share facebook facebook2 twitter menu hatena pocket slack

2014.05.10 SAT

AWS Certified Solutions Architect – Professionalのサンプル問題を読んでみる

WRITTEN BY山口 与力

cloudpackヤマグチです。

AWS Certified Solutions Architect – Professional英語版がスタートしたようです。

サンプル問題が公開されているので、ざっと目を通してみました。※選択肢は原文ではアルファベットです。

Your company’s on-premises content management system has the following architecture:

  • Application Tier – Java code on a JBoss application server
  • Database Tier – Oracle database regularly backed up to S3 using the Oracle RMAN backup utility
  • Static Content – stored on a 512GB gateway stored Storage Gateway volume attached to the application server via the iSCSI interface

Which AWS based disaster recovery strategy will give you the best RTO?

  1. Deploy the Oracle database and the JBoss app server on EC2. Restore the RMAN Oracle backups from Amazon S3. Generate an EBS volume of static content from the Storage Gateway and attach it to the JBoss EC2 server.
  2. Deploy the Oracle database on RDS. Deploy the JBoss app server on EC2. Restore the RMAN Oracle backups from Amazon Glacier. Generate an EBS volume of static content from the Storage Gateway and attach it to the JBoss EC2 server.
  3. Deploy the Oracle database and the JBoss app server on EC2. Restore the RMAN Oracle backups from Amazon S3. Restore the static content by attaching an AWS Storage Gateway running on Amazon EC2 as an iSCSI volume to the JBoss EC2 server.
  4. Deploy the Oracle database and the JBoss app server on EC2. Restore the RMAN Oracle backups from Amazon S3. Restore the static content from an AWS Storage Gateway-VTL running on Amazon EC2.

あなたの会社のオンプレミス環境にあるコンテンツ管理システムは以下のような構成です:

  • アプリケーション層: Javaで書かれたコードとJBossアプリケーションサーバー
  • データベース層: Oracleデータベースで、RMANバックアップユーティリティを使って定期的にS3にバックアップを行っている
  • 静的コンテンツ: 512GBのStorage Gateway(ゲートウェイ保管型ボリュームに設定)に保存し、iSCSIインターフェイスでアプリケーションサーバーに接続

どのAWSディザスターリカバリー戦略を用いれば最良の目標復旧時間を得られますか?

  1. OracleデータベースとJBossアプリケーションサーバーをEC2にデプロイする。RMAN OracleバックアップをS3からリストアする。Storage Gatewayから静的コンテンツを含んだEBSボリュームを作成し、EC2上のJBossサーバーに接続する。
  2. OracleデータベースをRDSにデプロイする。JBossアプリケーションサーバーをEC2にデプロイする。RMAN OracleバックアップをGlacierからリストアする。Storage Gatewayから静的コンテンツを含んだEBSボリュームを作成し、EC2上のJBossサーバーに接続する。
  3. OracleデータベースとJBossアプリケーションサーバーをEC2にデプロイする。RMAN OracleバックアップをS3からリストアする。静的コンテンツはEC2上でiSCSIボリュームとして動作するStorage Gatewayを、EC2上のJBossサーバーに接続してリストアする。
  4. OracleデータベースとJBossアプリケーションサーバーをEC2にデプロイする。RMAN OracleバックアップをS3からリストアする。EC2上で動作するStorage Gateway-VTL (ゲートウェイ仮想テープライブラリ)から静的コンテンツをリストアする。

You are building an Amazon Virtual Private Cloud (VPC) environment for an analytics system which includes a business intelligence (BI) tier launched from the AWS Marketplace and Amazon Redshift. Analysts need to be able to launch new analysis stacks (including BI tools and Amazon Redshift clusters) on demand, without interacting with network staff. Which topology for this VPC would give analysts the most flexibility?

 <ol><li>A single subnet for both the BI software and Amazon Redshift. </li>  <li>A single subnet for BI software and a separate single subnet for Amazon Redshift. </li>  <li>One subnet per Availability Zone for BI software and a separate single subnet for Amazon Redshift. </li>  <li>One subnet per Availability Zone for BI software and a separate subnet per Availability Zone for Redshift. </li>  </ol></blockquote>

あなたは、AWS Marketplaceから起動するビジネスインテリジェンス(BI)ソフトとRedshiftを含む分析システム用のVPC環境を構築しなければなりません。 分析者は必要に応じて新しい分析スタック(BIツールとRedshiftクラスタ)を、ネットワーク管理者に問い合わせることなく起動できなければなりません。このVPCでは、どのネットワーク構造を使えば分析者に最大の柔軟性を与えられますか?

  1. 単一のサブネット内に全てのBIソフトとRedshiftを配置する。
  2. BIソフトは単一のサブネット、Redshiftはそれぞれ別サブネットに配置する。
  3. BIソフトはAZごとに別のサブネット、Redshiftはそれぞれ別サブネットに配置する。
  4. BIソフトはAZごとに別のサブネット、RedshiftはAZごとに別サブネットに配置する。

You’re working with a company that wants to leverage many AWS services in multiple regions; however, security controls within the company state that all egress connections to the Internet from the production network must be individually whitelisted in the on-premises firewall. Which scenarios will allow access to the AWS API endpoints while addressing the stated security concerns? (Pick 2)

 <ol><li>Leverage the unified, FIPS 140-2 validated, API endpoint located in us-east-1. </li>  <li>Create a trusted zone/DMZ within the corporate network that doesn’t restrict egress to Internet traffic. </li>  <li>Create a proxy server within Amazon EC2. Allow access from the corporate network, and add the IP of the EC2 instance to the company firewall. </li>  <li>Leverage the GetEndpoint API in order to programmatically get all AWS endpoints, and add these to the company firewall. </li>  </ol></blockquote>

あなたは会社においてAWSの様々なサービスを複数のリージョンで活用しようとしています。しかし、会社のセキュリティ要件は、本番ネットワークからインターネットへの通信は、オンプレミスのファイアウォールでホワイトリストに合致するか検査されなければならない、と定めています。 以下のどのシナリオを用いれば、セキュリティ要件に即した形でAWS APIのエンドポイントにアクセスできますか?(2つ選択)

  1. us-east-1にある、FIPS 140-2規格準拠の統一型エンドポイントを利用する
  2. 社内ネットワークに、外部への通信を制限しない信頼されたゾーン/DMZセグメントを作成する
  3. EC2上にプロキシサーバーを作成する。Security Groupで社内ネットワークからの通信を許可し、そのEC2インスタンスのIPを社内ファイアウォールに追加する
  4. GetEndpoint APIを利用してAWSの全エンドポイントを取得し、それらを社内ファイアウォールに追加する

An online marketing firm wants to provide a web service API that other businesses can call to get search engine optimization (SEO) keyword suggestions. Trending topics are analyzed using Amazon Elastic MapReduce, and results will then be stored in a read-only database. ~1.2 billion records (~3 TB total raw data) will be stored fairly evenly across six tables. Each web service call will issue a single database query. The web service must support up to 100 concurrent API requests and return API responses within 1.5 seconds. Which options can satisfy the database requirements for the web service? (Pick 2)

 <ol><li>One Amazon Redshift cluster with one 8 XL node (16 TB storage), with good distribution and sort keys for the tables. </li>  <li>One Amazon Redshift cluster with 4 XL nodes (each with 2 TB storage), with good distribution and sort keys for the tables. </li>  <li>Six shared Amazon RDS instances, with 1 TB of storage for each RDS instance. </li>  <li>Six Amazon DynamoDB tables, each with a provisioned read and write throughput of 10 units; add local secondary indices to optimize queries. </li>  <li>One MySQL instance running on an Amazon EC2 instance with a RAID-10 logical volume consisting of eight 1 TB EBS volumes. </li>  </ol></blockquote>

あるオンラインマーケティング会社は、他の案件からサーチエンジン最適化(SEO)のキーワード推薦を呼び出せるようなWebサービスAPIを提供しようとしています。現在流行の話題はElastic MapReduceで分析し、その後読み取り専用のデータベースに保存されます。合計12億レコード(3TBの生データ)が6つのテーブルにおよそ等分に格納されます。Webサービスの呼び出しは1つのデータベースクエリーを発行します。Webサービスは100までの同時呼び出しをサポートし、1.5秒以内に応答を返す必要があります。以下のどの構成であればWebサービスの要件を満たせますか?(2つ選択)

  1. 単一のRedshiftクラスタと1つの8XLノード(16TBストレージ)、各テーブルについて良い分散とソートキー
  2. 単一のRedshiftクラスタと複数の4XLノード(各2TBストレージ)、各テーブルについて良い分散とソートキー
  3. 6つの共有RDSインスタンス、それぞれに1TBのストレージ
  4. 6つのDynamoDBテーブル、それぞれ10ユニットのプロビジョニングされた読み書きスループット、クエリ最適化のためのセカンダリーインデックスの追加
  5. 単一のEC2インスタンス上のMySQL、8つの1TB EBSで構成されたRAID-10の論理ボリューム

An ERP application is deployed in multiple Availability Zones in a single region. In the event of failure, the RTO must be less than 3 hours, and the RPO is 15 minutes. The customer realizes that data corruption occurred roughly 1.5 hours ago. Which DR strategy can be used to achieve this RTO and RPO in the event of this kind of failure?

 <ol><li>Take 15-minute DB backups stored in Glacier, with transaction logs stored in Amazon S3 every 5 minutes. </li>  <li>Use synchronous database master-slave replication between two Availability Zones. </li>  <li>Take hourly DB backups to Amazon S3, with transaction logs stored in S3 every 5 minutes. </li>  <li>Take hourly DB backups to an Amazon EC2 instance store volume, with transaction logs stored in Amazon S3 every 5 minutes. </li>  </ol></blockquote>

あるERPアプリケーションが単一のリージョンの複数AZにデプロイされています。目標復旧時間(RTO)は3時間未満、目標復旧地点(RPO)は15分前です。顧客はデータ破損が約1.5時間前に発生したことに気付きました。以下のどのDR戦略を用いれば、このような障害においてRTOとRPOを達成できるでしょうか?

  1. 15分ごとのDBバックアップをGlacierに行い、トランザクションログを5分おきにS3に格納する
  2. 2つのAZ間でマスター-スレイブの同期レプリケーションを使う
  3. DBバックアップをS3に毎時行い、トランザクションログを5分おきにS3に格納する
  4. DBバックアップをEC2のインスタンスストアに毎時行い、トランザクションログを5分おきにS3に格納する

You are building a website that will retrieve and display highly sensitive information to users. The amount of traffic the site will receive is known and not expected to fluctuate. The site will leverage SSL to protect the communication between the clients and the web servers. Due to the nature of the site you are very concerned about the security of your SSL private key and want to ensure that the key cannot be accidentally or intentionally moved outside your environment. Additionally, while the data the site will display is stored on an encrypted EBS volume, you are also concerned that the web servers’ logs might contain some sensitive information; therefore, the logs must be stored so that they can only be decrypted by employees of your company. Which of these architectures meets all of the requirements?

 <ol><li>Use Elastic Load Balancing to distribute traffic to a set of web servers. To protect the SSL private key, upload the key to the load balancer and configure the load balancer to offload the SSL traffic. Write your web server logs to an ephemeral volume that has been encrypted using a randomly generated AES key. </li>  <li>Use Elastic Load Balancing to distribute traffic to a set of web servers. Use TCP load balancing on the load balancer and configure your web servers to retrieve the private key from a private Amazon S3 bucket on boot. Write your web server logs to a private Amazon S3 bucket using Amazon S3 server-side encryption. </li>  <li>Use Elastic Load Balancing to distribute traffic to a set of web servers, configure the load balancer to perform TCP load balancing, use an AWS CloudHSM to perform the SSL transactions, and write your web server logs to a private Amazon S3 bucket using Amazon S3 server-side encryption. </li>  <li>Use Elastic Load Balancing to distribute traffic to a set of web servers. Configure the load balancer to perform TCP load balancing, use an AWS CloudHSM to perform the SSL transactions, and write your web server logs to an ephemeral volume that has been encrypted using a randomly generated AES key. </li>  </ol></blockquote>

あなたは高度機密情報を収集・表示するウェブサイトを作成しています。サイトが受け取る通信量は予想が可能で、変動はないものと思われます。クライアントとサーバー間の通信はSSLで保護する予定です。サイトの性質から必然的に、SSL秘密鍵が偶然にあるいは故意に環境外へ流出しないよう、細心の注意を払う必要があります。さらに、サイトが表示するデータは暗号化EBSボリュームに格納されることからサーバーのログに機密情報が含まれる可能性についても注意が必要であるため、ログは従業員のみが復号化できるように格納されている必要があります。以下のどの構成を用いれば全ての要件を満たせるでしょうか?

  1. ELBを使いトラフィックを複数のWebサーバーに振り分ける。SSL秘密鍵を保護するため、秘密鍵をELBにアップロードし、ELBでSSL通信を復号化する。Webサーバーのログは、ランダムに生成されたAESキーで暗号化されたエフェメラルボリュームに保存する。
  2. ELBを使いトラフィックを複数のWebサーバーに振り分ける。ELBではTCPロードバランシングを行い、起動時にS3のプライベートバケットから秘密鍵を取得するようにWebサーバを設定する。サーバーログはS3のプライベートバケットにサーバーサイド暗号化を掛けた上で保存する。
  3. ELBを使いトラフィックを複数のWebサーバーに振り分ける。ELBではTCPロードバランシングを行い、SSLトランザクションを行うためCloudHSMを使う。サーバーログは、S3のプライベートバケットにサーバーサイド暗号化を掛けた上で保存する。
  4. ELBを使いトラフィックを複数のWebサーバーに振り分ける。ELBではTCPロードバランシングを行い、SSLトランザクションを行うためCloudHSMを使う。Webサーバーのログは、ランダムに生成されたAESキーで暗号化されたエフェメラルボリュームに保存する。

……

わ、わからん……。

こちらの記事はなかの人(ヤマグチ)監修のもと掲載しています。
元記事は、こちら