kasei_sanのブログ

かせいさんのIT系のおぼえがきです。胡乱の方はnoteとtwitterへ

AWS 認定ソリューションアーキテクト – アソシエイト (新版) 対策メモ

自分が知らなかったAWS用語のおぼえがき

Amazon Redshift

Amazonが提供するデータウェアハウス

データウェアハウス(DWH)とは、意思決定のために、基幹系などの複数システムから、必要なデータを収集し、目的別に再構成して時系列に蓄積した統合データベースで、データ分析や意思決定に役立てます。

Redshift 拡張VPCルーティング

VPCエンドポイントやゲートウェイと接続したい場合に設定する必要がある

Amazon Glacier

アーカイブに最適な低コストのオブジェクトストレージ

  • 耐久性 99.999999999%

アーカイブの取り出しオプション

  • 迅速 : 250 MB 以下のアーカイブ 1〜5 分以内で取得可能
  • 標準 : デフォルト。 3〜5 時間で取得可能
  • 大容量 : 5〜12 時間で取得可能。安い

Vault Lock

ロックを掛けて、以降そのデータの編集を不可能にする仕組み。 コンプライアンス目標を達成しやすくなります とのこと

Amazon S3

PUTできるファイルのサイズ制限は5G

アクセス制限

  • バケットポリシー : IAM、バケット単位で制限
  • アクセス・コントロール・リスト(ACL): AWSアカウント単位で、バケット/オブジェクトのread/writeを制限できる
    • 削除権限の制御はない
  • IAM ポリシー: S3へのAPIアクセスを制限

S3 MFA Delete

オプションでオブジェクトの削除にMFAデバイスによる二段階認証をできるようにする

オプションで有効な機能

  • オブジェクトの暗号化
  • アクセスログの取得
  • オブジェクトのバージョニング

暗号化

KMSを使って、いろいろな方法で暗号化できる

高速化のベストプラクティス

ファイル名の先頭にランダムな文字列を入れると、格納先のパーテーションが分散して、速度が上がる

  • S3はオブジェクトをキー名毎にアルファベット順に、複数のパーテーションに格納している
  • タイムスタンプやアルファベット順のキーを大量に作成すると、特定のパーテーションにアクセスが集中して、速度が低下する

リクエスト率およびリクエストパフォーマンスに関する留意事項 - Amazon Simple Storage Service

古いノウハウになってしまったが、テストではそのままなので残す...

Amazon EBS

AWS KMSを使って、ディスクの暗号化ができる

ボリュームの種類

汎用SSD

価格と性能のバランスが良い

  • 容量: 1G〜16T
  • 最大IOPS: 10,000

プロビジョンドIOPS SSD

スループット&高価

  • 容量: 4G〜16T
  • 最大IOPS: 32,000

スループット最適化HDD

低コスト&低性能 ブートボリュームにはできない

  • 容量: 500G〜16T
  • 最大IOPS 500

スループット最適化HDD

ブートボリュームにはできない

さらに低コスト&低性能

  • 容量: 500G〜16T
  • 最大IOPS 250

Amazon EBS ボリュームの種類 - Amazon Elastic Compute Cloud

Amazon EFS

EC2インスタンスに紐づけできるファイルストレージサービス

Amazon EFSを使ってみた(前編) - 株式会社ネディア

Amazon ECS

タスクのIAMロール

タスクにIAMロールを紐づけることができる

異なるユーザのタスクを1つのクラスタで実行しても、権限のないコンテナやサービスへの接続を制御することができる

AmazonCloudFront

Amazon CloudFront は、静的および動的なウェブコンテンツ (.html、.css、.js、イメージファイルなど) をユーザーに高速に配信するウェブサービスです。

キャッシュを破棄するのに10分ほどかかるので、リアルタイム性が求められるデータには向かない

AWS CodeBuild

CIサービス

AWS CodeDeploy

EC2などのAWSサービスへの自動デプロイサービス

AWS Cloud​Formation

クラウド環境内のすべてのリソースを記述してプロビジョニングするためのツール

  • terraformとよく比較される

AWS STS

AWS Security Token Service

AWS リソースへのアクセスを制御できる一時的セキュリティ認証情報を持つ、信頼されたユーザーを作成および提供することができます。

一時的なIAMを作るようなサービス

Amazon SQS

メッセージキューサービス

Amazon SNS

プッシュサービス、SMSやメールやアプリへのpushができる

Amazon Kinesis

大規模なストリーミングデータを処理するサービス

EC2で直接受けたり、SQSで受けるよりも安く、スケールするらしい

Amazon EMR(Elastic MapReduce)

分散処理基盤

ETL(雑多な情報をデータウェアハウスにまとめる処理)向け

EC2でClusterを作ってくれる(インスタンスタイプと台数を指定できる

Map Reduce とかの分散コンピューティング用の実装が必要

AWS Batch

EMR と違って、分散コンピューティング用の処理は不要

Amazon Aurora

MySQLPostgreSQL と互換性のあるリレーショナルデータベース

  • 最大テーブルサイズは64TiB
  • RDSのテーブルのファイルサイズは最大16TiB

[Amazon RDS]

ポイントインタイムリカバリ

自動バックアップからの復帰のこと

サポートエンジン

PostgreSQLMySQLMariaDBOracleMicrosoft SQL Server

  • DB2は未サポート

AWS Direct Connect

  • インターネットVPN: 安い、遅い、即時に設定可能
  • 専用線: 高い、速い、設置に数週間

Amazon Kinesis

データストリームの処理基板

  • 最大ファイルサイズが1GiB

EC2関係

EBS BackedインスタンスインスタンスストアBackedインスタンス

スポットインスタンス

AWSで余剰したインスタンスを格安で利用できるが、確実に取得できるとは限らないので 問題の用途によっては不適なインスタンスタイプ

料金設定が上限を超えたり、そもそもインスタンスがなくなった時等に強制終了される

  • 2017年までは、1時間以内に強制終了された場合は無料だった。現在は秒課金

Cloud Watch 関係

Amazon EC2 メトリクス

標準メトリクスは以下のとおり

  • CPU クレジット利用数(CPUCreditUsage)
  • CPU クレジット累積数(COUCreditBalance)
  • CPU 利用率(CPUUtilication)
  • 1秒あたりの Disk 読み込み回数(DiskReadOps)
  • 1秒あたりの Disk 書き込み回数(DiskWriteOps)
  • インスタンスストレージの読み取りバイト数(DiskReadBytes)
  • インスタンスストレージの書き込みバイト数(DiskWriteBytes)
  • 受信したバイト数(NetworkIn)
  • 送信したバイト数(networkOut)
  • OS・インフラストラクチャステータスチェックの成功・失敗(StatusCheckFailed)
  • OSステータスチェックの成功・失敗(StatusCheckFailedInstance)
  • インフラステータスチェックの成功・失敗(StatusCheckFailedSystem)

基本モニタリング

無料

ステータスチェック系は1分間隔 他は5分間隔

詳細モニタリング

有料

全て1分間隔でモニタリングできる

Auto Scaling グループ

  • クールダウンタイム: インスタンスが起動してから準備完了になるまでの時間を指定できる
  • 終了ポリシー: 最初に終了するインスタンスを指定できる、作成日が古い/新しいなど

ロードバランシング関係

ELBはマルチリージョン不可

Weighted Round Robin (WRR

Route53の機能。マルチリージョンでロードバランシングするならこっち

設定した割合でラウンドロビンされる

ネットワークACL関係

ネットワークACLとセキュリティグループの違い

ネットワークACL

セキュリティグループ

AWSのネットワークACLとセキュリティグループの違い - プログラマでありたい

0.0.0.0/0 の意味

ワイルドカード

一時ポート(エフェメラルポート)

TCP/IPにて、通信の帰りに特定範囲のポートを使用する ネットワークACLでは、エフェメラルポートのイン/アウトバウンドを許可する必要がある

ネットワーク ACL - Amazon Virtual Private Cloud

VPC関係

VPCエンドポイント

プライベートサブネットから、インターネットを経由せずにS3やRedshiftにアクセスする仕組み

VPCルートテーブルで、S3やRedshiftへアクセスするときのIPアドレスを、VPCエンドポイントに設定する

インターネットを経由しない分、よりセキュアにS3やRedshiftにアクセスできる

プライベート、パブリックサブネット

サブネットのトラフィックがインターネットゲートウェイにルーティングされる場合、そのサブネットはパブリックサブネットと呼ばれます。

インターネットゲートウェイへのルートがないサブネットは、プライベートサブネットと呼ばれます

NATゲートウェイ

プライベートサブネット内のインスタンスから、インターネットに接続するためのゲートウェイ

逆にインターネットからは、プライベートサブネットに接続できない

インターネット側へのトラフィックはNATのIPアドレスになる

インターネットゲートウェイと、NATゲートウェイの違い

NATゲートウェイは、プライベートサブネットとインターネットゲートウェイの仲介をするゲートウェイ

ルートテーブル

コンピュータネットワークにおけるルーティングテーブルとは、ルーターやネットワーク接続されたコンピュータが持つ、個々のネットワークの宛先への経路の一覧を保持しているテーブル状のデータ構造である。