[SAA-C03] 문제 유형 111-120 정리

Q111)

EC2 퍼블릭 서브넷
S3 접근
인터넷 통해 접근 중
이제 인터넷 경유 금지
개인 경로 필요

// 네트워크 트래픽이 인터넷을 통해 전송되지 않도록
-> S3 VPC Gateway Endpoint 사용

EC2를 Private Subnet으로 이동
S3 VPC Endpoint 생성
Private Route Table에 Endpoint 연결


#시험 포인트
S3를 인터넷 없이 쓰려면 VPC Endpoint

---

Q112)

CMS 유지보수 부담
동적 콘텐츠 불필요
연 4회 업데이트
확장성 필요
보안 강화 , 최소 운영

-> 정적 사이트로 전환 가능

S3 정적 웹 호스팅
// 서버 없음, 확장 자동
// 관리 거의 없음, 업데이트 드묾

CloudFront
// HTTPS 지원, CDN 확장
// DDoS 완화, 보안 강화 


#시험 포인트
정적 웹사이트는 S3 + CloudFront

---

Q113)

CloudWatch Logs에 저장된 로그를
거의 실시간으로
OpenSearch Service에 저장해야 함
최소 운영 오버헤드

CloudWatch Logs Subscription
-> 직접 OpenSearch로 구독 스트리밍 가능
-> 거의 실시간 전송 가능
-> 별도 Firehose 불필요
-> 추가 인프라 최소


#시험 포인트
CloudWatch Logs → OpenSearch 실시간 전송은 Subscription이 가장 단순

---

Q114)

여러 AZ EC2
900TB 텍스트 문서
수요 급증 예상
항상 확장 가능
비용 우려

// 900TB + 고확장성 + 비용 최소

Amazon S3
무제한 확장
Multi-AZ 기본 내구성
11 9’s durability
저렴한 스토리지 비용
읽기 트래픽 확장 자동
-> 텍스트 문서 저장에 최적

참고. 11 9’s durability
99.999999999% =  0.99999999999
-> 극히 낮은 데이터 손실률


#시험 포인트
대용량 저비용 저장은 S3

---

Q115)

두 리전 (us-east-1, ap-southeast-2)
여러 계정
API Gateway 보호
SQL Injection / XSS 방어
최소 관리 노력

// 여러 계정 + 여러 리전
중앙에서 관리해야 함

AWS WAF
-> 웹 공격 방어 (SQLi, XSS)
-> Web ACL 설정

AWS Firewall Manager
-> 여러 계정/리전에서 WAF 정책을 중앙 관리

AWS Shield
->DDoS 방어

구조.
Firewall Manager -> WAF 정책 중앙 관리
-> 각 계정/리전 API Gateway 적용


#시험 포인트
멀티 계정 WAF 중앙 관리는 Firewall Manager

---

Q116)

us-west-2 NLB
eu-west-1 NLB 추가
미국 + 유럽 사용자
성능 개선
가용성 개선
모든 EC2로 트래픽 라우팅

// 글로벌 사용자
멀티 리전
네트워크 레벨 트래픽 최적화

AWS Global Accelerator
-> Anycast IP 제공
-> AWS 글로벌 백본 네트워크 사용
-> 가장 가까운 리전으로 자동 라우팅
-> 장애 시 자동 Failover
-> NLB 직접 연결 가능

 

구조.
User -> Global Accelerator (고정 IP)
 -> Endpoint Group (us-west-2 NLB)
 -> Endpoint Group (eu-west-1 NLB)

Anycast IP
-> 전 세계 여러 위치에서 동일한 IP 주소를 사용하는 방식

AWS 글로벌 백본 네트워크 사용
-> 공용 인터넷 대신 AWS의 전용 글로벌 네트워크를 통해 트래픽 전달


#시험 포인트
멀티 리전 NLB 글로벌 트래픽은 Global Accelerator

---

Q117)

RDS Multi‑AZ
현재 암호화 안 됨
스냅샷 존재
앞으로 항상 암호화 필요

// RDS는 생성 후 암호화 활성화 불가
-> 스냅샷 복원 방식 필요

1. 최신 DB 스냅샷 생성
2. 그 스냅샷을 암호화하여 복사
3. 암호화된 스냅샷(으로 새 DB 인스턴스 생성
4. 기존 DB 교체


#시험 포인트
RDS 암호화 전환은 스냅샷 암호화 후 복원

Encrypted Snapshot → Restore

---

Q118) Q122 패스 : 확장 가능한 키 관리 인프라 구축 -> KMS

암호화,복호화로 CPU 한계 도달
성능 개선 필요

// SSL 암,복호화가 EC2 CPU를 많이 사용
-> SSL 처리를 EC2에서 분리하기

 

구조.
1. SSL 인증서를 ACM에 가져오기
2. ALB 생성
3. HTTPS 리스너에서 SSL 종료

SSL 암복호화는 CPU 많이 사용
ALB가 대신 처리 
EC2는 비즈니스 로직만 처리
// CPU 부하 감소

AWS Certificate Manager(ACM)
-> SSL/TLS 인증서를 관리해주는 서비스

HTTPS 리스너에서 종료?
ALB 설정할 때:
Port 443 (HTTPS)
ACM 인증서 연결

1. 사용자가 HTTPS로 접속
2. ALB가 암호 해제(대신 수행)
3. 내부 EC2로는 HTTP로 전달
-> 이게 SSL/TLS termination


#시험 포인트
CPU과부하 -> ALB에서 SSL 종료

---

Q119) Q124 패스 : 상태비저장(statelss), 언제든 시작과 중지 가능한 비용효율적 솔루션 -> 스팟 인스턴스

2-tier 웹

EC2 + RDS

EC2와 RDS는 인터넷에 직접 노출 금지

EC2는 외부 결제 API 호출 필요

고가용성 필요

 

// EC2는 Private

RDS는 Private

ALB는 Public

NAT 필요

Multi-AZ

 

구조.

Internet -> ALB (Public Subnet)

-> EC2 (Private Subnet, ASG)

 -> RDS (Private Subnet, Multi-AZ)

 

// EC2 -> NAT Gateway -> Internet (결제 API)

 

Auto Scaling → 고가용성

EC2 Private Subnet → 직접 노출 방지

RDS Multi-AZ → DB 고가용성

 

두 Public Subnet → ALB Multi-AZ

두 Private Subnet → EC2 + RDS Multi-AZ

두 NAT Gateway → 각 AZ에 NAT (고가용성)

// VPC 구성

ALB는 Public Subnet에 있어야 외부 트래픽 수신 가능

 

 

#시험 포인트

ALB는 Public, EC2/RDS는 Private, NAT는 AZ마다

---

Q120) Q126 패스 : 데이터 25년 보관, 최근 2년 데이터 즉시 접근 필요 -> S3 Standard, Lifecycle -> Glacier Deep Archive (2yrs)
10TB 최대 I/O 성능

// 비디오 처리 워크로드 고속 I/O 대용량 읽기/쓰기 일시적 처리 데이터  

-> 로컬 NVMe Instance Store가 가장 빠름(최대성능)

 

300TB 매우 높은 내구성

-> Amazon S3 

// 11 9’s durability, Multi-AZ, 대규모 저장 적합

 

900TB 아카이브 

-> Amazon S3 Glacier

 

Instance Store 특징
-> EC2에 물리적으로 연결된 로컬 디스크
-> 네트워크 안 거침 (EBS는 네트워크 스토리지)
// 초고속 NVMe 가능
// 인스턴스 종료 시 데이터 유실
// 내구성 없음

 

참고. EBS는 내구성 및 고성능

 

 

#시험 포인트

최대 I/O 성능이 필요하고 데이터가 임시라면 Instance Store가 가장 빠르다

(내구성 언급 있다면 EBS)

---

(~Q127)