通过联邦身份门户测试身份验证时,将授予对AWS环境的访问权限。然而,当测试用户试图通过联邦身份门户进行身份验证时,他们无法访问AWS环境。解决方案架构师应检查哪些项目以确保正确配置身份联合?
解决方案:
-为联合用户或联合组的信任策略创建的IAM角色已将SAML提供程序设置为主体。
-门户网站使用SAML提供者的ARN,IAM角色的
ARN和IdP的SAML断言调用AWS STSAssumeRoleWithSAML API。
-公司的IdP定义了正确映射用户或组的SAML
断言。在公司中,IAM角色具有适当的权限。
110.最佳实践
一家公司对其AWS环境进行了第三方审计,审计员在开发人员文档中发现了秘密,并在整个环境中发现了被硬编码到AWS CloudFormation模板中的秘密。审计员还确定了允许来自互联网的入站流量和到互联网上所有目的地的出站流量的安全组。解决方案架构师必须设计一个解决方案,对所有机密进行加密,并每90天轮换一次。此外,解决方案架构师必须配置安全组,以防止从internet访问资源。哪种解决方案可以满足这些要求?
解决方案
使用AWS机密管理器创建,存储和访问机密。使用AWS::SecretsManager:.Secret资源类型在AWS CloudFormation中创建新的机密。使用secrets Manager动态引用引用其他模板中的机密,在机密管理器中配置自动旋转,以每90天旋转一次机密,使用AWS防火墙管理器创建一个策略,该策略标识允许任何协议的入站或出站通信的所有安全组。如果该策略标记了违反的安全组,请从安全组中删除不符合规则。
111.最佳实践
一家软件开发公司有多名远程工作的工程师,该公司正在Amazon EC2实例上运行Active Directory域服务(ADDS)。该公司的安全政策规定,部署在VPC中的所有内部非公共服务必须可以通过VPN访问。访问VPN必须使用多因素身份验证(MFA),解决方案架构师应该如何满足这一需求?
解决方案:
创建AWS客户端VPN端点,创建AD连接器目录以与AD DS集成。为AD连接器启用MFA,使用AWS客户端VPN建立VPN连接。
112.最佳实践
一家公司在自动缩放组中使用Amazon EC2实例在AWS云中处理视频,处理视频需要30分钟。几个EC2实例根据Amazon Simple Queue Service (Amazon SQS)队列中的视频数量进行伸缩,该公司已使用重新驱动策略配置SQS队列,该策略指定目标死信队列,maxReceiveCount为1。该公司已将SQS队列的可见性超时设置为1小时,该公司设置了AmazonCloudWatch警报,当死信队列中有消息时通知开发团队。一天中,开发团队多次收到通知,消息在死信队列中,视频没有得到正确处理.调查发现应用程序日志中没有错误。公司如何解决这个问题?
解决方案:
在处理过程中为实例配置扩展保护。
解析:
该公司可以通过在处理过程中为实例配置保护规模来解决问题。这将确保实例在处理视频时不会被终止。这将防止消息移动到死信队列,并确保视频得到正确处理。
113.AWS Amplify
一家公司在内部数据中心运行应用程序,该应用程序允许用户上传媒体文件。这些文件保存在文件服务器中,该web应用程序有许多用户,应用程序服务器被过度利用,这导致数据上传偶尔失败。该公司经常向文件服务器添加新的存储,该公司希望通过将应用程序迁移到AWS来解决这些挑战。来自美国和加拿大的用户可以访问该应用程序,只有经过身份验证的用户才应该能够访问应用程序以上载文件。该公司将考虑重构应用程序的解决方案,并且该公司需要加快应用程序的开发。哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
使用AWS Amplify创建一个用于上传媒体文件的静态网站。使用Amplify Hosting通过Amazon CloudFront为网站提供服务,使用AmazonS3存储上传的媒体文件,使用AmazonCognito对用户进行身份验证。
解析:
解决方案利用开发平台AWS Amplify创建一个用于上传媒体文件的静态网站,Amplify简化了构建和部署web应用程序的过程。有了Amplify Hosting,该网站可以通过提供低延迟内容交付的Amazon CloudFront轻松提供服务。AmazonS3用于存储上传的媒体文件,S3是一种高度可扩展和持久的对象存储服务,可以处理大量数据。它为文件提供了安全的存储,并允许与其他AWS服务轻松集成,该解决方案需要最小的操作开销,因为AWS Amplify抽象掉了大部分底层基础设施的设置和配置。它实现了更快的应用程序开发和部署,同时提供了应用程序需求所需的可扩展性,安全性和身份验证功能.
114.最佳实践
一家公司使用AWS组织管理1000多个AWS帐户.该公司创建了一个新的开发组织.有540个开发人员成员账户必须移动到新的开发人员组织,所有帐户都设置了所有必需的信息,以便每个账户都可以作为独立帐户进行操作.解决方案架构师应该采取哪种步骤组合来将所有开发人员帐户转移到新的开发人员组织?
解决方案:
-从管理帐户中,使用OrganizationsAPI中的RemoveAccountFromOrganization操作从旧组织中删除每个开发人员帐户。
-从新开发人员组织的管理帐户调用OrganizationsAPI中的InviteAccountToOrganization操作,向开发人员帐户发送邀请。
-让每个开发者登录他们的账户,并确认加入新的开发者组织。
115.最佳实践
一家公司已将一个遗留应用程序迁移到AWS云该应用程序运行在三个AmazonEC2实例上,这些实例分布在三个可用区中,每个可用区中有一个EC2实例.EC2实例在VPC的三个子网中运行,并被设置为与三个子网相关联的应用程序负载均衡器(ALB)的目标.应用程序需要与内部部署系统进行通信。只有来自公司IP地址范围内的IP地址的流量才允许访问内部部署系统,该公司的安全团队只将其内部IP地址范围中的一个IP地址带到云端,公司已将此IP地址添加到公司防火墙的允许列表中,该公司还为此IP地址创建了一个弹性IP地址。解决方案架构师需要创建一个解决方案,使应用程序能够与内部部署系统进行通信,该解决方案还必须能够自动缓解故障,哪种解决方案将满足这些要求?
解决方案
在公共子网中部署单个NAT网关,将弹性IP地址分配给NAT网关.使用带有自定义度量的AmazonCloudWatch来监控NAT网关。如果NAT网关不正常,请调用AWSLambda函数在不同的子网中创建一个新的NAT网关,将弹性IP地址分配给新的NAT网关。
116.DynamoDB加速器(DAX)
一家金融服务公司将数百万笔历史股票交易加载到亚马逊DynamoDB表中,该表使用按需容量模式每天午夜有一次,数百万条新记录被加载到表中。针对表的应用程序读取活动在一天中会突然发生,并且重复查找有限的一组密钥。该公司需要降低与DynamoDB相关的成本,解决方案架构师应该推荐哪种策略来满足这一要求?
解决方案:
部署DynamoDB加速器(DAX),使用已配置的容量模式,配置DynamoDB自动缩放。
解析:部署DynamoDB Accelerator(DAX)将有助于缓存读取活动,这可以降低读取成本,因为DAX是DynamoDB的一个完全管理的、高可用的内存缓存,可以将读取性能提高10倍,甚至每秒数百万次请求。使用调配容量模式可以设置表的容量以处理预期的工作负载,并且表的容量不会根据流量模式进行上下扩展,如果您的使用情况可预测,则与按需容量模式相比,这可能会降低成本。
2023/12/13
117.最佳实践
一家公司正在创建一个REST API,以便与美国的六个合作伙伴共享信息,该公司创建了亚马逊API网关区域端点,六个合作伙伴中的每一个都将每天访问一次API,以发布每日销售数据。在最初部署后,该公司每秒观察到来自世界各地500个不同IP地址的1000个请求,该公司认为,这种流量来源于僵尸网络,并希望确保其API的安全,同时将成本降至最低,公司应该采取什么方法来保护其API?
解决方案:
创建一个AWSWAFwebACL,其中包含允许访问六个合作伙伴使用的IP地址的规则。将web ACL与API关联,创建具有请求限制的使用计划,并将其与API关联,创建一个API密钥并将其添加到使用计划中。
解析:
Ans是OptD,使用计划为选定的客户提供特定的访问权限和请求配额,这有助于管理和限制使用,防止资源过度使用。API密钥用于跟踪和控制API的使用方式,这个额外的安全层确保只有那些拥有密钥的人才能访问API。为什么不选择C,亚马逊API网关不支持通过资源策略限制请求,您可以使用资源策略设置谁可以访问您的API的权限,但资源策略不处理速率限制。仅API密钥不提供节流或速率限制,对于节流,您通常需要将它们与使用计划一起使用。
118.最佳实践
一家公司有一个新的应用程序,需要在一个AWS区域的五个亚马逊EC2实例上运行。该应用程序需要运行该应用程序的所有EC2实例之间的高吞吐量低延迟网络连接,没有要求应用程序具有容错性,哪种解决方案将满足这些要求?
解决方案:
在集群放置组中启动五个新的EC2实例,确保EC2实例类型支持增强型网络。
解析:
集群放置组是一种将实例紧密地封装在可用性区域内的放置组,这种策略使工作负载能够实现紧密耦合的节点到节点通信所需的低延迟网络性能,这是高性能计算(HPC)应用程序的典型情况。
119.最佳实践
一家公司运营着一个内部软件即服务(Saas)解决方案,每天接收几个文件。该公司为其客户提供了多个公共SFTP端点,以方便文件传输,客户将SFTP端点IP地址添加到他们的防火墙允许列表中以用于出站流量。不允许更改SFTP端点IP地址,该公司希望将SaaS解决方案迁移到AWS,并减少文件传输服务的运营开销。哪种解决方案满足这些要求?
解决方案:
在公司的AWS帐户中注册客户拥有的IP地址块,从地址池创建弹性I地址,并将其分配给用于SFTP端点的AWS传输,使用AWS Transfer将文件存储在AmazonS3中。
解析:
选项A建议使用AWS Transferfor SFTP,这是一种完全管理的服务,可以通过安全文件传输协议(SFTP)将文件直接传输到亚马逊S3中或从中传输出来。通过在公司的AWS账户中注册客户拥有的IP地址块,并从该地址池中创建弹性IP地址,公司可以将这些IP地址分配给AWS Transfer for SFTP端点,这允许客户继续使用其现有的防火墙允许列表,而无需进行任何更改。通过SFTP端点传输的文件直接存储在AmazonS3中,减少了操作开销。
120.最佳实践
一家教育公司正在运行一个供世界各地大学生使用的网络应用程序,该应用程序在应用程序负载均衡器(ALB)后面的自动缩放组中的Amazon弹性容器服务(Amazon ECS)集群中运行。系统管理员检测到每周失败的登录尝试次数激增,这使应用程序的身份验证服务不堪重负,所有失败的登录尝试都来自每周更改的大约500个不同的IP地址。解决方案架构师必须防止失败的登录尝试压倒身份验证服务,哪种解决方案在MOST运行效率方面满足这些要求?
解决方案:
使用基于速率的规则创建AWS WAF webACL,并将规则操作设置为“阻止”,将webACL连接到ALB。
121.最佳实践
一家大公司在部署在数百个AWS帐户上的VPN中运行工作负载,每个VPC由跨越多个可用区的公用子网和专用子网组成,NAT网关部署在公共子网中,并允许从私有子网到互联网的出站连接。一位解决方案架构师正在进行轮辐式设计,分支VPC中的所有私有子网必须通过出口VPC将流量路由到互联网。解决方案架构师已经在中央AWS帐户的出口VPC中部署了NAT网关,解决方案架构师应该采取哪一组附加步骤来满足这些要求?
解决方案:
创建一个中转网关,并与现有的AWS帐户共享,将现有的VPC连接到传输网关,配置所需的路由以允许访问internet。
122.CodeDeploy代理
一家公司有一个在亚马逊EC2自动缩放组中的亚马逊EC2实例上运行的应用程序,该公司使用AWS CodePipeline来部署该应用程序,“自动缩放”组中运行的实例由于缩放事件而不断变化。当公司部署新的应用程序代码版本时,公司会在任何新的目标EC2实例上安装AWS CodeDeploy代理,并将这些实例与CodeDeploy部署组相关联,该应用程序将在未来24小时内上线。解决方案架构师应该推荐什么来以最少的操作开销自动化应用程序部署过程?
解决方案:
创建一个安装了CodeDeploy代理的新AMI,配置自动缩放组的启动模板以使用新的AMI。将CodeDeploy部署组与自动缩放组(而不是EC2实例)相关联。
解析:
此解决方案通过在安装CodeDeploy代理的情况下创建新的Amazon Machine Image (AMI)来自动化部署过程,自动缩放组的启动模板随后被更新以使用这个新的AMI,通过将CodeDeploy部署组与自动缩放组相关联,CodeDeploy将自动将应用程序部署到自动缩放组启动的任何新实例这种方法消除了在新实例上手动安装CodeDeploy代理并将其与部署组关联的需要。它通过利用CodeDeploy和Auto Scaling组的自动化功能简化了部署过程并减少了操作开销。
123.最佳实践
一家公司在亚马逊S3中有一个数据湖,需要由许多AWS账户中的数百个应用程序访问。该公司的信息安全政策规定,S3存储桶不得通过公共互联网访问,每个应用程序都应具有运行所需的最低权限.为了满足这些要求,解决方案架构师计划使用S3接入点,该接入点仅限于每个应用程序的特定VPN,解决方案架构师应该采取哪种步骤组合来实现此解决方案?
解决方案:
-为拥有S3存储桶的AWS账户中的每个应用程序创建一个S3访问点将每个接入点配置为只能从应用程序的专有网络访问.更新bucket策略以要求访问点进行访问。
-在每个应用程序的VPN中为AmazonS3创建一个网关端点配置端点策略以允许访问S3访问点,指定用于访问访问点的路由表。
解析:
步骤A使每个应用程序都有自己的访问点,可以将其配置为只允许该应用程序的必要权限。这满足了最低权限访问的要求,步骤C包括在每个应用程序的专有网络中为S3创建一个网关专有网络端点。该端点为VPC和S3 bucket之间的流量提供了一条私有路径,确保数据不会穿越公共互联网,端点策略应配置为允许访问为应用程序创建的特定S3访问点,同时保持最小权限。
124.CodeCommit触发器
在一次审计中,一个安全团队发现一个开发团队将IAM用户秘密访问密钥放入他们的代码中,然后将其提交给AWSCodeCommit存储库。安全团队希望自动查找并修正此安全漏洞的实例,哪种解决方案可以确保凭据自动得到适当的保护?
解决方案:
配置CodeCommit触发器以调用AWSLambda函数来扫描新提交的代码以获取凭据,如果找到凭据,请在AWS IAM中禁用它们并通知用户。
解析:
Amazon Macie是一个不错的选择,但目前它只扫描S3,即使CodeCommit在S3中结束(根据AWS文档),它对我们来说也是不可见的,因此我不认为我们可以配置Macie进行扫描.目前,Lambda仍是最佳选择。
125.最佳实践
一家公司生产智能汽车,该公司使用自定义应用程序来收集车辆数据。车辆使用MQTT协议连接到应用程序,该公司每隔5分钟处理一次数据,然后,该公司将车辆远程信息处理数据复制到本地存储中,自定义应用程序分析这些数据以检测异常情况。发送数据的车辆数量不断增长,较新的车辆会产生大量数据。内部部署存储解决方案无法针对峰值流量进行扩展,这会导致数据丢失,该公司必须使解决方案现代化,并将解决方案迁移到AWS,以解决扩展挑战。哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
使用AWS物联网核心接收车辆数据,配置规则以将数据路由到Amazon Kinesis data Firehose交付流,该流将数据存储在Amazon S3中,创建一个亚马逊Kinesis数据分析应用程序,从交付流中读取数据以检测异常。
解析:
AWS物联网核心提供了一种很好的方式来处理来自这些智能车辆等物联网设备的数据,尤其是在使用MQTT协议时。Amazon Kinesis Data Firehose可以捕获,转换流式数据,并将其加载到数据湖,数据存储和分析服务中,它可以处理来自数十万个来源的大量数据,并且可以自动扩展。Amazon Kinesis DataAnalytics可以轻松地使用Java、SQL或Apache Flink实时分析流媒体数据,而无需学习新的编程语言或处理框架,它可以用于分析流数据和检测异常。
126.Kinesis数据流
一家公司正在开发一种基因报告设备,该设备将收集基因组信息,以帮助研究人员从不同人群中收集大量数据样本,该设备将每秒将8KB的基因组数据推送到数据平台,该平台需要处理和分析数据,并向研究人员提供信息。数据平台必须满足以下要求:
-提供入境基因组数据的近实时分析
-确保数据灵活.并行和持久
-将处理结果交付给数据仓库。
解决方案架构师应使用哪种策略来满足这些要求?
解决方案:
使用亚马逊Kinesis数据流收集入站传感器数据,使用Kinesis客户端分析数据,并使用亚马逊电子病历将结果保存到亚马逊Redshift集群。
解析:
Kinesis Data Streams是一个实时流媒体服务,提供近乎实时的分析,还有一个问题是“将处理结果交付到数据仓库”,这个选项具有红移集群,这是一个强大的数据仓库解决方案,可以处理大规模的分析工作负载。#Kinesis DataFirehose不适合近实时分析,并且可能会在数据处理管道中引入一些延迟.此外,将结果保存到AmazonRDS实例可能无法提供处理和分析大量基因组数据所需的可扩展性和灵活性。
127.AWS备份
一家公司最近开始在AWS云中托管新的应用程序工作负载,该公司正在使用亚马逊EC2实例,亚马逊弹性文件系统(Amazon EFS)文件系统和亚马逊RDSDB实例。为了满足管理法规和业务要求,公司必须对数据备份进行以下更改:-必须根据自定义的每日,每周和每月要求保留备份。-捕获后必须立即将备份复制到至少一个其他AWS区域,备份解决方案必须在整个AWS环境中提供单一的备份状态源。-备份解决方案必须在任何资源备份失败时立即发送通知,哪种步骤组合将以最少的运营开销满足这些要求?
解决方案:
-为每个保留要求创建一个AWS备份计划,其中包含备份规则。
-配置AWS备份计划以将备份复制到另一个区域
-在备份计划中添加一个亚马逊简单通知服务(Amazon SNS)主题,以发送除backup_JOB_COMPLETED之外任何状态的已完成作业的通知。
128.HPC集群
一家公司在AWS中为紧密耦合的工作负载构建了一个高性能计算(HPC)集群,该集群生成了存储在Amazon EFS中的大量共享文件。当集群中AmazonEC2实例的数量为100时,集群表现良好。然而,当该公司将集群规模增加到1000个EC2实例时,总体性能远低于预期。解决方案架构师应该做出哪些设计选择来实现HPC集群的最大性能?
解决方案:
-确保HPC集群在单个可用性区域内启动。
-选择启用了弹性结构适配器例类型(EFA)EC2实例类型。
-将Amazon EFS替换为用于Lustre的Amazon FSx。
解析:
为了实现HPC集群的最大性能,应做出以下设计选择:A确保HPC集群在单个可用区内启动:此选择确保集群中的EC2实例位于同一数据中心内,因此具有低网络延迟和高带宽。C.选择启用弹性结构适配器(EFA)的EC2实例类型:EFA是一种网络接口,可在EC2实例之间提供低延迟、高带宽的通信。通过选择启用了EFA的实例类型,集群可以从改进的实例间通信中受益。F.将Amazon EFS替换为Amazon FSxforLustre:Amazon FSx forLustre是一个针对HPC工作负载优化的高性能文件系统,通过使用FSxforLustre而不是AmazonEFS,集群可以为工作负载生成的大量共享文件实现更好的性能。
129.DataSync
一家公司希望将AWS用于本地应用程序的灾难恢复,该公司有数百台基于Windows的服务器运行该应用程序。所有服务器都装载一个公共共享,该公司的RTO为15分钟,RPO为5分钟,该解决方案必须支持本机故障切换和回退功能。哪种解决方案能够以最经济的方式满足这些要求?
解决方案:
使用AWS弹性灾难恢复来复制本地服务器,使用AWS DataSync将数据复制到AmazonFSx for Windows File Server文件系统。
将文件系统安装到AWS服务器,在灾难发生期间,将本地服务器故障转移到AWS,使用弹性灾难恢复故障恢复到新服务器或现有服务器。
130.最佳实践
一家公司正在将其开发和生产工作负载迁移到AWS组织中的一个新组织,该公司创建了一个单独的开发成员账户和一个单独生产成员帐户。合并计费链接到管理帐户,在管理帐户中,解决方案架构师需要创建一个IAM用户,该用户可以停止或终止两个成员帐户中的资源。哪种解决方案能够满足这一要求?
解决方案:
在管理帐户中创建IAM用户,在成员帐户中,创建具有最低权限访问的跨帐户角色。使用信任策略授予IAM用户访问角色的权限。
131.最佳实践
公司需要建立从其内部数据中心到AWS的连接,该公司需要连接位于不同AWS地区的所有VPC,并在VPC网络之间提供可传递的路由功能,该公司还必须降低网络出站流量成本,提高带宽吞吐量,并为最终用户提供一致的网络体验。哪种解决方案将满足这些要求?
解决方案:
在本地数据中心和AWS之间创建一个AWS直接连接,提供中转VIF,并将其连接到直连网关。使用每个区域中的传输网关将直连网关连接到所有其他VPC。
132.SMB文件共享
一家公司有一个内部部署的Microsoft SQLServer数据库,该数据库每晚向本地驱动器写入200 GB的导出。该公司希望将备份转移到亚马逊S3上更强大的云存储中,该公司在本地数据中心和AWS之间建立了10Gbps的AWS直接连接,哪种解决方案能够以最经济的方式满足这些要求?
解决方案:
创建一个新的S3存储桶,在连接到直连连接的专有网络内部署一个AWS存储网关文件网关。创建新的SMB文件共享,将夜间数据库导出写入新的SMB文件共享。
解析:
文件网关可以映射为SMB文件共享,并由数据库或其他自动化设备用于传输数据库备份,
卷网关更多地用于在内部部署系统上执行卷快照,所以我认为这不是一种可持续的方法。
133.最佳实践
一家公司有一个网站,在应用程序负载均衡器(ALB)后面的四个亚马逊EC2实例上运行。
当ALB检测到EC2实例不再可用时,Amazon CloudWatch警报进入警报状态。
然后,公司运营团队的一名成员手动在ALB后面添加一个新的EC2实例,解决方案架构师需要设计一个高度可用的解决方案,自动处理EC2实例的替换。
在转换到新解决方案的过程中,公司需要最大限度地减少停机时间,解决方案架构师应该采取哪一组步骤来满足这些要求?
解决方案:
创建一个自动缩放组,该组被配置为处理web应用程序流量。
将新的启动模板附加到“自动缩放”组,将“自动缩放”组附加到现有ALA将现有EC2实例附加到“自动缩放》组。
解析:
自动缩放组旨在确保您运行所需数量的AmazonEC2实例。它还可以根据健康检查自动替换任何失败或不健康的实例,
可以在“自动缩放”组中指定最小,最大和所需的实例数。通过将一个新的启动模板附加到“自动缩放”组,
自动缩放组就知道要为其启动的新实例使用什么配置,没有必要按照选项A和C中的建议删除现有的ALB,ALB仍然有效,
并将与新创建的自动缩放组一起工作,您可以直接将“自动缩放”组附加到现有ALB。
134.AWS预算
一家公司有数百个AWS账户,该公司使用AWS组织中的一个组织来管理所有账户。该公司已启用所有功能,一个财务团队已经为AWS成本分配了每日预算。
如果组织的AWS成本超过分配预算的80%,财务团队必须收到电子邮件通知,解决方案架构师需要实现一个解决方案来跟踪成本并提供通知。
哪种解决方案将满足这些要求?
解决方案:
在组织的管理账户中,使用AWS预算创建一个有每日周期的预算:
添加警报阈值并将该值设置为80%,使用亚马逊简单通知服务(Amazon SNS)通知财务团队。
2023/12/14
135.最佳实践
一家公司为艺术品提供拍卖服务,用户遍布北美和欧洲,该公司在美国东部地区的AmazonEC2实例中托管其应用程序,艺术家上传他们作品的大尺寸照片。高分辨率图像文件从他们的手机到在美国东部地区创建的集中亚马逊S3存储桶,欧洲的用户报告说,他们上传图像的速度很慢。解决方案架构师如何提高图像上传过程的性能?
解决方案:
将铲斗(bucket)配置为使用S3传输加速。
解析:
转移加速S3传输加速利用Amazon CloudFront全球边缘位置网络来加速S3存储桶之间的数据传输,通过在集中式S3存储桶上启用S3传输加速,欧洲用户将体验到更快的上传,因为他们的数据将通过最近的CloudFront边缘位置进行路由。
136.最佳实践
一家公司在AWS上运行许多工作负载,并使用AWS组织来管理其账户,工作负载托管在AmazonEC2上、AWSfarget、以及AWSLambda,有些工作负载具有不可预测的需求,账户记录了某些月份的高使用率和其他月份的低使用率。该公司希望在未来3年内优化其计算成本,解决方案架构师为整个组织的每个帐户获得6个月的平均值,以计算使用率,哪种解决方案将为组织的所有计算使用提供MOST成本节约?
解决方案:
使用管理账户级别的推荐,从管理账户购买组织的计算储蓄计划.
137.最佳实践
一家公司正在AWS云中运行一个容器化应用程序,该应用程序通过在一组AmazonEC2实例上使用AmazonElasticContainerService (AmazonECS)运行。EC2实例在“自动缩放”组中运行,该公司使用AmazonElasticContainerRegistry (AmazonECR)来存储其容器映像。当上传新图像版本时,新图像版本接收唯一标签,该公司需要一个解决方案来检查新映像版本中的常见漏洞和暴露,解决方案必须自动删除具有严重性或高严重性结果的新图像标记。解决方案还必须在发生此类删除时通知开发团队。哪种解决方案满足这些要求?
解决方案:
在存储库上配置推送扫描,当扫描完具有严重性或高严重性结果的图像时,使用AmazonEventBridge调用AWSStep Functions状态机,使用Step Functions状态机删除这些图像的图像标签,并通过亚马逊简单通知服务(Amazon SNS)通知开发团队。
138.最佳实践
一家公司正在开发一种基于微服务的新的点播视频应用程序。该应用程序在发布时将拥有500万用户,6个月后将拥有3000万用户,该公司已在AWSFargate的亚马逊弹性容器服务(Amazon ECS)上部署了该应用程序。该公司通过使用HTTPS协议的ECS服务开发了该应用程序,解决方案架构师需要使用蓝色/绿色部署来实现应用程序的更新。该解决方案必须通过负载均衡器将流量分配到每个ECS服务.应用程序必须自动调整任务数量,以响应AmazonCloudWatch警报,哪种解决方案将满足这些要求?
解决方案:
配置云服务器服务使用蓝/绿部署类型和应用负载均衡器,为每个ECS服务实现服务自动伸缩。
解析:
因为我们有Fargate,那里没有集群自动缩放,服务自动缩放。
139.最佳实践
一家公司想运行一个定制的网络分析软件包,在流量离开和进入专有网络时检查流量。该公司已在一个自动缩放组的三个亚马逊EC2实例上使用AWSCloudFormation部署了该解决方案,所有网络路由都已建立,以将流量引导到EC2实例,每当分析软件停止工作时,“自动缩放”组就会替换一个实例.当实例替换发生时,网络路由不会更新。哪种步骤组合可以解决此问题?
解决方案
-更新CloudFormation模板以在EC2实例上安装Amazon CloudWatch代理,配置CloudWatch代理以发送应用程序的流程度量。
-在Amazon CloudWatch中为故障场景的自定义度量创建警报.配置警报以将消息发布到亚马逊简单通知服务(Amazon SNS)主题。
-创建一个AWSLambda函数,该函数响应亚马逊简单通知服务(Amazon SNS)消息,使实例停止服务.更新网络路由以指向替换实例。
140.最佳实践
一家公司希望优化AWS数据传输成本,并计算AWS组织中公司组织内各开发人员账户的成本,开发人员可以在单个AWS区域中配置VPCs并启动AmazonEC2实例。EC2实例每天从AmazonS3检索大约1TB的数据,开发人员的活动导致EC2实例和S3桶之间每月的数据传输费用和NAT网关处理费用过高,同时计算成本也很高,该公司希望为开发人员在AWS帐户中部署的任何EC2实例和VPC基础设施主动实施批准的架构模式。该公司不希望这种强制执行对开发人员执行任务的速度产生负面影响。哪种解决方案能够以最经济的方式满足这些要求?
解决方案
创建一个AWS服务目录组合,用户可以使用该组合创建具有S3网关端点和批准的EC2实例的批准的VPC配置,与开发人员帐户共享投资组合。配置AWS服务目录启动约束以使用批准的IAM角色,将开发人员的IAM权限范围设置为仅允许访问AWS服务目录。
141.最佳实践
一家公司已经在AWS上建立了整个基础设施,该公司使用亚马逊EC2实例托管其电子商务网站,并使用亚马逊S3存储静态数据。该公司的三名工程师通过一个AWS帐户处理云管理和开发。偶尔,一名工程师会更改另一名工程师的EC2安全组配置,并导致环境中出现不合规问题。解决方案架构师必须建立一个系统来跟踪工程师所做的更改,当工程师对EC2实例的安全设置进行不合规的更改时,系统必须发送警报。解决方案架构师满足这些要求的最快方法是什么?
解决方案
在EC2安全组上启用AWS配置,以跟踪任何不合规的更改。通过亚马逊简单通知服务(Amazon SNS)主题将更改作为警报发送。
解析:
此解决方案是满足要求的最快方法,因为它不需要任何额外的基础设施或配置,AWSConfig可以在几分钟内启用和配置,它将立即开始跟踪EC2安全组的更改。其他解决方案没有那么快,例如,建立AWS组织和SCP将需要更多的时间和精力。此外,启用CloudTrail和CloudWatch规则只会跟踪EC2安全组的更改,但当检测到不符合要求的更改时,它们不会发送警报
142.最佳实践
一家公司正在AWS云中运行一个应用程序。该应用程序由微服务组成,这些微服务在应用程序负载均衡器后面的多个可用区中的AmazonEC2实例上运行,该公司最近添加了一个新的REST API,该API在Amazon API网关中实现。在EC2实例上运行的一些旧的微服务需要调用这个新的API,该公司不希望从公共互联网访问API,也不希望专有数据穿越公共互联网解决方案架构师应该做些什么来满足这些需求?
解决方案
为API网关创建接口VPC端点,并设置端点策略以仅允许访问特定的API,向API网关添加资源策略,以仅允许从VPC端点进行访问,将API网关端点类型更改为private。
解析:
通过实施此解决方案,该公司可以确保无法从公共互联网访问API网关中的新API。接口VPC端点提供专用连接,允许EC2实例上运行的微服务与API网关之间的安全通信,这确保了专有数据不会穿越公共互联网,增强了安全性和数据保护。
143.最佳实践
一家公司使用负载均衡器将流量分配到单个可用区中的AmazonEC2实例该公司关心安全性,希望解决方案架构师重新设计解决方案,以满足以下要求:
-必须针对常见的漏洞攻击过滤入站请求。
-被拒绝的请求必须发送到第三方审核应用程序。
-所有资源都应高度可用。
哪种解决方案满足这些要求?
解决方案:
使用应用程序的AMI配置多AZ自动缩放组,创建一个应用程序负载均衡器(ALB),并选择之前创建的“自动缩放”组作为目标。创建一个带有第三方审核应用程序目的地的Amazon Kinesis数据消防软管,在WAF中创建webACL.使用WebACL和ALB创建一个AWSWAF,然后通过选择Kinesis Data Firehose作为目的地来启用日志记录。在AWSMarketplace中订阅AWS托管规则;选择WAF作为订阅方。
解析:
对于常见的漏洞攻击,必须过滤入站请求->WAF拒绝的请求必须发送到第三方审核应用程序->启用访问日志并使用kinesis流将日志发送到第二方所有资源都应该高度可用->Muti AZ自动扩展组。
144.最佳实践
大型公司的解决方案架构师需要为AWS组织中组织内所有AWS账户到互联网的出站流量设置网络安全.该组织有100多个AWS帐户,这些帐户通过使用集中式的AWS传输网关相互路由。每个帐户都有一个互联网网关和一个NAT网关,用于到互联网的出站流量,该公司仅在一个AWS地区部署资源,该公司需要能够为组织中的所有AWS账户添加对所有互联网出站流量的集中管理的基于规则的过滤。每个可用区的出站流量峰值负载不会超过25Gbps,哪种解决方案满足这些要求?
解决方案:
创建一个新的专有网络(VPC),用于互联网的出站流量。将现有的转接网关连接到新的专有网络.配置一个新的NAT网关,使用AWS网络防火墙防火墙进行基于规则的过滤,在每个可用区域中创建网络防火墙终结点,修改所有默。
解析:
关键字是“对所有AWS账户的互联网出站流量进行集中管理的基于规则的过滤…”.网络防火墙可以集中管理网络安全策略。该NAT网关为VPC内的资源提供必要的到互联网的出站连接,使用AWS网络防火墙,一种托管的防火墙服务,对出站流量进行基于规则的过滤。网络防火墙允许您为离开专有网络的流量定义和执行自定义规则,在每个可用区域中创建网络防火墙终结点这些端点用作网络防火墙应用过滤规则的流量检查点。修改VPC中的所有默认路由以指向网络防火墙端点,这确保了来自VPC的所有出站流量通过网络防火墙进行基于规则的过滤。
145.最佳实践
一位解决方案架构师正在为一家由多个团队组成的公司设计AWS帐户结构,所有团队将在同一个AWS区域工作。该公司需要一个连接到本地网络的专有网络.该公司预计,往返于本地网络的总流量将低于50Mbps,哪种步骤组合能够最经济有效地满足这些要求?
解决方案:
-创建一个AWS CloudFormation模板,该模板提供VPC和所需的子网,将模板部署到共享服务账户。使用AWS资源访问管理器共享子网。
-使用AWS站点到站点VPN连接到本地网络。(待确认)
146.最佳实践
一家公司使用在单个亚马逊EC2实例上运行的Grafana数据可视化解决方案来监控该公司AWS工作负载的运行状况,该公司投入了时间和精力来创建公司想要保留的仪表盘,仪表板需要具有高可用性,并且停机时间不能超过10分钟。公司需要尽量减少日常维护,哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
创建一个亚马逊管理的Grafana工作区.配置新的Amazon CloudWatch数据源,从现有Grafana实例导出仪表板,将仪表板导入新工作区。
解析:
通过创建亚马逊管理的Grafana工作区,您可以减轻管理和维护Grafana基础设施的运营销。Amazon Managed Grafana是一项完全管理的服务,负责底层基础设施,包括可扩展性、可用性和更新。
147.最佳实践
一家公司想迁移到AWS,该公司正在VMwareESXi环境中运行数千个虚拟机。该公司没有配置管理数据库,对VMware产品组合的利用率也知之甚少,解决方案架构师必须为公司提供准确的库存,以便公司能够规划具有成本效益的迁移。哪种解决方案将以最少的运营开销满足这些要求?
解决方案:
将Migration Evaluator无代理收集器部署到ESXi虚拟机监控程序,在迁移计算器中查看收集的数据。识别非活动服务器,从迁移列表中删除非活动服务器,将数据导入AWS迁移中心。
148.最佳实践
一家公司拥有基于Linux的AmazonEC2实例,用户必须使用带有EC2SSH密钥对的SSH来访问实例。每台机器都需要一个唯一的EC2密钥对,该公司希望实现一种密钥轮换策略,该策略将根据请求自动轮换所有EC2密钥对,并将密钥保存在安全加密的地方。公司将接受钥匙轮换期间少于1分钟的停机时间,哪种解决方案将满足这些要求?
解决方案:
将所有密钥存储在AWS Secrets Manager中,定义Secrets Manager轮换计划以调用AWSLambda函数来生成新的密钥对,替换EC2实例上的公钥,更新机密管理器中的私钥。
解析:
通过将密钥存储在AWS Secrets Manager中,您可以安全地对其进行加密。在Secrets Manager中定义轮换时间表允许您使用AWSLambda函数自动生成新的密钥对,这样可以确保每台机器都有一个唯一的密钥对,在轮换过程中,EC2实例上的公钥可以被替换,私钥可以在Secrets Manager中更新。该解决方案最大限度地减少了停机时间,并提供了一种安全的方式来管理和轮换EC2密钥对。
149.最佳实践
一家公司在AWS云中运行物联网应用程序,该公司拥有数百万个传感器,可以从美国的房屋中收集数据。传感器使用MQTT协议将数据连接并发送到自定义MQTT代理.MQTT代理将数据存储在单个AmazonEC2实例上,传感器通过名为iot.example.com的域名连接到代理。该公司使用亚马逊53号路由作为其DNS服务,该公司将数据存储在亚马逊DynamoDB中,在某些情况下,数据量使MQTT代理过载,并导致传感器数据丢失。公司必须提高解决方案的可靠性,哪种解决方案将满足这些要求?
解决方案:
设置AWS物联网核心以接收传感器数据,创建并配置一个自定义域以连接到AWS物联网核心,更新路由53中的DNS记录以指向AWS物联网核心数据ATS端点,配置一个AWS物联网规则来存储数据。
150.最佳实践
软件即服务(SaaS)提供商通过应用程序负载均衡器(ALB)公开API,ALB连接到部署在美国东部地区的亚马逊弹性Kubernetes服务(AmazonEKS)集群.公开的API包含一些非标准REST方法的用法:LINK.UNLINK.LOCK和UNLOCK.美国以外的用户报告说,这些API的响应时间长且不一致,解决方案架构师需要用一个最大限度地减少操作开销的解决方案来解决这个问题。哪种解决方案满足这些要求?
解决方案:
在AWS全球加速器中添加一个加速,将ALB配置为原点。
解析:
通过在AWS Global accelerator中添加加速器并将ALB配置为原点,ALB的流量将通过全球网络进行路由,从而减少延迟并提高美国以外用户的响应时间。该解决方案最大限度地减少了运营开销,因为AWSGlobal Accelerator可以自动处理路由和优化,而无需额外的基础设施部署或配置更改。
151.最佳实践
一家公司正在使用AWSLambda函数实现无服务器架构,这些函数需要访问亚马逊RDS上的Microsoft SQL Server DB实例。该公司有单独的开发和生产环境,包括数据库系统的克隆,该公司的开发人员被允许访问开发数据库的凭据。但是,生产数据库的凭据必须使用只有IT安全团队的IAM用户组成员才能访问的密钥进行加密,这把钥匙必须定期转动。解决方案架构师应该在生产环境中做些什么来满足这些?
解决方案:
将数据库凭据作为与AWS密钥管理服务(AWS KMS)客户管理密钥相关联的密钥存储在AWS Secrets Manager中,为每个Lambda函数附加一个角色,以提供对机密的访问权限,限制对机密和客户管理的密钥的访问,以便只有IT安全团队才能访问机密和密钥。
152.最佳实践
一家公司正在设计一个托管静态内容的新网站,该网站将为用户提供上传和下载大型文件的能力。根据公司要求,所有数据在传输和休息时都必须加密,解决方案架构师正在使用AmazonS3和AmazonCloudFront构建解决方案。哪种步骤组合将满足加密要求?
-为web应用程序使用的S3存储桶启用S3服务器端加密。
-创建一个bucket策略,该策略拒绝web应用程序使用的S3 bucket中的任何未加密操作。
-在CloudFront中配置HTTP请求重定向为HTTPS请求。
153.最佳实践
一家公司正在计划将本地MySQL数据库一次性迁移到美国东部地区的Amazon Aurora MySQL。该公司目前的互联网连接带宽有限,内部部署MySQL数据库的大小为60TB。该公司估计,通过当前的互联网连接将数据传输到AWS需要一个月的时间,该公司需要一个能够更快地迁移数据库的迁移解决方案。哪种解决方案将在最短的时间内迁移数据库?
解决方案:
订购AWS Snowball Edge设备,使用S3接口将数据加载到AmazonS3存储桶中。使用AWS数据库迁移服务(AWS DMS)将数据从Amazon S3迁移到Aurora MySQL。
154.最佳实践
一家公司有一个复杂的web应用程序,它利用AmazonCloudFront实现全球可扩展性和性能。随着时间的推移,用户报告web应用程序的速度正在减慢.该公司的运营团队报告称,CloudFront缓存命中率一直在稳步下降,缓存度量报告指出,某些URL上的查询字符串顺序不一致,有时以混合大小写字母指定,有时以小写字母指定.解决方案架构师应该采取哪一组操作来尽快提高缓存命中率?
解决方案:
部署Lambda@Edge函数按名称对参数进行排序,并强制它们为小写,选择CloudFront查看器请求触发器以调用该函数。
155.最佳实践
应用程序部署在自动缩放组中运行的AmazonEC2实例上,“自动缩放”组配置仅使用一种类型的实例。CPU和内存利用率指标显示实例未得到充分利用,解决方案架构师需要实现一个解决方案,以永久降低EC2成本并提高利用率,哪种解决方案将在未来配置更改次数最少的情况下满足这些要求。
解决方案:
使用有关应用程序的CPU和内存利用率的信息来选择符合要求的实例类型。通过添加新的实例类型来修改“自动缩放”组的配置,从配置中删除当前实例类型。
156.最佳实践
一家公司使用AWS组织中的一个组织来管理公司的AWS账户,该公司使用AWS CloudFormation来部署所有基础设施。一个财务团队想要建立一个按存储容量使用计费模型,财务团队要求每个业务部门使用预定义的项目价值列表来标记资源,当财务团队在AWS成本资源管理器中使用AWS成本和使用情况报告并根据项目进行筛选时,团队注意到不符合项目值,该公司希望强制使用新资源的项目标记。哪种解决方案将以最少的努力满足这些要求?
解决方案:
创建一个标记策略,该策略包含组织管理帐户中允许的项目标记值,创建一个拒绝cloudformation:CreateStack APl操作的SCP,除非添加了项目标记.将SCP连接到每个OU。
157.最佳实践
解决方案架构师在自动缩放组中的AmazonEC2实例上部署了操作工作负载,VPC体系结构跨越两个可用区(AZ),每个可用区中都有一个子网,自动缩放组的目标是该子网。专有网络连接到本地环境,连接不能中断,“自动缩放”组的最大大小为服务中的20个实例,VPCIPv4地址如下:VPC CIDR:10.0.0/23-AZ1子网CIDR:10.0.0/24-AZ2子网CIDR:10.0.0.0/24-自部署以来,第三个AZ已在该区域可用,解决方案架构师希望在不添加额外IPv4地址空间和不停机的情况下采用新的AZ。哪种解决方案将满足这些要求?
解决方案:
更新“自动缩放”组以仅使用AZ2子网,使用以前一半的地址空间删除并重新创建AZ1子网。调整“自动缩放”组以同时使用新的AZ1子网,当实例正常时,调整“自动缩放”组以仅使用AZ1子网,删除当前的AZ2子网,使用原始AZ1子网的后半部分地址空间创建一个新的AZ2子网,使用原始AZ2子网地址空间的一半创建一个新的AZ3子网,然后更新“自动缩放”组以针对所有三个新子网。
158.最佳实践
一家公司通过可通过互联网访问的SFTP服务器向其客户提供文件,SFTP服务器运行在一个附加了弹性IP地址的AmazonEC2实例上。客户通过其弹性IP地址连接到SFTP服务器,并使用SSH进行身份验证,EC2实例还有一个附加的安全组,允许从所有客户IP地址进行访问。解决方案架构师必须实施一个解决方案,以提高可用性,最大限度地降低基础架构管理的复杂性,并最大限度地减少对访问文件的客户的干扰,该解决方案决不能改变客户的联系方式。哪种解决方案将满足这些要求?
解决方案:
解除弹性IP地址与EC2实例的关联,创建一个用于SFTP文件托管的AmazonS3存储桶,创建一个AWS Transfer Family服务器.为TransferFamily服务器配置一个VPC托管的面向互联网的端点。将SFTP弹性IP地址与新端点相关联,将具有客户IP地址的安全组附加到新端点,将Transfer Family服务器指向S3存储桶,将所有文件从SFTP服务器同步到S3存储桶。
解析:
对于AWS Transfer Family的公共可访问端点,您不能附加静态IP地址,AWS提供的IP地址可能会更改,IP通过AWS全球加速器提供,该加速器使用静态AnycastIP地址。
159.最佳实践
一家公司已将其数据库部署在美国东部地区的Amazon RDS for MySQL DB实例上,该公司需要向欧洲的客户提供其数据。欧洲的客户必须能够访问与美国客户相同的数据,并且不能容忍高应用程序延迟或过时的数据,欧洲的客户和美国的客户需要写入数据库。两组客户都需要实时查看另一组客户的更新,哪种解决方案将满足这些要求?
解决方案:
将RDS for MySQL DB实例转换为AmazonAurora MySQL DB集群,将eu-west-1添加为DB集群的辅助Region,在数据库群集上启用写转发,在eu-west-1中部署应用程序。将应用程序配置为使用eu-west-1中的Aurora MySQL端点。
解析:
使用Aurora Global Database,您可以设置一个进行读写操作的主区域,以及最多五个只读的辅助区域.在Aurora中,您可以使用写转发,这允许Aurora全局数据库中的二级集群Aurora MySQL DB集群自动将写操作转发到主DB集群,并将操作结果返回到您的应用程序.
160.最佳实践
解决方案架构师必须使用蓝色/绿色部署方法更新AWS Elastic Beanstalk中的应用程序环境,解决方案架构师创建一个与现有应用程序环境相同的环境,并将应用程序部署到新环境中,下一步应该做些什么来完成更新?
解决方案:
选择交换环境URL选项。
解析:
AWS Elastic Beanstalk提供了一个SwapEnvironment URL选项,用于执行蓝色/绿色部署.此操作交换两个环境的CNAME记录,从而将流量从原始环境(蓝色)重新路由到新环境(绿色)。
161.最佳实践
一家公司在AWS组织的一个组织中集中管理数百个AWS帐户,该公司最近开始允许产品团队在其账户中创建和管理自己的S3访问点。S3接入点只能在VPC内访问,不能在互联网上访问,执行这一要求的最有效的MOST操作方式是什么?
解决方案:
在组织中的根级别创建一个SCP来拒绝s3:CreateAccessPoint操作,除非s3:AccessPointNetworkOrigin条件密钥评估为VPC。
解析:
SCP是一种可以用于管理组织中权限的策略,允许您控制多个AWS账户中的AWS服务操作。通过在根级别创建SCP,可以确保组织内的所有账户都受此策略的约束,这是在所有帐户中强制执行该要求的有效方法,因为它需要单个策略更改,而不是在每个帐户中单独更改。
162.最佳实践
一家公司有一个应用程序部署在应用程序负载平衡器(ALB)后面的AmazonEC2实例上,这些实例是“自动缩放”组的一部分,应用程序具有不可预测的工作负载,并且经常向外扩展和向内扩展,该公司的开发团队希望分析应用程序日志,以找到提高应用程序性能的方法。但是,实例放大后,日志不再可用,哪种解决方案将使开发团队能够在扩展事件后查看应用程序日志?
解决方案:
配置EC2实例,使用统一的CloudWatch代理将日志发布到AmazonCloudWatch日志。
163.最佳实践
一家使用AWS组织的公司正在创建几个新的AWS帐户。该公司正在建立控制措施,将AWS成本适当分配给业务部门,公司必须实施一个解决方案,以确保所有资源都包含一个标签,该标签具有costcenter键和来自预定义业务单元列表的值。每次资源标记不符合这些条件时,解决方案都必须发送通知,解决方案不能阻止资源的创建,哪种解决方案能够以最少的运营开销满足这些要求?
解决方案:
创建一个组织标记策略,确保所有资源都具有具有有效业务单位值的costcenter标记。当标签不符合时,不要选择阻止操作的选项,创建一个Amazon EventBridge (AmazonCloudWatch Events)规则,用于监视所有事件中的不符合标记策略。配置规则以通过Amazon简单通知服务(Amazon SNS)发送通知。
164.最佳实践
一家公司在其AWS组织的内部运营一组服务器,并在其组织中运营一组Amazon EC2实例。该公司的AWS账户包含数百个VPC,该公司希望将其AWS帐户连接到其内部网络,AWS站点到站点VPN连接已建立到单个AWS帐户。该公司希望控制哪些VPC可以与其他VPC通信,哪种步骤组合将以最少的操作努力实现这一控制水平?
解决方案:
-在AWS账户中创建传输网关,使用AWS资源访
问管理器(AWS RAM)跨帐户共享传输网关。
-配置所有VPN和VPN的附件。(待确认)
-设置中转网关路由表将VPN和VPN与路由表
相关联。
165.最佳实践
一家公司使用AWS组织来管理其AWS账户,该公司需要列出其所有未充分利用CPU或内存的Amazon EC2实例。该公司还需要有关如何缩小这些未充分利用的实例的建议,哪种解决方案将以最少的努力满足这些要求?
解决方案:
使用AWS Systems Manager在所有EC2实例上安装Amazon CloudWatch代理,从组织管理账户中的AWS Cost Explorer检索资源优化建议,使用建议缩小组织所有客户中未充分利用的实例。
166.最佳实践
一家公司的解决方案架构师需要为托管在VPC中的Amazon EC2 Windows实例的用户提供安全的远程桌面连接。该解决方案必须将集中用户管理与公司的本地Active Directory集成,与VPC的连接通过互联网,该公司的硬件可用于建立AWS站点到站点VPN,哪种解决方案最经济有效地满足这些要求?
解决方案:
在本地环境和目标VPN之间实施VPN确保目标实例通过VPN连接加入本地Active Directory域,通过VPN配置RDP访问,从公司网络连接到目标实例。
167.最佳实践
一家公司希望在其内部基础设施和AWS之间建立专用连接,该公司正在为其帐户VPC建立1 GbpsAWS直连连接,该架构包括一个传输网关和一个直连网关,用于连接多个VPC和内部基础设施。该公司必须通过传输VIF连接到VPC资源直接连接,哪些步骤组合将满足这些要求?
解决方案:
-通过中转VIF播发本地网络前缀。
-通过转接VIF将VPC前缀从Direct Connect网关播发到本地网络。
2023/12/17
168.最佳实践
一家金融服务公司在经营场所内的工作量受到高度监管,该公司正试图通过改用基于微服务的容器架构来实现其整体核心支付应用程序的现代化,该公司正在等待监管部门批准在AWS上运行此工作负载与此同时,该公司希望开始在本地部署容器化应用程序。解决方案架构师需要设计一个解决方案,使公司能够运行和更新现有和新的工作负载,即使公司失去了与AWS地区的网络连接,哪种解决方案可以满足这些要求?
解决方案:
在公司管理的基础设施上安装Amazon EKSDistro,在AWS上的Amazon EKS Anywhere集群中注册本地服务器或VM,在集群上启动工作负载的容器。
解析:
EKS-D可自行安装和管理.您可以在本地,云中或自己的系统上运行EKS-D。EKS-D提供了一条路径,可以让您在需要运行的任何地方运行基本相同的AmazonEKS-Kubernetes发行版。
169.最佳实践
一个公司的交互式web应用程序使用AmazonCloudFront发行版来提供AmazonS3存储桶中的图像。有时,第三方工具会将损坏的图像摄取到S3存储桶中,此图像损坏会导致稍后应用程序中的用户体验不佳。该公司已经成功实现并测试了Python逻辑,以检测损坏的图像,解决方案架构师必须推荐一种解决方案,以在摄取和服务之间的最小延迟集成检测逻辑。哪种解决方案可以满足这些要求?
解决方案:
使用Lambda@Edge由源响应事件调用的函数。
170.Pinpoint和Connect
以最少的持续运营开销满足公司要求并发送双向体验调查的解决方案是使用Amazon Connect取代旧的呼叫中心硬件,并使用Amazon Pinpoint向客户发送短信调查。Amazon Connect是一种完全管理的、基于云的联络中心服务,易于设置和配置,而Amazon Pinpoint可用于发送短信调查和收集回复。通过使用这些服务,该公司可以将运行和维护呼叫中心硬件和调查系统的运营开销转移到AWS。
171.最佳实践
一家公司为其每个工程团队在AWS组织中创建了OU。每个OU拥有多个AWS帐户,该组织拥有数百个AWS帐户,解决方案架构师必须设计一个解决方案,以便每个OU可以查看其AWS帐户的使用成本明细。哪种解决方案满足这些要求?
解决方案:
从AWS组织管理账户创建AWS成本和使用报告(CUR),允许每个团队通过AmazonQuickSight仪表板可视化CUR。
172.组织的管理帐户
在组织的管理帐户中配置AWS预算,并配置按应用程序、环境和所有者分组的预算警报。将每个业务部门添加到每个警报的亚马逊SNS主题中。使用组织管理帐户中的成本资源管理器为每个业务单元创建月度报告。此选项最具成本效益,因为它利用组织的管理帐户为组织中的所有账户设置预算和配置警报,而不必在每个帐户中单独配置预算和警报。此外,在管理帐户中使用成本资源管理器可以让云治理团队查看组织中所有帐户的合并支出,并为每个业务单元创建报告。这样就不需要访问每个单独的帐户来查看成本和创建报告。选项A不是最具成本效益的解决方案,因为它需要在多个帐户中配置预算和报告,这增加了管理每个业务单元的云支出的复杂性和成本。选项C不是最具成本效益的解决方案,因为它要求云治理团队访问每个账户中的AWS计费和成本管理仪表板,为每个业务单元创建月度报告,这增加了管理每个业务单元云支出的复杂性和成本。选项D不是最具成本效益的解决方案,因为它需要创建一个AWSLambda函数来处理AWS成本和使用情况报告,这增加了管理每个业务单元的云支出的复杂性和成本。
173.最佳实践
一家公司正在人工创建的VPC中运行其AWS解决方案,该公司正在使用AWSCloudFormation来提供基础设施的其他部分,根据一项新要求,该公司必须以自动方式管理所有基础设施,公司应该做些什么来以最少的努力满足这一新要求?
解决方案:
创建一个新的CloudFormation模板,严格规定现有VPC资源和配置,从CloudFormation控制台,通过导入现有资源创建新堆栈。
174.最佳实践
一家公司需要从一个中心位置为多个部门创建和管理多个AWS帐户,安全团队需要从自己的AWS帐户对所有帐户进行只读访问.该公司正在使用AWS组织,并为安全团队创建了一个帐户。解决方案架构师应该如何满足这些要求?
解决方案:
错误:使用OrganizationAccountAccessRoleIAM角色在每个成员账户中创建具有只读访问权限的新IAM策略,在每个成员账户中的IAM策略与安全账户之间建立信任关系,请安全团队使用|AM策略获取访问权限。
正确:使用OrganizationAccountAccessRoleIAM角色在每个成员账户中创建具有只读访问权限的新IAM角色,在每个成员帐户中的IAM角色与安全账户之间建立信任关系。要求安全团队使用IAM角色获得访问权限。
175.最佳实践
一家公司使用Amazon EC2实例来运行业务关键型应用程序,运行在EC2实例上的软件最近使Amazon GuardDuty为该公司的一些环境生成了PenTest:S3/KaliLinux查找结果,该公司希望阻止该软件再次运行,该公司正在使用AWS组织来管理其AWS账户。解决方案架构师应该如何满足这些需求?
解决方案:
配置Amazon Inspector以检查EC2实例中的禁用软件,并在识别软件时发送Amazon简单通知服务(AmazonSNS)通知,创建一个AWS Lambda函数,停止EC2实例并通知公司。将Lambda函数订阅到SNS主题。
176.最佳实践
一家公司拥有物联网传感器,用于监控整个大城市的交通模式,该公司希望从传感器读取和收集数据,并对数据进行聚合。解决方案架构师设计了一个解决方案,其中物联网设备流式传输到AmazonKinesis数据流,几个应用程序正在从流中读取数据。然而,几个消费者遇到了节流问题,并且定期遇到ReadProvisionedThroughputExceeded错误,解决方案架构师应该采取哪些措施来解决此问题?
解决方案:
-重新硬化流以增加流中碎片的数量。
-使用具有增强扇出功能的消费者。
-在使用者逻辑中使用错误重试和指数回退机
制。
解析:
要解决Amazon Kinesis数据流场景中的节流和ReadProvisionedThroughputExceeded错误问题,解决方案架构师应采取以不操作:1。A.重新硬盘流以增加流中的碎片数量:通过增加碎片数量,可以提高流的整体吞吐量,允许更多并发消费者从流中读取而不受限制。2.C.使用具有增强扇出功能的消费者:增强扇出允许多个消费者同时从同一个碎片读取,而不受碎片读取容量的限制。这有助于分配负载并减少节流的机会。3.E.在使用者逻辑中使用错误重试和指数退避机制:在使用者逻辑中将错误重试机制与指数退避相结合将有助于优雅地处理节流错误。当发ReadProvisionedThroughputExceeded错误时,使用者可以在一定的延迟后重试读取操作,逐渐增加重试之间的延迟,以避免系统不堪重负。
177.最佳实践
一家公司托管一个应用程序,该应用程序在应用程序负载平衡器(ALB)后面的自动缩放组中使用多个Amazon EC2实例。在EC2实例的初始启动期间,EC2实例运行用户数据脚本,从AmazonS3存储桶下载应用程序的关键内容。EC2实例正在正确启动.然而,一段时间后,EC2实例会终止,并显示以下错误消息:“一个实例因ELB系统健康检查失败而停止服务。”EC2实例继续启动并终止,因为无休止循环中的自动缩放事件,最近对部署的唯一更改是,该公司向S3存储桶添加了大量关键内容。该公司不希望在生产中更改用户数据脚本,解决方案架构师应该做什么才能成功部署生产环境?
解决方案:
增加自动缩放组的健康检查宽限期。
178.最佳实践
一个解决方案架构师部署了一个web应用程序,该应用程序在一个自定义域下为两个AWS区域的用户提供服务。该应用程序使用Amazon Route53基于延迟的路由,解决方案架构师将加权记录集与每个区域的独立可用性区域中的一对web服务器相关联。解决方案架构师运行灾难恢复场景,当一个区域中的所有web服务器都停止时,路线53不会自动将用户重定向到其他区域,以下哪项可能是此问题的根本原因?
解决方案:
-对于与停止web服务器的区域中的域关联的延迟别名资源记录集,未启用评估目标运行状况的设置。
-尚未为与停止的web服务器关联的一个或多个加权资源记录集设置HTTP运行状况检查。
解析:
“评估目标运行状况”未设置为“是”,或者没有与原始区域中的目标关联的运行状况检查。
179.最佳实践
一家公司在一组Amazon EC2实例上运行一个应用程序,这些实例位于面向互联网的应用程序负载平衡器(ALB)后面的私有子网中。ALB是AmazonCloudFront发行版的起源,包含各种AWS管理规则的AWS WAF web ACL与CloudFront发行版相关联。该公司需要一种解决方案,防止互联网流量直接访问ALB,哪种解决方案能够以最少的运营开销满足这些要求?
解决方案:
向ALB添加安全组规则,以允许来自AWS管理前缀列表的流量仅用于CloudFront。
180.最佳实践
一家公司正在运行一个应用程序,该应用程序使用AmazonElastiCachc for Rcdis集群作为缓存层最近的安全审计显示,该公司已为ElastiCache配置了静态加密。然而,该公司没有将ElastiCache配置为在传输过程中使用加密。此外,用户可以在不进行身份验证的情况下访问缓存,解决方案架构师必须进行更改以要求用户身份验证,并确保公司使用端到端加密,哪种解决方案可以满足这些要求?
解决方案:
创建AUTH令牌, 将令牌存储在AWS SecretsManager中,配置现有集群以使用AUTH令牌,并在传输过程中配置加密。更新应用程序以在必要时从Secrets Manager检索AUTH令牌,并使用AUTH令牌进行身份验证。
解析:
要在现有Redis服务器上启用身份验证,请调用ModifyReplicationGroup API操作。调用ModifyReplicationGroup,使用--auth token参数作为新令牌,并使用值ROTATE的--auth令牌更新策略。修改完成后,集群除了支持无需身份验证的连接外,还支持auth tokne参数中指定的auth令牌。只有启用了传输中加密(TLS)的Redis服务器才支持启用身份验证。
181.最佳实践
一家公司的环境只有一个AWS帐户,一位解决方案架构师正在审查环境,以建议公司可以在访问AWS管理控制台方面具体改进哪些方面。公司的IT支持人员目前可以访问控制台执行管理任务,并与已映射到其工作角色的IAM用户进行身份验证。IT支持人员不再希望维护其Active Directory和IAM用户帐户,他们希望能够使用现有的Active Directory凭据访问控制台,解决方案架构师正在使用AWS单点登录(AWSSSO)来实现此功能。哪种解决方案最经济有效地满足这些要求?
解决方案:
在AWS组织中创建组织,打开组织的所有功能。创建并配置AD连接器以连接到公司的本地Active Directory,配置AWSSSO并选择AD连接器作为标识源,创建权限集并将其映射到公司ActiveDirectory中的现有组。
解析:
在设置AWSSSO之前,您必须:首先设置AWS组织服务并启用所有功能。有关此设置的更多信息,请参阅《AWS组织用户指南》中的“启用组织中的所有功能”。
182.最佳实践
一家公司有一个对公司业务至关重要的传统单片应用程序,该公司将该应用程序托管在运行Amazon Linux2的Amazon EC2实例上,该公司的应用程序团队收到法律部门的指令,将该实例的加密Amazon Elastic Block Store (Amazon EBS)卷中的数据备份到AmazonS3存储桶中应用程序团队没有实例的管理SSH密钥对。应用程序必须继续为用户服务,哪个解决方案可以满足这些要求?
解决方案:
将具有写入Amazon S3权限的角色附加到实例。使用AWS Systems Manager会话管理器选项访问实例并运行命令将数据复制到Amazon S3。
183.最佳实践
一家拥有多个AWS帐户的公司正在使用AWS组织,公司的合规团队已经在公司部署的每个VPC中部署了一个安全工具。这些安全工具在EC2实例上运行,并将信息发送到专门用于合规团队的AWS账户,公司已经用“costCenter”键和值或“合规”标记了所有与合规相关的资源。公司希望识别在EC2实例上运行的安全工具的成本,以便公司可以向合规团队的AWS帐户收费,成本计算必须尽可能准确。解决方案架构师应该如何满足这些要求?
解决方案:
在组织的管理帐户中,激活costCenter用户定义的标记。配置每月的AWS成本和使用报告以保存到管理帐户中的Amazon S3存储桶,使用报告中的标记细分来获取costCenter标记资源的总成本。
184.最佳实践
一家公司创建了一个AmazonCloudFront发行版,以两个AmazonS3存储桶为源。该公司发现,两个S3存储桶中的对象都可以公开访问,第一个S3存储桶的理想状态是允许通过CloudFront和其他具有适当权限的AWS资源进行访问,除S3存储桶所有者外,第二个S3存储桶中的对象只能通过CloudFront访问。解决方案架构师应该如何配置对存储桶的访问以满足这些需求?
解决方案:
为每个S3存储桶的CloudFront分发创建单独的源访问标识(0AI)。为第一个S3存储桶创建S3存储桶策略,允许访问适当的AWS资源和作为主体的0AI为第二个S3存储池创建S3buckct策略,允许作为主体访问适当的OAI。
185.最佳实践
一家公司使用内部数据分析平台,该系统在公司数据中心的12台服务器上以完全冗余的配置高度可用。除了用户的一次性请求外,系统还每小时和每天运行计划作业,计划的作业可能需要20分钟到2小时才能完成运行,并且具有严格的SLA。计划的作业占系统使用量的65%,用户作业通常在5分钟内完成运行,并且没有SLA。用户作业占系统使用量的35%,在系统故障期间,计划的作业必须继续满足SLA。但是,用户作业可能会延迟,解决方案架构师需要将系统迁移到AmazonEC2实例,并采用基于消费的模型来降低成本,而无需长期承诺。解决方案必须保持高可用性,并且不得影响SLA,哪种解决方案最经济有效地满足这些要求?
解决方案:
在所选AWS区域的三个可用区域中拆分12个实例。在每个可用区域中运行三个实例,作为具有容量预留的按需实例,在每个可用区域中运行一个实例作为Spot实例。
解析:
解决方案满足了维护高可用性、满足计划作业的SLA以及使用基于消耗的模型降低成本的要求。通过将12个实例拆分到三个可用性区域,系统可以在出现故障时保持高可用性和资源可用性。选项D还使用带容量保留的随需应变实例和现场实例的组合,这允许在具有保证容量的随需需求实例上运行计划作业,同时还利用现场实例为SLA要求较低的用户作业节省的成本。
186.最佳实践
使用AWS组织的公司允许开发人员在AWS上进行实验,作为该公司部署的登陆区的一部分,开发人员使用其公司的电子邮件地址请求帐户。该公司希望确保开发人员不会推出昂贵的服务或不必要地运行服务,该公司必须给开发者一个固定的月度预算,以限制AWS成本。哪些步骤组合将满足这些要求?
解决方案:
-使用AWS预算为每个开发人员的帐户创建固定的月度预算,作为帐户创建过程的一部分。
-创建SCP以拒绝访问昂贵的服务和组件将SCP应用于开发者帐户。
-创建AWS Budgets警报操作,以在达到预算金额时发送亚马逊简单通知服务(Amazon SNS)通知,调用AWSLambda函数以终止所有服务。
解析:
SCP在限制方面比跨账户使用IAM更有效。第一句话“使用AWS组织的公司….”当他们被授予对AWS组织的访问权限时,您将希望为:OrganizationAccountAccessRole设置SCP。是的,您可以“创建”一个专门针对开发人员的新IAM角色,但您可以只为开发人员完成工作所需的内容创建SCP。
187.最佳实践
一家公司正在AWS云中运行一个web应用程序,该应用程序由在一组AmazonEC2实例上创建的动态内容组成。EC2实例在自动缩放组中运行,该组被配置为应用程序负载平衡器(ALB)的目标组。该公司正在使用Amazon CloudFront分发版在全球分发该应用程序。CloudFront分发使用ALB作为源,该公司使用亚马逊路由53进行DNS,并创建了www.example的A记录。com的CloudFront发行版.解决方案架构师必须配置应用程序,使其具有高可用性和容错性,哪种解决方案满足这些要求?
解决方案:
在不同的AWS区域中提供ALB.自动缩放组和EC2实例。更新CloudFront分发,并为新ALB创建第二个源,为两个原点创建原点组,将一个原点配置为主原点,一个原点作为辅助原点。
188.最佳实践
一家公司最近在AWS上部署了一个应用程序,该应用程序使用Amazon DynamoDB。该公司测量了应用程序负载,并在DynamoDB表上配置了RCU和WCU,以匹配预期峰值负载,高峰负荷每周出现一次,持续4小时,是平均负荷的两倍,应用程序负载接近本周其余时间的平均负载,访问模式包括对表的写入比对表的读取多得多。解决方案架构师需要实现一个解决方案,以最小化表的成本,哪种解决方案可以满足这些要求?
解决方案:
使用AWS应用程序自动缩放在高峰时段增加容量,购买预留的RCU和WCU以匹配平均负载。
189.最佳实践
一家公司使用AWS CloudFormation模板将Amazon弹性容器服务(Amazon ECS)服务部署到生产环境中,该模板包括一个AmazonS3存储桶,该存储桶使用CloudFormation堆栈名称的公共前缀进行命名。该公司使用相同的模板为开发和持续集成创建临时环境,开发人员可以成功创建环境,但当他们尝试删除环境时,会收到来自CloudFormation的错误。作为开发和测试过程的一部分,开发人员通常需要删除和重新创建同名堆栈,解决方案架构师应采取哪些步骤组合来修改解决方案以解决此问题?
解决方案:
-将AWS Lambda函数与CloudFormation自定义资源相关联,以删除给定S3存储桶中存在的所有密钥,将此自定义资源作为应用程序CloudFormation模板的一部分实现。
-确保CloudFormation操作由对bucket中的所有对象具有s3:DeleteObject权限的角色调用。
190.最佳实践
一家公司在专有网络中的AWS上托管图像处理服务,专有网络扩展到两个可用区域,每个可用性区域包含一个公用子网和一个专用子网。该服务在私有子网中的AmazonEC2实例上运行,公共子网中的应用程序负载平衡器位于服务前面。该服务需要通过两个NAT网关与互联网通信,该服务使用AmazonS3进行图像存储,EC2实例每天从S3存储桶中检索大约1TB的数据,该公司已将该服务宣传为高度安全,解决方案架构师必须尽可能减少云支出,而不损害服务的安全态势或增加持续运营所花费的时间。哪种解决方案可以满足这些要求?
解决方案:
在VPC中设置S3网关VPC端点,将端点策略附加到端点,以允许对S3存储桶执行所需的操作。
191.最佳实践
一家健康保险公司将个人身份信息(PII)存储在Amazon S3存储桶中,该公司使用服务器端加密和S3管理的加密密钥(SSE-S3)来加密对象。根据一项新的要求,S3存储桶中的所有当前和未来对象必须由公司安全团队管理的密钥加密,S3存储桶未启用版本控制。哪种解决方案可以满足这些要求?
解决方案:
在S3bucket属性中,使用AWS KMS管理的加密密钥(SSE-KMS)将默认加密更改为服务器端加密,设置S3存储桶策略以拒绝未加密的PutObject请求。使用AWSCLI重新上载S3存储桶中的所有对象。
192.最佳实践
一家公司将数据存储在几个AmazonDynamoDB表中,解决方案架构师必须使用无服务器架构,通过HTTPS上的简单API公开访问数据。解决方案必须根据需求自动扩展,哪些解决方案满足这些要求?
解决方案:
-创建Amazon API网关REST API,使用APIGateway的AWS集成类型配置此API,并将其直接集成到DynamoDB。
-Crcatc是AmazonAPI网关HTTPAPI,通过与AWS Lambda函数的集成来配置此API,这些函数从DynamoDB表中返回数据。
解析:
API网关REST API可以直接调用DynamoDB。选项B:HTTPAPI目前不支持与DynamoDB的集成,因此此解决方案将不起作用。选项D:AWS全球加速器和AWSLambda@Edge,两者都涉及基础设施管理。选项E:NLB不满足作为服务器的要求。
193.最佳实践
一家公司的工厂和自动化应用程序在一个VPC中运行.超过20个应用程序运行在AmazonEC2。Amazon弹性容器服务(Amazon ECS)和Amazon RDS的组合上,公司需要确定每个应用程序或团队每月AWS账单上的费用,公司还必须能够创建报告,比较过去12个月的成本,并帮助预测未来12个月内的成本,解决方案架构师必须推荐提供这些成本报告的AWS计费和成本管理解决方案。哪种行动组合将满足这些要求?
-激活表示应用程序和团队的用户定义成本分配标记。
-在“计费和成本管理”中为每个应用程序创建一个成本类别。
-启用成本管理器。
解析:
创建并应用用户定义的标签后,您可以激活它们进行成本分配C:我认为关键在于请求中:“公司需要确定每个应用程序或团队每月AWS账单上的哪些成本”F:您可以使用主图.cost Explorer成本和使用报告或cost Explorer RI报告来探究您的使用情况和成本,您可以查看过去12个月的数据,预测未来12个月可能会花费多少。
194.最佳实践
应用程序负载平衡器后面的自动缩放组.应用程序上的负载在一天中变化,EC2实例定期按比例放大和缩小,EC2实例的日志文件每15分钟复制一次到中央AmazonS3存储桶,安全团队发现一些终止的EC2实例中缺少日志文件,哪一组操作将确保日志文件从终止的EC2实例复制到中央S3存储桶?
解决方案:
使用脚本创建AWS Systems Manager文档,将日志文件复制到AmazonS3.创建自动缩放生命周期挂钩和Amazon EventBridge(Amazon CloudWatch Events)规则,以检测自动缩放组中的生命周期事件,在自动缩放:EC2_INSTANCE_TERMINATING转换上调用AWSLambda函数,以调用AWSSystems Manager API SendCommand操作来运行文档以复制日志文件,并将CONTINUE发送到自动缩放组以终止实例。
195.最佳实践
一家公司在AWS组织中有一个拥有大量AWS账户的组织,其中一个AWS账户被指定为中转帐户,并具有与所有其他AWS帐户共享的中转网关。AWS站点到站点VPN连接在公司的所有全球办事处和中转帐户之间配置,该公司已在其所有账户上实施AWS配置,该公司的网络团队需要集中管理属于全球办事处的内部IP地址范围列表。开发人员将参考此列表以安全地访问其应用程序,哪种解决方案以最少的运营开销满足这些要求?
解决方案:
在中转帐户中,创建包含所有内部IP地址范围的VPC前缀列表,使用AWS资源访问管理*与所有其他帐户共享前缀列表使用打鼾前缀列表配置其他帐户中的安全组规则。
解析:
客户管理的前缀列表-您定义和管理的IP地址范围集,您可以与其他AWS账户共享前缀列表,使这些帐户能够在自己的资源中引用前缀列表。
196.最佳实践
Q99一家公司计划在AWS上托管一个web应用程序,并希望在一组Amazon EC2实例之间实现流量的负载平衡。安全要求之一是在客户端和web服务器之间实现端到端加密,哪种解决方案可以满足这一要求?
解决方案:
将EC2实例放在应用程序负载平衡器(ALB)后面.使用AWS证书管理器(ACM)提供SSL证书,并将SSL证书与ALB相关联。提供第三方SSL证书并将其安装在每个EC2实例上,配置ALB以侦听端口443并将流量转发到实例上的端口443。
197.最佳实践
—家公司有50个AWS帐户,这些帐户是AWS组织中某个组织的成员.每个帐户包含多个VPC。该公司希望使用AWS Transit Gateway在每个成员帐户中的VPN之间建立连接,每次创建新的成员帐户时,公司都希望自动化创建新VPC和传输网关附件的过程,哪些步骤组合将满足这些要求?
解决方案:
在管理帐户中,使用AWS资源访问管理器与成员帐户共享传输网关。
198.最佳实践
一家公司需要为其服务器实施补丁程序,本地服务器和AmazonEC2实例使用各种工具来执行修补。管理需要显示所有服务器和实例的修补程序状态的单个报告,解决方案架构师应该采取哪些措施来满足这些需求?
解决方案:
使用AWSSystems Manager管理本地服务器和EC2实例上的修补程序,使用SystemsManager生成修补程序符合性报告。
199.最佳实践
一家公司希望将一个应用程序从运行在本地数据中心的VMwareInfrastructure迁移到Amazon EC2,解决方案架构师必须在迁移期间保留软件和配置设置。解决方案架构师应该如何满足这些需求?
解决方案:
使用VMwarevSphere客户端以开放可视化格式(OVF)格式将应用程序导出为图像,创建一个AmazonS3存储桶,将图像存储在目标AWS区域中,为VM导入创建并应用IAM角色,使用AWSCLI运行EC2 import命令。
200.最佳实践
一家公司有许多AWS账户,并使用AWS组织来管理所有账户,解决方案架构师必须实现一个解决方案,公司可以使用该解决方案跨多个客户共享一个公共网络。该公司的基础设施团队有一个专用的基础设施帐户,该账户具有VPC.基础架构团队必须使用此帐户管理网络个人账户无法管理自己的网络。但是,个人帐户必须能够在子网内创建AWS资源,解决方案架构师应该执行哪些行动组合来满足这些需求?
-启用AWS组织管理帐户的资源共享
-在基础架构帐户中的AWS资源访问管理器中创建资源共享选择将使用共享网络的特定AWS组织OU选择要与资源共享关联的每个子网
解析:
需要步骤B,因为它使组织能够跨帐户共享资源。需要步骤D,因为它允许基础结构帐户与组织中的其他帐户共享特定的子网,这样其他帐户就可以在这些子网中创建资源,而不必管理自己的网络。
201.最佳实践
一家初创公司使用最新的AmazonLinux2AMI在私有子网中托管了一批AmazonEC2实例,该公司的工程师严重依赖SSH访问实例进行故障排除。
公司现有的架构包括:
-具有私有和公共子网的VPC,以及NAT网关。
-用于与本地环境连接的站点到站点VPN。
-具有从本地环境直接SSH访问的EC2安全组公司需要加强对SSH访问的安全控制,并对工程师执行的命令进行审计。
解决方案架构师应该使用哪种策略?
解决方案:
使用附加的AmazonSSMManagedInstanceCore管理策略创建IAM角色将IAM角色附加到所有EC2实例删除附加到EC2实例的允许端口22上入站TCP的所有安全组规则。
让工程师为其设备安装AWSSystems Manager会话管理器插件,并使用来自系统的启动会话API调用远程访问实例经理。
解析:
审计是在SSM级别上进行的,不需要密钥或SG使用SSM插件或AWSCLI来允许连接。
202.最佳实践
公司需要构建一个混合DNS解决方案,此解决方案将为域cloud.example使用Amazon Route 53专用托管区域.com中存储的资源,
该公司具有以下DNS解析要求:
-本地系统应能够解析并连接到cloud.example.com。
-所有VPC都应该能够解析cloud.example.com,在内部企业网络和AWS Transit Gateway之间已经有AWS Direct Connect连接。
公司应该使用哪种架构来满足这些要求并获得最高的性能?
解决方案:
将专用托管区域与所有VPC相关联,在共享服务VPC中创建Route53入站解析器,将所有VPN连接到传输网关,并在本地DNS服务器中创建转发规则,例如云.com,指向入站解析器。
203.最佳实践
一家公司正在使用AWS组织来管理多个AWS帐户,出于安全目的,该公司需要创建一个亚马逊简单通知服务(Amazon SNS)主题,该主题能够与所有组织成员帐户中的第三方警报系统集成。解决方案架构师使用AWS CloudFormation模板创建SNS主题和堆栈集,以自动部署CloudFormation攻击,已在组织中启用受信任的访问,解决方案架构师应该如何在所有AWS帐户中部署CloudFormation StackSet?
解决方案:
在组织主账户中创建堆栈.使用服务管理权限,设置要部署到组织的部署选项,启用CloudFormation StackSet自动部署。
204.最佳实践
一位安全工程师确定,现有应用程序从Amazon S3中的加密文件中检索Amazon RDSforMySQL数据库的凭据,对于该应用程序的下一个版本,安全工程师希望实现以下应用程序设计更改,以提高安全性:数据库必须使用强,存储在安全AWS托管服务中的随机生成的密码。
-应用程序资源必须通过AWSCloudFormation部署。
-应用必须每90天轮换一次数据库的凭据。
解决方案架构师将生成CloudFormation模板以部署应用程序,CloudFormation中指定的资源将满足安全工程师的要求最低运营开销的要求?
解决方案:
使用AWS Secrets Manager将数据库密码作为机密资源生成,创建一个AWSLambda函数资源来轮换数据库密码,指定Secrets管理器RotationSchedule资源来每90天轮换一次数据库密码。
205.最佳实践
—家公司基于部署在AWS CloudFormation堆栈中的AWSLambda构建了一个应用程序,该web应用程序的最后一个生产版本引入了一个问题,导致持续几分钟的停机,解决方案架构师必须调整部署过程以支持金丝雀版本,哪个解决方案能够满足这些要求?
解决方案:
为每个新部署的Lambda函数版本创建别名,使用AWS CLI update alias命令和routingconfig参数来分配负载。
206.最佳实践
一家公司使用AWS组织和一个名为Production的OU来管理多个帐户,所有帐户都是生产OU的成员,管理员使用组织根目录中的拒绝列表SCP来管理对受限服务的访问,该公司最近收购了一个新的业务部门,并邀请新部门现有的AWS账户加入该组织。新业务部门的管理员一旦入职,就发现他们无法更新现有的AWS配置规则以满足公司的政策,哪个选项允许管理员进行更改并继续执行当前策略而不引入额外的长期维护?
解决方案:
为新账户创建名为Onboarding的临时OU,将SCP应用于登录OU以允许AWS配置操作,将组织的根SCP移动到生产0U。完成AWS配置调整后,将新帐户移至生产OU。
207.最佳实践
一家公司正在使用多个AWS帐户,DNS记录存储在帐户a中Amazon Route 53的专用托管区域中,该公司的应用程序和数据库在帐户B中运行。解决方案架构师将在新的VPC中部署一个双层应用程序,为了简化配置,请使用db.example,亚马逊RDS端点的comCNAME记录集是在亚马逊路由53的专用托管区域中创建的,在部署过程中,应用程序未能启动,故障排除显示db.example.com在Amazon EC2实例上不可解析。解决方案架构师确认在路线53中正确创建了记录集,解决方案架构师应该采取哪种步骤组合来解决此问题?
解决方案:
-创建授权,将帐户A中的私有托管区域与帐户B中的新VPC相关联。
-将帐户B中的新VPC与帐户a中的托管区域关联.删除账户a中关联授权。
208.最佳实践
一家企业公司希望允许其开发者通过AWSMarketplace购买第三方软件,该公司使用AWS组织账户结构,启用了全部功能,并在每个组织单位(OU)中设置了一个服务账户,供采购经理使用,采购团队希望私人市场的管理仅限于某个角色。公司中的用户、组、ROI和帐户管理员应被拒绝访问私人市场管理权限。设计架构以满足这些要求最有效的方法是什么?
解决方案:
在组织中的所有共享服务账户中创建名为采购经理角色的IAM角色将AWSPrivateMarketplaceAdminFullAccess管理策略添加到该角色,创建一个组织根级SCP,以拒绝授予除名为采购经理角色的角色之外的所有人管理私人市场的权限.创建另一个组织根级SCP,以拒绝组织中每个人创建IAM角色(名为采购经理角色)的权限。
209.最佳实践
一家公司在AWS上运行物联网平台,不同位置的物联网传感器将数据发送到公司的节点,jsAPI服务器运行在应用程序负载平衡器后面的AmazonEC2实例上。数据存储在使用4TB通用SSD卷的Amazon RDSMySQL DB实例中,随着时间的推移,该公司在该领域部署的传感器数量有所增加,预计将大幅增长,API服务器持续过载,RDS指标显示高写入延迟。以下哪一个步骤将永久解决问题,并在配置新传感器时实现增长,同时保持该平台的成本效益?
解决方案:
-利用Amazon Kinesis数据流和AWS Lambda获取和处理原始数据。
-重新构建数据库层,以使用AmazonDynamoDB而不是RDS MySQL DB实例。
解析:
利用Amazon Kinesis Data Streams和AWS Lambda接收和处理原始数据将有助于解决API服务器持续过载的问题。通过使用Kinesis,可以实时获取和处理数据,使API服务器能够处理增加的负载。使用Lambda处理数据也有助于提高平台的整体性能和可扩展性。重新构建数据库层以使用AmazonDynamoDB而不是RDSMySQLDB实例将有助于解决高写入延迟的问题。DynamoDB是一个NoSQL数据库,设计用于高性能和可扩展性,非常适合此用例。此外,DynamoDB支持自动缩放,这有助于确保数据库能够处理传感器数量的预期增长。
210.最佳实践
一家公司使用Amazon EC2实例来部署一个网络舰队来托管博客站点,EC2实例位于应用程序负载平衡器(ALB)后面,并配置在自动缩放组中。该网络应用程序将所有博客内容存储在Amazon EFS卷上,该公司最近添加了一项功能,允许博客作者在其帖子中添加视频,吸引了之前用户流量的10倍。在一天的高峰时间,用户在试图到达站点或观看视频时报告缓冲和超时问题,哪种是成本效益高且可扩展的MOST部署,可以解决用户的问题。
解决方案:
配置Amazon CloudFront分发,将分发指向S3存储桶,并将视频从EFS迁移到Amazon S3。
211.最佳实践
一家公司有一个由AmazonCloudFront,Amazon API Gateway和AWS Lambda函数组成的无服务器应用程序。应用程序代码的当前部署过程是创建Lambda函数的新版本号,并运行AWSCLI脚本进行更新,如果新函数版本有错误,另一个CLI脚本通过部署该函数的前一个工作版本来恢复。该公司希望减少部署Lambda函数提供的应用程序逻辑的新版本的时间,并减少发现错误时检测和恢复的时间,如何实现这一点?
解决方案:
使用AWS SAM和内置AWS CodeDeploy部署新的Lambda版本,逐步将流量转移到新版本,并使用流量前和流量后测试功能验证代码.如果触Amazon CloudWatch警报,则回滚。
212.CloudFormationStackSet
一家公司在AWS上拥有其云基础设施,解决方案架构师需要将基础架构定义为代码,该基础设施目前部署在一个AWS地区,该公司的业务扩展计划包括在多个AWS客户的多个地区部署。解决方案架构师应该如何满足这些需求?
解决方案:
使用AWS组织和AWS CloudFormationStackSet,从具有必需的IAM权限的帐户部署CloudFormation模板。
解析:
使用AWS组织和AWS CloudFormation堆栈集。AWS组织允许将多个AWS账户作为一个实体进行管理,AWS CloudFormation StackSets允许在一个组织中的多个帐户和地区创建、更新和删除堆栈。此解决方案允许创建一个可以跨多个账户和地区部署的CloudFormation模板,还允许通过使用管理帐户中的IAM角色和策略来管理不同帐户的访问和权限。选项A和D都使用AWSCloudFormation,但没有考虑多个帐户和区域的管理。选项B使用AWS组织,但不包括CloudFormation StackSets的使用,这对于管理跨多个帐户和地区的部署是必要的。
213.最佳实践
一家零售公司在欧洲拥有一个非本地数据中心,该公司还拥有一个多地区AWS,包括欧洲西部地区和美国东部地区,该公司希望能够将网络流量从其内部基础设施路由到这两个地区的VPN。该公司还需要支持这些地区VPC之间直接路由的流量,网络上不能存在单点故障,该公司已经从其内部数据中心创建了两个1Gbps AWS直连连接。每个连接都会进入欧洲的单独直连位置,以实现高可用性,这两个位置分别命名为DX-A和DX-B,每个区域都有一个AWS TransitGateway,配置为路由该区域内的所有VPC间流量,哪种解决方案可以满足这些要求?
解决方案:
创建从DX-A连接到DirectConnect网关的转接VIF,创建从DX B连接到同—DirectConnect网关中的转接VIF,以实现高可用性。将eu-west-1和us-east-1传输网关与此Direct Connect网关相关联,相互对等传输网关以支持跨区域路由。
解析:
在该解决方案中,将创建两个传输VIF(一个来自DX-A连接,另一个来自DX-B连接)到同一个直连网关,以实现高可用性。然后,eu-west-1和us-east-1传输网关都与此直接连接网关相关联。然后对传输网关进行对等,以支持跨区域路由。该解决方案通过在本地数据中心和欧洲第一和美国第一地区的VPC之间创建高可用连接,并在这些地区的VPCs之间实现直接流量路由,满足了公司的要求。选项A不正确,因为私有VIF不支持VPC间流量和跨区域路由。选项B是不正确的,因为它将两个直接连接分离为单独的直接连接网关,这将无法提供高可用性。选项C不正确,因为它没有提到如何对等传输网关以支持跨区域路由。
214.最佳实践
一家公司正在AWS上构建软件即服务(Saas)解决方案,该公司已在多个AWS地区和同一生产客户中部署了一个具有AWSLambda集成的Amazon API网关REST API。该公司提供分层定价,使客户能够支付每秒进行一定数量API调用的能力。高级层每秒可提供多达3000次呼叫,客户由唯一的API密钥标识,不同地区的几个高级客户报告说,他们在高峰使用时间收到来自多个API方法的429个“太多请求”的错误响应。日志表明从未调用Lambda函数,这些客户出现错误消息的原因可能是什么?
解决方案:
该公司已达到每秒调用次数的API网关账户限制。
215.最佳实践
一家国际快递公司在AWS上拥有一个快递管理系统,驾驶员使用系统上传交付确认。确认包括收件人的签名或包裹与收件人的照片,司机的手持设备通过FTP将签名和照片上传到单个Amazon EC2实例,每个手持设备都会根据登录的用户在目录中保存一个文件,文件名与交付编号相匹配。EC2实例在查询中央数据库以获取交付信息后,将元数据添加到文件中,然后将文件放在AmazonS3中存档.随着公司的扩张,驱动程序报告系统正在拒绝连接由于连接断开和内存问题,FTP服务器出现问题,为了应对这些问题,系统工程师安排一个cron任务,每30分钟重新启动一次EC2实例,计费团队报告文件不总是在存档中,并且中央系统也不总是更新。解决方案架构师需要设计一个最大化可扩展性的解决方案,以确保存档始终接收文件,并始终更新系统。手持设备无法修改,因此公司无法部署新的应用程序。哪种解决方案可以满足这些要求?
解决方案:
使用AWS Transfer Family创建一个FTP服务器,将文件放置在Amazon S3中,通过Amazon Simple notification Service(Amazon SNS)使用S3事件通知来调用AWS Lambda函数,配置Lambda函数以添加元数据并更新交付系统。
解析:
使用AWS Transfer Family创建一个FTP服务器,将文件放置在亚马逊S3中,并通过亚马逊简单通知服务(亚马逊SNS)使用S3事件通知来调用AWSLambda功能,将确保存档始终接收文件,并始终更新中央系统。此解决方案最大限度地提高了可扩展性,并消除了手动干预的需要,例如重新启动EC2实例。选项A和B仍然使用EC2实例,这是问题的根源。选项D需要对手持设备进行修改,这是不可能的。
216.最佳实践
解决方案架构师需要为将存储在新AmazonS3存储桶中的对象实现客户端加密机制,解决方案架构师为此创建了一个存储在AWS密钥管理服务(AWSKMS)中的CMK。解决方案架构师创建了以下IAM策略,并将其附加到IAM角色:在测试期间,解决方案架构师能够成功获取S3存储桶中的现有测试对象。但是,尝试上载新对象会导致错误消息,错误消息指出该操作被禁止,解决方案架构师必须在IAM政策中添加哪些措施以满足所有要求?
解决方案:
kms:生成数据密钥。
217.最佳实践
一家公司在AWS组织中有一个组织,包括多个AWS帐户,每个帐户都有一个VPC.在名为“共享服务”的帐户中,有一个传输网关连接到直接连接网关,该网关提供对公司内部网络的访问。该公司配置了AWS资源访问管理器(AWSRAM),以共享组织中所有帐户的传输网关,该公司已将所有VPC连接到传输网关,以便于彼此之间的路由。该公司将DNS服务器用于本地服务器,在本地和共享服务账户VPC中有一对DNS服务器。该公司发现,该公司在VPC中启动的Amazon EC2实例无法解析私有本地域中的地址。哪种解决方案允许所有VPC中的EC2实例解析本地地址?
解决方案:
在共享服务账户VPC中为本地域定义AmazonRoute 53 Resolver出站端点,配置出站端点以使用本地域的DNS服务器的IP地址,配置AWS资源访问管理器(AWSRAM)以向组织中的所有帐户共享Route53 Resolver规则,将Route 53 Resolver规则与每个VPC相关联。
