AWS - BondeDaAWS 2.0 Flashcards
O que são volumes efêmeros (Instance Store).
Discos diretamente conectados a máquina.
Volumes efêmeros (Instance Store) são duráveis ?
Não, quando clicar em stop na instância a área de disco é limpa (apagada)
Quando usar volumes efêmeros (Instance Store) ?
Usado para cache enquanto esta processando algo na aplicação.
Volumes efêmeros (Instance Store) são apagados quando reinicio uma instância ?
Dados permanecem quando a maquina é rebootada, pois ela não será descomicionada do host ao qual ela se encontra, permanecendo IP, sub-net, etc..
Descreva o Amazon EBS (Amazon Elastick Block Store)
-Fornece armazenamento em nível de bloco.
-Persiste independentemente da instância.
-Anexa na mesma zona de disponibilidade que a instância do EC2 (Escopo de AZ).
É possível utilizar o mesmo Amazon EBS em outras regiões ?
Não, porém é possível criar um snapshot a partir de um disco existente e assim subir outros disco EBS em outra Região ou AZ.
Tenho uma instância EC2 em uma AZ e outro disco do EBS sem utilização em outra AZ. Posso conecta-lo a máquina que tenho disponível ?
Não. Amazon EBS trabalha com escopo de AZ, a máquina e o disco devem estar na mesma AZ.
Quais os Tipos de Volumes EBS ?
-SSD de uso Geral (gp3 e gp2)
-SSD de IPS provisionado (io2 e io1)
-HDD otimizado de taxa de transferência (st1)
-HDD a frio (sc1)
Quais os tipo de Balanceadores de Carga na AWS ?
-Application Load Balancer
-Network Load Balancer
-Balanceador de Carga de Gateway
-Classic Load Balancer
Como funciona o Application Load Balancer ?
Roteia o tráfego para solicitações baseadas em HTTP/HTTPS [Camada 7].
Como funciona o Network Load Balancer ?
Roteia o tráfego com base na camada de transporte (TCP/SSL) [Camada 4]
Como funciona o Balanceador de Carga de Gateway ?
Roteia o tráfego para dispositivos virtuais de terceiros.
É ideal para incorporar um dispositivo de terceiros, como um firewall de rede, em seu tráfego de rede de forma escalável e fácil de gerenciar.
Como funciona o Classic Load Balancer ?
Roteia o tráfego para aplicações na rede clássica doAmazon EC2, uma rede única e plena que você compartilha com outros clientes
O que é o Amazon EFS (Elastic File System) ?
Armazenamento elástico na AWS
Armazenamento compartilhado (Mesmo filesystem ligado á varias instâncias EC2).
Trabalha com escopo Regional
O que é o Amazon S3 (Simples Storage Service ?
Escopo Regional
Armazenamento em buckets
Criptografia de dados em repouso e dados em trânsito.
Versionamento para recuperação rápida de dados.
Sobre o S3. Quais opções de criptografia em repouso ?
SSE-S3 - Gerenciada pelo S3
SSE-MKS - Gerenciada pelo Management Key Service
SSE-C - Provida pelo cliente (customer)
Sobre o S3. Qual criptografia usada para dados em trânsito ?
TLS - Forçando comunicação com bucket em cima de HTTPS.
Sobre o S3. Como evitar deleções acidentais dos objetos dentro do bucket ?
Habilitando o Versionamento
É possível replicar os objetos de um bucket para outro que esteja em uma região diferente ?
Sim, ativando o Cross-Region Replication. Lembrando que é necessário que ambos os buckets estejam com versionamento habilitado.
Como faço para alterar algum arquivo em um bucket S3 ?
Não é possível alterações pois os objetos são imutáveis. A única maneira de altera um único byte é substituindo o objeto inteiro.
Sobre o S3, descreva o Intelligent-Tiering.
avalia com que frequência o objeto é acessado por um determinado período de tempo e após classifica o objeto, direcionando automaticamente para a camada correta (conforme o uso). Objeto esta sempre em monitoramento pela ferramenta.
Como funciona o multi-part-upload do S3 ?
Pega arquivos grande e divide-o em partes menores, para que caso ocorra alguma falha não aborte todo o upload, demais partes continuam com processo.
O que é o Amazon S3 Transfer Acceleration ?
Medi o quão mais rapido seria enviar um arquivo passando pela Edge Location até a AZ. Assim é possível avaliar se é melhor enviar o arquivo para Edge Location e depois para o Bucket ou se o ideal é enviar o arquivo diretamente para o bucket.
Qual modelo de pagamento do Amazon S3 ?
-Pagando pelo o que utilizar GBs por mês
Transferências para fora da região
Solicitações PUT, COPY, POST, LIST e GET)
O que é gratuito se tratando do Amazon S3 ?
Transferências para o Amazon S3
Transferências do Amazon S3 para outro serviço da mesma região.
Descreva o Amazon Aurora.
Banco de dados relacional compatível om MySQL e PostgreSQL.
Como é a cobrança do Amazon Aurora Serveless
Não paga pela instância rodando, paga quando utiliza o banco de dados.
Para casos de imprevisibilidade de QUANTO será usado do banco, ou bancos usados para testes ou desenvolvimento.
Descreva o Amazon DocumentDB.
Serviço de banco de dados rápido, escalável e altamente disponível compatível com MongoDB
Descreva o Amazon Netune.
NoSQL que trabalha com relacionamento. Banco de Dados baseado em grafos.
Descreva o Amazon Timestream.
Banco de dados de series temporais altamente escalável e totalmente gerenciado.
Descreva o Amazom Quantum Ledger Database (QLDB)
Banco de dados ledger totalmente gerenciado que fornece um log de transações transparente, imutável e criptograficamente verificável.
Descreva o DynamoDB
Bando de dados de chave e valor NoSQL
Descreva o DynamoDB Accelerator (DAX)
Cache gerenciado do DynamoDB com latência de microsegundos.
Em quais bancos de dados é possível ter uma replicação em até 3 AZs com 2 cópias em cada.
Amazon Aurora
Amazon DocumentDB
Amazon Neptune
Descreva o Amazon Redshift
Analise de dados de datawarehouse.
Não oferece suporte a réplica de leitura e não dimensiona automaticamente.
Descreva o Amazon Relational Database Service (RDS).
Banco de Dados relacional na nuvem compatível com os principais SGBDs do mercado.
Quais casos de uso para o Amazon RDS ?
Transações ou consultas complexas
A consulta/gravação de média a alta taxa
Não mais do que um único nó/shard de operador
Alta durabilidade
Quando não usar o Amazon RDS ?
Taxas de leitura/gravação massivas
Sharding
Solicitações e consultas GET/PUT simples
Personalização do RDBMS
Qual diferença entre Réplica de Leitura e Cache ?
Réplica é uma cópia exata do original.
Com cache, há apenas parte do BD, normalmente a parte mais consumida.
Qual conceito do Amazon CloudFront ?
Possui um conceito de CDN (Content Delivery Network).
Cite um exemplo de CDN.
Uma imagem que precisa ser distribuída pra pessoa do mundo todo, no primeiro caso as pessoas teriam que ir até o Bucket S3 (Origem da informação), buscar a informação para utilizar. Mas caso o cliente esteja em SP ou Alemanha, podemos ter um cache (Informação mais consumida, deixar em um dado local [Numa Edge Location]), para que o cliente consuma sem que haja uma perda de experiência (latência reduzida).
Como funciona o Cache do Amazon CloudFront
- A solicitação é roteada para o local de borda ideal.
- O conteúdo que não está em cache é recuperado da origem.
- O conteúdo de origem é transferido ao local de borda do Amazon CloudFront para o armazenamento em cache.
- Os dados sãos transferidos para o usuários final.
Quando uma informação já esta em cache, as etapas 2 e 3 são ignorados.
As informações guardadas em cache ficam ali para sempre ?
Não as informações guardadas em cache possuem um TTL (Time To Live) durando 10m, 1hs até N dias, dependendo de quanto ele é consumido.
Como funciona o Amazon EC2 Auto Scaling
Executa e termina instâncias
Registra as novas instâncias automaticamente nos balanceadores de carga
Integra-se ao Elastic Load Balacing
Descreva o Amazon ElastiCache
Serviço de cache em memória compatível com Redis ou Memcached gerenciado.
Sobre o Amazon ElastiCache, quando usar o Memcached ?
Multithreading
Baixa manutenção
Fácil escalabilidade horizontal com Auto Discovery
Sobre o Amazon ElastiCache, quando usar o Redis ?
Suporte para estruturas de dados
Persistência
Operações atômicas
Mensagens de publicação/assinatura
Replicas de leitura/failover
Modo de cluster/clusters em shard
Descreva sobre o AWS Identity and Access Management (IAM).
-Gerencia de forma centralizada usuários e suas permissões
-Controle de quais recursos da AWS os usuários e/ou aplicações podem acessar
-Criar políticas de usuários, grupos e funções (roles)
-Integração com Microsoft Active Directory e AWS Directory Service
-Pense sempre no menor privilégio possivel.
Quais opções podemos utilizar no AWS IAM para gerir usuários e permissões ?
-Grupos de usuários de IAM
-Funções (Roles) do IAM
-Usuários Federados
-Federação de identidade da web
Sobre o AWS IAM, o que seriam Usuários Federados ?
Usuários que foram criados no AWS Managed ou Microsoft AD e que são importados ao IAM, para que assim o IAM gerencie as permissões.
Sobre o AWS IAM, o que significa Federação de identidade da WEB ?
Provedor de Identidade web (ex Facebook, Google, Linkedin). O AWS Security Token Service, conferi a identidade de um usuário com o provedor, após confirmação AWS STS gera um token de identidade.
Sobre o AWS IAM, toda Role não é permanente pois há um tempo limite de utilização da Role. Qual tempo limite e o que fazer após o termino deste tempo ?
Duração de 15m até 36hs, quando ultrapassar o tempo, as credenciais gerada pela Role (Secret Key, Access Key e Session Token) não terão mais validade, sendo necessário assumir novamente a role para gerar novas credenciais e realizar as interação definidas na role.
Quais formas de proteger os dados em trânsito ao realizar transferências de dados de entrada e de saída da infraestrutura da AWS ?
-SSL/TSL pela WEB
-IPsec para conexões on-premisses (VPN ou AWS Direct Connect)
-Importar/Exportar informações com Snowball (Caso não queria que os dados trafeguem pela internet).
Quais formas de proteger os dados em trânsito quando os dados são enviados para a API da AWS ?
-As chamadas de API usam HTTSP
-Todas as chamadas são assinadas com Sigv4
Quais formas de proteger os dados que estão armazenados dentro da AWS ?
Acesso via HTTP ou HTTPS
Auditoria de acesso de todos os objetos (com Cloud Trail)
Políticas baseadas em recursos (Buckets, Prefixo [Diretório/Pasta], Objetos
Quais criptografias estão disponíveis quando gerenciadas pelo servidor ?
SSE-S3
SSE-MKS
SSE-C
Quais criptografias estão disponíveis quando gerenciadas pelo cliente (customer) ?
CSE-KMS
CSE-C
O que significa SSE e CSE, se tratando de criptografia de dados ?
SSE = Server Side Encription
CSE = Client Side Encription
Se tratando de criptografia de dados, como funciona a Criptografia no lado do Cliente ?
Criptografar objeto antes de enviar (para o S3 por exemplo), guardar criptografado, e depois baixar o objeto criptografada e descriptografar localmente na minha máquina.
Descreva sobre o AWS Certificate Manager.
Provisionar, gerenciar e implantar certificados SSL/TLS públicos e privados para uso com serviços da AWS e seus recursos internos conectados.
Descreva sobre o AWS Key Management Service (AWS KMS).
Serviço de gerenciamento de chave de criptografia.
Alterna as chaves automaticamente e gerencia o uso de chaves antigas
Possibilita que o conteúdo da chave do cliente seja importado.
Aceita chamadas diretas das aplicações para criptografia/descriptografia de chave.
Quais os serviços dentro da AWS possuem integração com o AWS KMS ?
Amazon EBS
Amazon S3
Amazon DynamoDB
Amazon RDS
Amazon EMR
Amazon SES
Amazon Redshift
Amazon CloudTrail
Caso seja necessário cumprir com ré equisitos de conformidade para criptografia de dados, qual serviço posso utilizar e como funciona ?
Utilize o AWS CloudHSM que é um hardware específico dedicado pra gerenciar e criar chaves na nuvem e geridos somente pelo cliente.
É um serviço mais caro comparado com o AWS KMS.
Descreva sobre o Amazon Virtual Private Cloud (Amazon VPC).
Para criar o projeto de arquitetura de rede na nuvem, oferecendo:
-Segurança (Listas de Controle de Acesso e Security Groups)
Isolamento da rede (Internet Gateways, Virtual Private Gateways, NAT Gateways)
Gerenciamento de endereços IP
Acessibilidade à Internet - Sub-redes
Roteamento.
Escopo Regional
Sobre o Amazon VPC, qual a diferença entre Security Groups e Listas de Controle de Acesso (ACLs) ?
Security Groups - Firewall à nível de instância (Stateful)
Listas de Controle de Acesso (ACLs) = Firewall à nível de rede (Stateless)
Sobre o Amazon VPN, caso acabe de criar um Security Group e uma ACL, o que vem configurado por padrão ?
Security Group = Negar todo o tráfego de entrada & Permitir todos tráfego de saída
ACL = Permiti todo o tráfego de entrada e saída.
Sobre o Amazon VPC, o que são as Sub-redes públicas ?
-Suporte ao acesso direto à internet pública
-Especificado por uma entrada da tabela de roteamento para um Internet Gateway
Sobre o Amazon VPC, o que são as Sub-redes privadas ?
-Nenhuma entrada de tabela de roteamento para um Internet Gateway
-Acesso indireto à internet pública usando NAT
Sobre o Security Group do Amazon VPC, como funciona o Modelo Cascata.
Com Modelo Cascata é possível definir que para que o usuário chegue ao banco de dados, será necessário passar pela aplicação, definindo no Security Group de Dados que somente permite entrada de dados que vêm do Security Group da Aplicação, impedindo assim que usuário chegue diretamente aos dados. Sendo necessário definir origem do Security Group como outro Security Group.
Descreva o Internet Gateway do Amazon VPC rapidamente.
Conectar-ser à Internet
Só é possível anexar 1 Internet Gateway à VPC
Descreva o Virtual Private Gateway do Amazon VPC rapidamente.
Conectar-se ao ponto do VPN/Direct Connect.
Solicitações proveniente da internet e não da rede on-premises.
Descreva o AWS Direct Connec do Amazon VPC rapidamente.
Conexão de rede dedicada à rede on-premises.
Link de conexão é fornecido por um parceiro
Descreva o Peering de VPN do Amazon VPC rapidamente.
Conectar-se a outras VPCs.
Necessário aceitar na VPC de origem e destino para criar a construção (mesmo que esteja na mesma conta).
Dar uma entrada na tabela de rotas dos recursos que vão acessar o peering. Assim permite conversar de uma rede para outra.
Se atente ao overlapping, o CIDR não pode ser igual nas duas VPCs.
O que levar em consideração para a estimativa de custo de utilização do Amazon S3 ?
-Classe de Armazenamento
-Armazenamento
-Solicitações
-Transferências de dados
Quais casos de uso para utilizar cada classe de armazenamento do Amazon S3 ?
Standard - Dados de sites frequentemente acessados, mas com informações estáticas.
Infrequente - Não acessa os dados com tanta frequência. Tipo restaurantes com Menu através de QRCode
Glacier - Arquivos de Backup, tipo ligações de empresas de telecom que precisa guardar por até 5 anos.
Quais dicas para otimização de custo do Amazon EBS ?
Excluir volumes desanexados
Redimensionar ou alterar o tipo de volume
Excluir snapshots obsoletos
O que levar em consideração para a estimativa de custo de utilização do Amazon CloudFront ?
Distribuição de tráfego
Solicitações
Transferência de dados de saída
Quais os benefícios de custo ao utilizar o Amazon CloudFront ?
Sem custo para transferência de dados entre S3 e CloudFront.
Pode ser usados para reduzir a carga de trabalho de computação para instâncias do EC2
Quais considerações para a estimativa de custo de utilização do Amazon EC2 ?
-Tempo de utilização
-Família de instância
-Tipo de compra de instância
-Quantidade de instâncias
-Tenancy
-Monitoramento detalhado
-Auto Scaling
-Endereços de IP elásticos
-Tipo de S.O e software
Como realizar uma economia financeira com instâncias do Amazon EC2 ?
Utilizando Instância Reservada (RI) ou Instâncias Spot
