[SAA-C03] 문제 유형 91-100 정리

Q91(95)

RDS MySQL DB에 인스턴스 저장

읽기/쓰기 트랙픽 분리 필요

성능 저하 격리, 신속한 최적화

 

Read Replica(읽기 전용 복제본)

-> 읽기 트래픽 분산 가능 

->원본(primary)는 쓰기(write) 전용

 

 

#시험 포인트

Multi‑AZ는 고가용성, Read Replica는 읽기 확장

---

Q92)

Effect: Allow  
Condition: aws:SourceIp = 10.100.100.0/24

 

-> Allow문 : 소스 IP가 10.100.100.0/24인 모든 리소스(*)에 대해 ec2 인스턴스 종료를 허용

 

Effect: Deny  
Condition: StringNotEquals  
aws:RequestedRegion = us-east-1

 

-> Deny문 : ec2 리전이 us-east-1이 아닌 모든 리소스(*)에 대해 ec2의 모든 작업을 불허

 

10.100.100.0/24

-> IP 대역임 

 

"/24"의 의미

-> 앞 24비트가 네트워크, 마지막 8비트가 호스트

-> 즉, 10.100.100.0 ~ 10.100.100.255 (전체범위)

 

고로 이 범위 안에 있는 소스 IP는 us-east-1 리전에서 EC2 인스턴스 종료 가능

 

 

#참고 포인트

/24는 0부터 255까지 (256개 주소)

/16 → 65,536개 주소

/32 → 정확히 하나의 IP

---

Q93)

Windows shared file storage가 필요한

Microsoft SharePoint 배포

Active Directory 통합
Highly available

 

Microsoft SharePoint
-> 문서 관리 및 협업을 위한 Microsoft의 기업용 웹 플랫폼

(Windows 기반, SMB 파일 공유 필요, AD 인증 사용)
Windows shared file storage
-> SMB 프로토콜을 사용하는 파일 공유 스토리지
Active Directory 통합
-> 기존 회사 사용자 계정과 그룹을 사용하여 파일 접근 권한을 관리하는 것

Amazon FSx for Windows File Server
-> AWS가 대신 운영해주는 Windows 파일 서버
// SMB 프로토콜 지원
// Active Directory 통합
// Multi-AZ 고가용성

// 완전관리형

 

 

#시험 포인트

SharePoint는 SMB와 AD를 사용하는 Windows 앱이므로, 고가용성을 위해 FSx for Windows가 필요

---

Q94)

S3 → SQS → Lambda → 이메일 전송
사용자당 이메일이 여러 번 발송됨
원인: Lambda가 같은 SQS 메시지를 여러 번 처리

SQS는 기본적으로:
At-least-once delivery (최소 1회 전달 보장)
-> 즉, 중복 전달 가능

시나리오
1. Lambda가 메시지 읽음
2. 메시지는 visibility timeout 동안 숨김
3. Lambda 처리 시간이 길어짐
4. visibility timeout 만료
5. 메시지가 다시 큐에 나타남
6. Lambda가 또 처리
7. 이메일 두 번 발송

 

-> 해결방법 : visibility timeout을 충분히 길게 설정

// visibility timeout을

function timeout + batch window timeout보다 크게 설정

(가시성 제한 시간 > 함수제한시간 + 일괄처리 창 제한 시간)

 

 

#시험 포인트

SQS 중복 처리 문제는 Visibility Timeout 확인

---

Q95)

공유 스토리지
온프레 데이터센터
Lustre client 사용 필요
Fully managed(완전관리형)

 

Lustre
-> 고성능 분산 파일 시스템 (HPC, 게임, ML 등에서 사용)

// 초고속 병렬 I/O, 대규모 데이터 처리, Linux 기반 클라이언트 사용

 

Amazon FSx for Lustre (Lustre용 FSx)

-> AWS 관리형 Lustre 파일 시스템
-> Lustre 클라이언트 지원
-> 고성능, 완전관리형

 

 

#시험 포인트

Lustre 필요하면 FSx for Lustre

---

Q96)

컨테이너 앱, EC2 인스턴스에서 실행
보안 인증서 다운로드
near real time 암복호화
highly secure
highly available storage
최소 운영 오버헤드

 

AWS KMS -> 관리형 암호화

EC2가 암호화 사용해야 함
→ EC2 IAM Role에 KMS 권한 부여 

암호화 후 저장
// 고가용성 필요, Multi‑AZ 저장
-> Amazon S3

 

 

#시험 포인트

암호화는 KMS, 고가용성 저장은 S3

---

Q97)

Public + Private Subnet
3 AZ 구성 -> 고가용성 설계
Private 서브넷도 인터넷 필요
(EC2 소프트웨어 업데이트 하도록)

 

Private Subnet
-> 인터넷에서 직접 접근되지 않도록 설계된 서브넷

-> Internet Gateway 직접 연결 안 됨

(직접 라우팅 하면 더이상 private 아님)
-> NAT Gateway 필요

(외부로 나갈 수 있고, 외부에서 직접 들어올 수 없음)

 

3 AZ로 고가용성 설계
// NAT 하나만 두면 그 AZ 장애 시
다른 AZ Private Subnet 인터넷 끊김 
-> 각 AZ마다 NAT Gateway 하나씩

 

 

#시험 포인트

Private IPv4 인터넷은 NAT Gateway

---

Q98)
온프레 SFTP 서버
NFS 기반 파일 시스템
200GB 데이터
EC2 + EFS로 이전
자동화 필요

온프레 SFTP 서버
-> 회사 내부 데이터센터에 있는 SFTP 파일 전송 서버
// SFTP = Secure File Transfer Protocol
// SSH 기반 파일 전송
// 사용자들이 파일 업로드/다운로드
// 내부 네트워크에 위치

 

NFS 기반 파일 시스템
-> 네트워크를 통해 파일을 공유하는 Linux 기반 파일 시스템
-> NFS = Network File System
-> 서버가 파일을 네트워크로 공유

 

EFS (Amazon Elastic File System)
-> AWS에서 제공하는 관리형 NFS 파일 시스템

 

AWS DataSync
-> 온프레 파일 시스템을 AWS 스토리지(S3, EFS 등)로 자동 전송하는 서비스

[ On-prem NFS -> AWS DataSync -> EFS (EC2에 마운트) ]

-> DataSync Agent 설치 
// 온프레 쪽에 에이전트 필요
// NFS 소스에 연결

-> DataSync Location 구성
// 온프레 NFS를 소스로 지정
// EFS를 대상으로 지정
// 자동 동기화 가능

 

 

#시험 포인트

NFS → EFS 자동 마이그레이션은 DataSync

---

Q99)

Glue ETL 매일 실행(Extract, Transfrom, Load)
S3에 매일 새 데이터 추가
매번 전체 데이터 재처리
이전 데이터 재처리 방지 필요

 

-> 새 데이터만 처리해야 함

 

Glue Job Bookmark 기능
-> 이전 실행 시 처리한 데이터 상태를 저장하고,
다음 실행 때는 새 데이터만 처리하도록 하는 기능

 

AWS Glue
-> 데이터를 추출, 변환, 적재(ETL)하는 완전관리형 데이터 처리 서비스

// Extract (데이터 가져오기)
Transform (형식 변환/가공)
Load (다른 저장소에 적재)

 

 

#시험 포인트

Glue에서 증분 처리하려면 Job Bookmark
(증분처리 : 새로 추가된 데이터만 처리하는 방식)

---

Q100)
고가용성 인프라

대규모 DDoS 공격 완화 솔루션
(from 수천 개의 IP 주소)
다운타임은 허용되지 않음

 

AWS Shield Advanced
-> L3/L4 DDoS 보호
-> 대규모 공격 대응
-> 자동 완화, 비용 보호

 

CloudFront
-> 트래픽 흡수, 원본(EC2) 보호
// 다운타임 허용 안 함
→ 원본 서버에 직접 트래픽 안 가게 해야 함
→ CloudFront가 1차 방어막

 

(참고. GuardDuty는 위협 탐지 서비스)

 

 

#시험 포인트

대규모 DDoS는 Shield, 다운타임 0은 CloudFront

---

 

(~Q104까지 완료)