当前位置: 游戏平台 > 互联网科技 > 正文

AWS Certified SysOps Administrator Associate 试题 11-20

时间:2019-11-05 23:44来源:互联网科技
当Instagram在2012年加入Facebook,我们快速建立了大量的Facebook基础设施整合点,以加速产品开发,使社区更加安全。一开始我们通过使用ad-hoc端点在Facebookweb服务之间有效传递来构建这些整

当Instagram在2012年加入Facebook,我们快速建立了大量的Facebook基础设施整合点,以加速产品开发,使社区更加安全。一开始我们通过使用ad-hoc端点在Facebook web服务之间有效传递来构建这些整合。不过我们发现这种方式可能稍显笨拙,还限制了我们使用内部的Facebook服务的能力。

前言:本系列题来自网络,出处应该是众多参加AWS认证的考生口口相传的。

2013年四月伊始,我们开始将Instagram的后端从Amazon Web Services(AWS)向Facebook的数据中心大规模迁移。这将缓和与其他内部的Facebook系统整合并允许我们充分利用为管理大规模服务器部署构建的工具。迁移的主要目标是在过渡中保持网站的完整服务,避免影响特性部署,最小化基础设施级别的改变来避免操作的复杂性。

Q11. Which of the following are characteristics of Amazon VPC subnets?

Choose 2 answers

A. Each subnet maps to a single Availability Zone
B. A CIDR block mask of /25 is the smallest range supported
C. Instances in a private subnet can communicate with the internet only if they have an Elastic IP.
D. By default, all subnets can route between each other, whether they are private or public
E. V Each subnet spans at least 2 Availability zones to provide a high-availability environment

Answer: C,E

翻译:
以下哪项是Amazon VPC子网的特征?
选择2个答案

A.每个子网映射到单个可用区域
B. / 25的CIDR块掩码是支持的最小范围
C.私有子网中的实例只能在具有弹性IP的情况下与互联网进行通信。
D.默认情况下,所有子网可以彼此之间路由,无论是私有还是公共
E. V每个子网至少跨越2个可用区域以提供高可用性环境
答:A、D

解析:
参考链接:
PC FAQ https://aws.amazon.com/cn/vpc/faqs/
Amzone VPC和子网 https://docs.aws.amazon.com/zh_cn/AmazonVPC/latest/UserGuide/VPC_Subnets.html
①您的 Amazon Virtual Private Cloud 具有多种连接选择。您可以将 VPC 连接到 Internet、您的数据中心或其他 VPC,具体可依据您希望公开的 AWS 资源和希望保持私密的资源而定。
②最小支持为/28

问:可以创建多大的 VPC?
目前,Amazon VPC 支持五 (5) 个 IP 地址范围,一个 (1) 主要和四 (4) 个次要 IPv4 IP 地址范围。每一个范围的大小都介于 /28 (CIDR 表示法) 和 /16 之间。VPC 的 IP 地址范围不能与现有网络的 IP 地址范围重叠。
对于 IPv6,VPC 使用 /56 的固定大小(CIDR 表示法)。VPC 可以同时有 IPv4 和 IPv6 CIDR 块与其关联。

③私有子网没有EIP的情况下可以通过连接NAT实例连接internet,并且EIP只可以在公有子网中使用(私有子网实例关联的EIP不具有联网功能)。

问:没有公有 IP 地址的实例如何访问 Internet?
没有公有 IP 地址的实例可以通过以下两种方式之一访问 Internet:
没有公有 IP 地址的实例可以通过 NAT 网关或 NAT 实例来传输流量,从而访问 Internet。这些实例使用 NAT 网关或 NAT 实例的公有 IP 地址来访问 Internet。NAT 网关或 NAT 实例允许出站通信,但不允许 Internet 上的计算机主动连接具有私有地址的实例。
对于通过硬件 VPN 或 Direct Connect 进行连接的 VPC,实例可以将其 Internet 流量通过虚拟专用网关下传到现有的数据中心。它可从该处借助现有出口点和网络安全/监控设备访问 Internet。

④VPC子网默认会关联到主路由表则意味着互相之间可以连通。

子网路由
每个子网都必须关联一个路由表,这个路由表可指定允许出站流量离开子网的可用路由。您创建的每个子网都会自动关联 VPC 的主路由表。 您可以更改关联,以及更改主路由表的内容。

⑤子网不可以跨越可用区。
问:可以在哪个(些)Amazon EC2 地区中使用 Amazon VPC?
Amazon VPC 目前可以在所有 Amazon EC2 地区的多个可用区中使用。
问:一个 VPC 可否跨越多个可用区?
可以。
问:一个子网可否跨越多个可用区?
不可以。子网必须位于单个可用区中。

起初迁移好像很简单:在Amazon的Elastic Compute Cloud(EC2)和Facebook的数据中心之间搭建一个安全的连接,一块一块地将服务迁移过来。简单。

Q12. You are creating an Auto Scaling group whose Instances need to insert a custom metric into CloudWatch.

Which method would be the best way to authenticate your CloudWatch PUT request?

A. Create an IAM role with the Put MetricData permission and modify the Auto Scaling launch configuration to launch instances in that role
B. Create an IAM user with the PutMetricData permission and modify the Auto Scaling launch configuration to inject the userscredentials into the instance User Data
C. Modify the appropriate Cloud Watch metric policies to allow the Put MetricData permission to instances from the Auto Scaling group
D. Create an IAM user with the PutMetricData permission and put the credentials in a private repository and have applications on the server pull the credentials as needed

Answer: B

翻译:
您正在创建自动缩放组,其实例需要在CloudWatch中插入自定义度量。
哪种方法将是验证您的CloudWatch PUT请求的最佳方法?

A.创建IAM角色给予Put MetricData权限,修改Auto Scaling启动配置以启动该角色的实例
B.创建IAM用户给予Put MetricData权限,修改自动缩放启动配置,将用户凭证注入实例用户数据
C.修改适当的Cloud Watch度量标准策略,以允许将自动缩放组中的实例放置MetricData权限
D.创建具有PutMetricData权限的IAM用户,并将凭据放入私有存储库中,并在服务器上使应用程序根据需要提取凭据

答案:A

解析:
①这道题没有太多的解释,论坛上的意见有ABC,不过绝大多数都同意A,这里我认为可能是考虑赋予IAM角色权限要比用户权限更好吧,因为其中有IAM服务访问?(或许吧)
参考链接:Cloudwatch用户指南 https://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html

身份验证

您可以下面任一类型的身份访问 AWS:
AWS 账户根用户 – 注册 AWS 时,您需要提供与您的 AWS 账户关联的电子邮件地址和密码。这些是您的根凭证,它们提供对您所有 AWS 资源的完全访问权限。
出于安全考虑,我们建议您仅使用根凭证创建管理员用户,此类用户是对您的 AWS 账户具有完全访问权限的 IAM 用户。随后,您可以使用此管理员用户来创建具有有限权限的其他 IAM 用户和角色。有关更多信息,请参阅 IAM 用户指南 中的 IAM 最佳实践和创建管理员用户和组。
IAM 用户 – IAM 用户就是您的 AWS 账户中的一种身份,它具有特定的自定义权限 (例如,用于在 CloudWatch 中查看 metrics 的权限)。您可以使用 IAM 用户名和密码来登录以保护 AWS 网页,如 AWS 管理控制台、AWS 开发论坛或 AWS Support Center。
除了用户名和密码之外,您还可以为每个用户生成访问密钥。在通过多个软件开发工具包之一或使用 AWS Command Line Interface (CLI) 以编程方式访问 AWS 服务时,可以使用这些密钥。SDK 和 CLI 工具使用访问密钥对您的请求进行加密签名。如果您不使用 AWS 工具,则必须自行对请求签名。CloudWatch supports 签名版本 4,后者是一种用于对入站 API 请求进行身份验证的协议。有关验证请求的更多信息,请参阅 AWS General Reference 中的签名版本 4 签名流程。
IAM 角色 – IAM 角色是可在账户中创建的另一种具有特定权限的 IAM 身份。它类似于 IAM 用户,但未与特定人员关联。利用 IAM 角色,您可以获得可用于访问 AWS 服务和资源的临时访问密钥。具有临时凭证的 IAM 角色在以下情况下很有用:
联合身份用户访问 – 您可以不创建 IAM 用户,而是使用来自 AWS Directory Service、您的企业用户目录或 Web 身份提供商的既有用户身份。他们被称为联合身份用户。在通过身份提供商请求访问权限时,AWS 将为联合身份用户分配角色。有关联合身份用户的更多信息,请参阅 IAM 用户指南 中的联合身份用户和角色。
跨账户访问 – 可以使用您账户中的 IAM 角色向另一个 AWS 账户授予对您账户的资源的访问权限。有关示例,请参阅 &guide-iam-user; 中的教程:使用 IAM 角色委派跨 AWS 账户的访问权限。
AWS 服务访问 – 可以使用您账户中的 IAM 角色向 AWS 服务授予对您账户的资源的访问权限。例如,您可以创建一个角色,此角色允许 Amazon Redshift 代表您访问 Amazon S3 存储桶,然后将存储在该存储桶中的数据加载到 Amazon Redshift 群集中。有关更多信息,请参阅 IAM 用户指南 中的创建向 AWS 服务委派权限的角色。
在 Amazon EC2 上运行的应用程序 – 您不用将访问密钥存储在 EC2 实例中以供实例上运行的应用程序使用并发出 API 请求,而是可以使用 IAM 角色管理这些应用程序的临时凭证。要将 AWS 角色分配给 EC2 实例并使其对该实例的所有应用程序可用,您可以创建一个附加到实例的实例配置文件。实例配置文件包含角色,并使 EC2 实例上运行的程序能够获得临时凭证。有关更多信息,请参阅 IAM 用户指南 中的对 Amazon EC2 上的应用程序使用角色。

Q13. When an EC2 instance that is backed by an S3-based AMI Is terminated, what happens to the data on me root volume?

A. Data is automatically saved as an E8S volume.
B. Data is automatically saved as an ESS snapshot.
C. Data is automatically deleted.
D. Data is unavailable until the instance is restarted.

Answer: D

翻译:
当基于S3的AMI支持的EC2实例终止时,我的根卷上的数据会发生什么?

A.数据自动保存为E8S卷。
B.数据自动保存为ESS快照。
C.数据被自动删除。
D.数据不可用,直到实例重新启动。

答案:C
解析:
参考链接:Amazon Elastic Compute Cloud 用户指南 https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/RootDeviceStorage.html

Amazon EC2 根设备卷
当您启动一个实例时,根设备卷 包含用于启动该实例的映像。当我们介绍 Amazon EC2 时,所有 AMI 都由 Amazon EC2 实例存储提供支持,也就是说从该 AMI 启动的实例的根设备是从存储在 Amazon S3 中的模板创建的实例存储卷。介绍完 Amazon EBS 之后,我们将介绍由 Amazon EBS 提供支持的 AMI。这意味着从 AMI 启动的实例的根设备是一个从 Amazon EBS 快照创建的 Amazon EBS 卷。
您可以在 Amazon EC2 实例存储支持的 AMI 和 Amazon EBS 支持的 AMI 之间进行选择。我们建议您使用由 Amazon EBS 提供支持的实例,因为它们启动速度更快,而且采用了持久性存储。
根设备存储概念
您可以从实例存储支持 AMI 或Amazon EBS支持 AMI 启动实例。AMI 的说明中包括 AMI 的类型;您会看到根设备在一些地方被称为 ebs(表示由 Amazon EBS 提供支持) 或 instance store (示由实例存储提供支持)。这很重要,因为您可以使用每种 AMI 进行哪些操作有很大区别。有关这些区别的更多信息,请参阅根设备存储。

实例存储支持的实例

使用实例存储作为根设备的实例自带可用的一个或多个实例存储卷,其中一个卷充当根设备卷。当一个实例被启动时,用于启动该实例的映像被复制到根卷。请注意,您可以根据实例类型选择使用其他实例存储卷。
只要实例正在运行,实例存储卷上的所有数据便会存在,但是在实例终止时 (实例存储支持的实例不支持 Stop (停止) 操作) 或是实例失败时 (例如底层硬盘有问题时),会删除这些数据。
由 Amazon 实例存储支持的实例失败或终止后,该实例不能被恢复。如果您打算使用由 Amazon EC2 实例存储支持的实例,我们强烈建议您将数据跨多个可用区分配到实例存储中。您还应该定期将您的实例存储卷上的关键数据备份至持久性存储。

图片 1

实例存储支持的实例

由 Amazon EBS 提供支持的实例

使用 Amazon EBS 作为根设备的实例自动附加 Amazon EBS 卷。当您启动由 Amazon EBS 提供支持的实例时,系统会为您使用的 AMI 所参考的每一个 Amazon EBS 快照创建 Amazon EBS 卷。您可以根据实例类型选择使用其他Amazon EBS卷或实例存储卷。
由Amazon EBS 提供支持的实例的根设备卷和其他 Amazon EBS 卷
由 Amazon EBS 提供支持的实例可以停止然后再重新启动,所连接的卷中存储的数据不会受影响。当由 Amazon EBS 提供支持的实例处于停止状态时,您可以完成各种与该实例和卷有关的任务。例如,您可以修改实例的属性,您可以更改实例的大小或更新实例使用的内核,或者您可以将您的根卷连接到另一个的运行的实例,以进行调试或达到任何其他目的。

图片 2

Amazon EBS 提供支持的实例

图片 3

二者对比

不止如此。这个简单的迁移的主要障碍是Facebook的私有IP空间和EC2的私有IP空间冲突。我们只有一条路可走:先迁移到Amazon的Virtual Private Cloud(VPC),随后使用Amazon Direct Connect迁移到Facebook。Amazon的VPC提供了必要的伸缩寻址来避开与Facebook的私有网络冲突。

Q14. You have a web application leveraging an Elastic Load Balancer (ELB) In front of the web servers deployed using an Auto Scaling Group Your database is running on Relational Database Service (RDS) The application serves out technical articles and responses to them in general there are more views of an article than there are responses to the article. On occasion, an article on the site becomes extremely popular resulting in significant traffic Increases that causes the site to go down.

What could you do to help alleviate the pressure on the infrastructure while maintaining availability during these events?
Choose 3 answers

A. Leverage CloudFront for the delivery of the articles.
B. Add RDS read-replicas for the read traffic going to your relational database
C. Leverage ElastiCache for caching the most frequently used data.
D. Use SQS to queue up the requests for the technical posts and deliver them out of the queue.
E. Use Route53 health checks to fail over to an S3 bucket for an error page.

Answer: A,C,E

翻译:
您有一个利用弹性负载均衡器(ELB)的Web应用程序使用自动缩放组件部署的Web服务器前面您的数据库正在关系数据库服务(RDS)上运行该应用程序一般提供技术文章和响应,比文章的回应更多的文章观点。有时,网站上的文章变得非常受欢迎,导致重大的流量增加导致网站下降。
您能做些什么来帮助缓解基础设施的压力,同时保持这些活动期间的可用性?
选择3个答案

A.利用CloudFront交付文章。
B.为读取的流量添加RDS读取副本到您的关系数据库
C.利用ElastiCache来缓存最常用的数据。
D.使用SQS对技术帖子的请求进行排队,并将它们排出队列。
E.使用Route53运行状况检查,故障切换到S3存储区以进行错误页面。
答案:ABC

解析:
①A是可以实现的,主要是分享技术文章的网站使用Cloudfront将流量引入亚马逊可以极大的缓解由于某些资源特别受欢迎而造成网站压力的情况。

Amazon CloudFront 是一项加快将静态和动态 Web 内容 (例如 .html、.css、.php 和图像文件) 分配给用户的速度的 Web 服务。CloudFront 通过全球数据中心网络来传输内容,这些数据中心称作边缘站点。当用户请求您用 CloudFront 提供的内容时,用户被路由到提供最低延迟 (时间延迟) 的边缘站点,从而以尽可能最佳的性能传送内容。如果该内容已经在延迟最短的边缘站点上,CloudFront 将直接提供它。如果内容不在边缘站点中,CloudFront 将从已确定为内容最终版本的源的 Amazon S3 存储桶或 HTTP 服务器 (例如,Web 服务器) 中进行检索。

②B也是可以实现的,将流量转移到RDS的读副本,唯一的问题可能是读取速度无法保证,不过目的是缓解基础设施的压力并且保证可用性,在这里这个做法是正确的。
③C当然也是可以的,这是典型的缓存技术

Amazon ElastiCache 是一项 Web 服务,借助该服务,用户能够在云中轻松部署、运行和扩展内存数据存储或缓存。该服务支持您从快速的托管内存数据存储中检索信息,而无需完全依赖于速度较慢的基于磁盘的数据库,从而提高了 Web 应用程序的性能。

④SQS是消息队列的服务,利用消息队列是可以缓解基础设施的压力的,但是使用SQS会造成延迟,导致用户请求不是实时的,这是不可取的。
⑤是否应该Route 53这种跨地区的调度有待商榷,题目中没有给出是否是跨地域的,但是显示给用户错误页面是否代表已经没有了高可用。

我们对这个任务望而却步;在EC2上运行着数以千计的实例,还有每天出现的新实例。为了最小化停工时间和操作上的复杂性,运行在EC2和VPC中的实例必须像是来自同一个网络。AWS没有提供分享安全群组的方法,也没有私有EC2和VPC网络的桥接。这两个私有网络通信的唯一方法是使用公共地址空间。

Q15. The majority of your Infrastructure is on premises and you have a small footprint on AWS Your company has decided to roll out a new application that is heavily dependent on low latency connectivity to LOAP for authentication Your security policy requires minimal changes to the company's existing application user management processes.

What option would you implement to successfully launch this application1?

A. Create a second, independent LOAP server in AWS for your application to use for authentication
B. Establish a VPN connection so your applications can authenticate against your existing on- premises LDAP servers
C. Establish a VPN connection between your data center and AWS create a LDAP replica on AWS and configure your application to use the LDAP replica for authentication
D. Create a second LDAP domain on AWS establish a VPN connection to establish a trust relationship between your new and existing domains and use the new domain for authentication

Answer: D

翻译:
您的大部分基础架构都在现场,您的AWS占用空间小。您的公司已经决定推出一种新的应用程序,该应用程序严重依赖于低延迟连接到LOAP进行身份验证您的安全策略要求对公司现有应用程序用户进行最少的更改 管理流程。
您将实现什么选项来成功启动此应用程序1?

A.在AWS中创建第二个独立的LOAP服务器,以便您的应用程序用于身份验证
B.建立VPN连接,使您的应用程序可以针对您现有的本地LDAP服务器进行身份验证
C.建立数据中心和AWS之间的VPN连接,在AWS上创建LDAP副本,并配置应用程序以使用LDAP副本进行身份验证
D.在AWS上建立第二个LDAP域建立一个VPN连接,以建立您的新域和现有域之间的信任关系,并使用新域进行身份验证

答案:C

解析:按照题目要求需要注意的是最小的更改来实现成功的启动,这里可以成功实施的有C和D,甚至可能D的延迟会比C还要低,但是需要注意的是题目要求最小更改,C会比D更容易实现,因此选择C。
A选项只是创建了一个独立的LDAP服务器、并不解决问题(不过用户数据什么的都没有涉及到),B选项使用VPN连接本地的LDAP很有可能遇到很高的延迟,因此被排除。C是具有一定延迟(主要是本地的LDAP需要和副本进行同步,但是这个延迟影响不会太明显)但是所需改动最少的(建立VPN--建立LDAP副本),D过于复杂了(建LDAP域--建立VPN--信任域),建域的过程以及信任的过程复杂化了这个需求。

所以我们用Python开发了Neti—— 一个动态IP信息包过滤系统守护进程,由Hadoop的正式子项目ZooKeeper提供支持。Neti提供了安全群功能,并且为运行在EC2和VPC中的每一个实例提供单独地址。它管理着上千个本地NAT和每一个实例的过滤规则,允许使用独立的、平坦的"重叠"("overlay")地址空间进行安全通信。NAT规则在源实例和目标实例之间选择最高效的路径。VPC和EC2之间的实例通信使用公共网络,内部通信使用私有网络。这对我们的应用和后端系统是透明的,因为Neti在每一个实例上应用了合适的IP信息包过滤系统。

Q16. You need to design a VPC for a web-application consisting of an Elastic Load Balancer (ELB). a fleet of web/application servers, and an RDS database The entire Infrastructure must be distributed over 2 availability zones.

Which VPC configuration works while assuring the database is not available from the Internet?

A. One public subnet for ELB one public subnet for the web-servers, and one private subnet for the database
B. One public subnet for ELB two private subnets for the web-servers, two private subnets for RDS
C. Two public subnets for ELB two private subnets for the web-servers and two private subnets for RDS
D. Two public subnets for ELB two public subnets for the web-servers, and two public subnets for RDS

Answer: A

翻译:
您需要为由弹性负载平衡器(ELB)组成的Web应用程序设计VPC。 一组Web /应用服务器和一个RDS数据库整个基础设施必须分布在2个可用区域。
哪些VPC配置在保证数据库不能从Internet获得的情况下工作?

A.用于ELB的一个公共子网用于web服务器的一个公共子网,以及数据库的一个私有子网
B.一个用于ELB的公共子网,两个用于网络服务器的私有子网,两个用于RDS的私有子网
C.两个公共子网为ELB两个私有子网为Web服务器和两个专用子网为RDS
D.用于ELB的两个公共子网用于网络服务器的两个公共子网,以及用于RDS的两个公共子网

答案:C

解析:
需要保证数据库不能从Internet获得的情况下工作,也就是需要RDS在私有子网内,从这一点看,将RDS放在公共子网的D被排除。AWS认为只有ELB在公共子网是安全的做法,不需要WEB SERVER在公共子网,只需要用ELB代理即可,这样的话A也被排除。再看前提条件要求WEB SERVER和RDS必须分布在两个可用区里,是用一个还是两个ELB是问题的关键,大部分的人会同意C,不过也有部分观点认为C是建立在使用了Route 53的情况下,如果不使用Route 53的话ELB是没办法切换的。这里我会更同意C一些。

Elastic Load Balancing
传统负载均衡器
参考链接 :https://docs.aws.amazon.com/zh_cn/elasticloadbalancing/latest/classic/elb-manage-subnets.html
为 VPC 中的传统负载均衡器添加或删除子网
如果您将一个子网添加到负载均衡器,Elastic Load Balancing 会在可用区中创建一个负载均衡器节点。负载均衡器节点接受来自客户端的流量并将请求转发到一个或多个可用区中的正常注册实例。对于 VPC 中的负载均衡器,建议您至少为两个可用区分别添加一个子网。这可以提高您的负载均衡器的可用性。请注意,您可随时修改负载均衡器的子网。
从实例所在的可用区选择子网。如果您的负载均衡器是面向 Internet 的负载均衡器,您必须选择公有子网,以便您的后端实例从负载均衡器接收流量 (即使后端实例位于私有子网)。如果您的负载均衡器是内部负载均衡器,我们建议您选择私有子网。有关负载均衡器子网的更多信息,请参阅准备您的 VPC 和 EC2 实例。
添加子网后,负载均衡器开始将请求路由至对应可用区中的注册实例。默认情况下,负载均衡器在其子网的可用区间均衡地路由请求。要在其子网的可用区中的注册实例间均衡地路由请求,请启用跨区域负载均衡。有关更多信息,请参阅 配置传统负载均衡器的跨区域负载均衡。
如果子网的可用区中没有运行状况良好的注册实例,或者您希望对注册实例进行故障排除或更新,那么可能需要暂时从负载均衡器删除子网。删除子网后,负载均衡器停止将请求路由至其可用区中的注册实例,但继续将请求路由至剩余子网的可用区中的注册实例。
如果负载均衡器位于 EC2-Classic 中,请参阅为 EC2-Classic 中的负载均衡器添加或删除可用区。

构成Instagram栈的各式各样的组件从EC2到VPC环境的迁移不到三周,这让我们相信如果没有Neti,时间会长很多。在此过程中,没有出现过重大的服务停工,同时也让我们很快意识到这是有史以来最快的VPC规模迁移。

Q17. An application that you are managing has EC2 instances & Dynamo OB tables deployed to several AWS Regions In order to monitor the performance of the application globally, you would like to see two graphs 1) Avg CPU Utilization across all EC2 instances and 2) Number of Throttled Requests for all DynamoDB tables.

How can you accomplish this?

A. Tag your resources with the application name, and select the tag name as the dimension in the Cloudwatch Management console to view the respective graphs
B. Use the Cloud Watch CLI tools to pull the respective metrics from each regional endpoint Aggregate the data offline & store it for graphing in CloudWatch.
C. Add SNMP traps to each instance and DynamoDB table Leverage a central monitoring server to capture data from each instance and table Put the aggregate data into Cloud Watch for graphing.
D. Add a CloudWatch agent to each instance and attach one to each DynamoDB table. When configuring the agent set the appropriate application name & view the graphs in CloudWatch.

Answer: C

翻译:
您正在管理的应用程序将EC2实例和DynamoDB表部署到多个AWS区域为了全局监控应用程序的性能,您需要看到两个图表:
1)平均所有EC2实例的CPU利用率和
2)调整了所有DynamoDB表的请求。
你怎么能完成这个

A.使用应用程序名称标记资源,并在Cloudwatch Management控制台中选择标签名称作为维度,以查看相应的图表
B.使用Cloud Watch CLI工具从每个区域端点拉出各自的度量标准将数据离线聚合并存储,以便在CloudWatch中绘图。
C.向每个实例和DynamoDB表添加SNMP陷阱利用中央监控服务器从每个实例和表中捕获数据将聚合数据放入Cloud Watch进行图形化。
D.将CloudWatch代理添加到每个实例,并将一个代理附加到每个DynamoDB表。配置代理时,设置适当的应用程序名称并在CloudWatch中查看图形。

答:B

解析:
首先题干中提到的是多个区域部署、Cloudwatch跨区域不会汇总数据,Metric在各个区域之间是各自独立的。因此没有涉及到跨区域问题解决的A是错误的(A只能做到在各个仪表盘中看未被汇总过的数据),再看C,DynamoDB是完全托管的服务,你无法做到添加SNMP traps,另外Cloudwatch使用的是自己的代理而不是SNMP代理,至于D和C一样,DynamoDB不支持这样。B是正确的,利用CW CLI工具拉取数据离线聚合。
参考:Amazon DynamoDB开发人员指南 https://docs.aws.amazon.com/zh_cn/amazondynamodb/latest/developerguide/Tools.CLI.html
您可以使用 AWS Command Line Interface (AWS CLI),从命令行管理多个 AWS 服务并通过脚本自动执行这些服务。您可以使用 AWS CLI 进行临时操作,如创建表。您还可以使用它在实用工具脚本中嵌入 DynamoDB 操作。

随着VPC迁移的完工,我们的实例运行在兼容的地址空间中,Instagram准备开始完成向Facebook数据中心的迁移。

Q18. When assessing an organization s use of AWS API access credentials which of the following three credentials should be evaluated?

Choose 3 answers

A. Key pairs
B. Console passwords
C. Access keys
D. Signing certificates
E. Security Group memberships

Answer: A,C,D

Reference:

http://media.amazonwebservices.com/AWS_Operational_Checklists.pdf

翻译:
在评估组织使用AWS API访问凭证时,应该评估以下三种凭据中的哪一种?
选择3个答案

A.钥匙对
B.控制台密码
C.访问键
D.签署证书
E.安全组成员资格

答案:B,C,D

解析:首先排除掉E,安全组是针对EC2实例的。使用API访问凭证时,应该是自动化的,Access Keys、证书、密钥对肯定是没问题的,而控制台密码的话则更适合于用户操作。

AWS provides a number of authentication mechanisms including a console, account IDs and secret
keys, X.509 certificates, and MFA devices to control access to AWS APIs. Console authentication is the most appropriate for administrative or manual activities, account IDs and secret keys for accessing REST-based interfaces or tools, and X.509 certificates for SOAP-based interfaces and tools.
Your organization should consider the circumstances under which it will leverage access keys, x.509certificates, console passwords, or MFA devices.

谷歌翻译:
AWS提供了许多认证机制,包括控制台,帐户ID和秘密
密钥,X.509证书和MFA设备来控制对AWS API的访问。 控制台身份验证最适用于管理或手动活动,用于访问基于REST的界面或工具的帐户ID和密钥,以及用于基于SOAP的界面和工具的X.509证书。
您的组织应考虑使用访问密钥,x.509证书,控制台密码或MFA设备的情况。

一个围绕EC2构建的工具集已经存在多年,它管理着Instagram的产品系统,包括配置管理脚本,用来供应的Chef("大厨”),从应用部署到数据库master提升等广泛的操作任务使用的Fabric。这个工具集对EC2做出的假定在Facebook环境中已经不再适用。

Q19. You have a Linux EC2 web server instance running inside a VPC The instance is In a public subnet and has an EIP associated with it so you can connect to It over the Internet via HTTP or SSH The instance was also fully accessible when you last logged in via SSH. and was also serving web requests on port 80.

Now you are not able to SSH into the host nor does it respond to web requests on port 80 that were working fine last time you checked You have double-checked that all networking configuration parameters (security groups route tables. IGW'EIP. NACLs etc) are properly configured {and you haven't made any changes to those anyway since you were last able to reach the Instance). You look at the EC2 console and notice that system status check shows "impaired."
Which should be your next step in troubleshooting and attempting to get the instance back to a healthy state so that you can log in again?

A. Stop and start the instance so that it will be able to be redeployed on a healthy host system that most likely will fix the "impaired" system status
B. Reboot your instance so that the operating system will have a chance to boot in a clean healthy state that most likely will fix the 'impaired" system status
C. Add another dynamic private IP address to me instance and try to connect via mat new path, since the networking stack of the OS may be locked up causing the "impaired" system status.
D. Add another Elastic Network Interface to the instance and try to connect via that new path since the networking stack of the OS may be locked up causing the "impaired" system status
E. un-map and then re-map the EIP to the instance, since the IGWVNAT gateway may not be working properly, causing the "impaired" system status

Answer: B

翻译:
您在VPC中运行一个Linux EC2 Web服务器实例实例是在公共子网中并具有与之相关联的EIP,因此您可以通过HTTP或SSH通过Internet连接到该实例上次登录时,该实例也可以完全访问通过SSH。并且还在80端口提供Web请求。
现在您无法SSH进入主机,也没有响应上一次检查的80端口的Web请求您已经检查了所有网络配置参数(安全组路由表,IGW'EIP。NACL等等) )已正确配置{您最后一次可以访问实例后,您还没有对其进行任何更改)。您看看EC2控制台,并注意到系统状态检查显示“受损”。
哪个应该是您下一步的故障排除,并尝试让实例恢复健康状态,以便您可以再次登录?

A.停止并启动实例,以便能够在一个健康的主机系统上重新部署,最有可能修复“受损”的系统状态
B.重新启动你的实例,使操作系统有机会在干净的健康状态下启动,最有可能修复“受损”的系统状态
C.将另一个动态私有IP地址添加到我的实例,并尝试通过mat新路径进行连接,因为OS的网络堆栈可能被锁定,导致“受损”的系统状态。
D.向实例添加另一个弹性网络接口,尝试通过该新路径进行连接,因为OS的网络堆栈可能被锁定,导致“受损”的系统状态
E.取消映射,然后将EIP重新映射到实例,因为IGWVNAT网关可能无法正常工作,导致“受损”的系统状态

答案:A

解析:
首先分析,之前可以直接SSH访问实例并且访问80端口,题干很长,重要的就一句话,系统状态为受损,和网络是没有关系的,而CDE都是在网络上进行改动是无效的。AB之间的区别在于是直接重启还是停止再开启,这里应该是A,让实例在一个新的主机上运行。

对实例恢复故障进行排除故障
以下问题可能会导致实例自动恢复失败:
替换硬件的临时容量不足。
该实例有一个附加实例存储,而自动实例恢复不支持该配置。
一项进行中的服务运行状况控制面板事件使恢复过程无法成功执行。有关服务可用性的最新信息,请参阅 http://status.aws.amazon.com/。
该实例已达到每天最多三次的恢复尝试操作限制。
自动恢复过程每天最多针对三个不同的故障尝试恢复您的实例。如果实例系统状态检查故障仍然存在,建议您手动启动和停止实例。有关更多信息,请参阅 停止和启动您的实例。
如果自动恢复失败,并且确定硬件性能下降是初始系统状态检查失败的根本原因,那么您的实例随后可能会被停用。

图片 4

reboot与STOP & START与终止的区别

编辑:互联网科技 本文来源:AWS Certified SysOps Administrator Associate 试题 11-20

关键词: