안녕하세요! 넥스트클라우드의 SA 손유림입니다. 😊
문제는 세 가지 단계를 거치며 풀어 나갈 거예요.
1. 문제의 요구사항 분석하기
2. 관련 AWS 서비스 생각하기
3. 선택지 분석하기
바로 문제 풀이 해볼까요?
문제1
회사에서 AWS에 새로운 퍼블릭 웹 애플리케이션을 배포하고 있습니다.
애플리케이션은 ALB(Application Load Balancer) 뒤에서 실행됩니다.
외부 인증 기관(CA)에서 발급한 SSL/ TLS 인증서를 사용하여 엣지에서 애플리케이션을 암호화해야 합니다.
인증서는 만료되기 전에 매년 교체해야 합니다. 솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?
선택지
A. AWS Certificate Manager(ACM)를 사용하여 SSL/TLS 인증서를 발급합니다. ALB에 인증서를 적용합니다. 관리형 갱신 기능을 사용하여 인증서를 자동으로 교체하십시오.
B. AWS Certificate Manager(ACM)를 사용하여 SSL/TLS 인증서를 발급합니다. 인증서에서 키 자료를 가져옵니다. 인증서를 AL에 적용관리형 갱신 기능을 사용하여 인증서를 자동 으로 교체하십시오.
C. AWS Certificate Manager(ACM) 사설 인증 기관을 사용하여 루트 CA에서 SSL/TLS 인증서를 발급합니다. ALB에 인증서를 적용합니다. 관리형 갱신 기능을 사용하여 인증서를 자동으로 교체하십시오.
D. AWS Certificate Manager(ACM)를 사용하여 SSL/TLS 인증서를 가져옵니다. ALB에 인증서를 적용합니다. 인증서 만료가 가까워지면 Amazon EventBridge(Amazon CloudWatch Events)를 사용하여 알림을 보냅니다. 인증서를 수동으로 교체하십시오.
풀이
AWS Certificate Manager(ACM)를 사용하면 퍼블릭 웹 애플리케이션의 SSL/TLS 인증서를 효율적으로 관리할 수 있습니다. 외부 CA에서 발급받은 인증서를 ACM으로 가져온 후 ALB와 연동할 수 있으며, ACM은 인증서 만료가 임박하면 EventBridge를 통해 알림을 보내줍니다. 이를 통해 인증서를 수동으로 갱신할 수 있어 연간 인증서 교체 요구사항을 충족할 수 있습니다.
정답 : D
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 퍼블릭 웹 애플리케이션에 SSL/TLS 암호화 적용
- 외부 CA에서 발급한 인증서 사용
- 매년 인증서 교체
2. 관련 AWS 서비스 생각하기
- AWS Certificate Manager(ACM)는 SSL/TLS 인증서의 관리와 갱신을 간소화하는 서비스입니다. ACM을 통해 무료로 퍼블릭 인증서를 발급받거나 외부 인증 기관에서 발급받은 인증서를 가져와 관리할 수 있습니다. 특히 CloudFront나 ALB와 같은 AWS 서비스들과 원활하게 통합되며, AWS IAM과 연동하여 세밀한 접근 제어도 가능합니다.
- Application Load Balancer(ALB)는 HTTP/HTTPS 트래픽을 처리하는 Layer 7 수준의 로드 밸런서로, SSL/TLS 종료(SSL Offloading)를 지원합니다. ACM과 통합되어 인증서 관리가 용이하며, 경로 기반 또는 호스트 기반의 고급 라우팅 규칙을 설정할 수 있습니다. 또한 웹소켓과 HTTP/2 프로토콜을 지원하여 현대적인 웹 애플리케이션 배포에 적합합니다.
- Amazon EventBridge는 서버리스 이벤트 버스 서비스로, ACM의 인증서 상태를 모니터링하고 만료가 임박했을 때 알림을 보내는 데 활용됩니다. SNS를 통해 이메일이나 SMS로 알림을 보내거나, Lambda 함수를 호출하여 자동화된 작업을 수행할 수 있습니다.
3. 선택지 분석하기
A. AWS Certificate Manager(ACM)를 사용하여 SSL/TLS 인증서를 발급합니다. ALB에 인증서를 적용합니다. 관리형 갱신 기능을 사용하여 인증서를 자동으로 교체하십시오.
→ ACM은 자체 발급 인증서만 자동 갱신하므로 요구사항에 맞지 않습니다.
B. AWS Certificate Manager(ACM)를 사용하여 SSL/TLS 인증서를 발급합니다. 인증서에서 키 자료를 가져옵니다. 인증서를 ALB에 적용합니다. 관리형 갱신 기능을 사용하여 인증서를 자동으로 교체하십시오.
→ ACM은 자체 발급 인증서만 자동 갱신할 수 있습니다.
C. AWS Certificate Manager(ACM) 사설 인증 기관을 사용하여 루트 CA에서 SSL/TLS 인증서를 발급합니다. ALB에 인증서를 적용합니다. 관리형 갱신 기능을 사용하여 인증서를 자동으로 교체하십시오.
→ 문제에서 외부 CA에서 발급한 인증서를 사용해야 한다고 명시되어 있습니다. ACM 사설 CA는 내부용 인증서에 사용되는 서비스로, 퍼블릭 웹 애플리케이션에는 부적합합니다. 외부 CA 사용 요구사항을 충족하지 못합니다.
D. AWS Certificate Manager(ACM)를 사용하여 SSL/TLS 인증서를 가져옵니다. ALB에 인증서를 적용합니다. 인증서 만료가 가까워지면 Amazon EventBridge를 사용하여 알림을 보냅니다. 인증서를 수동으로 교체하십시오.
이어서 다음 문제입니다.
문제2
회사의 HTTP 애플리케이션은 NLB(Network Load Balancer) 뒤에 있습니다.
NLB의 대상 그룹은 웹 서비스를 실행하는 여러 EC2 인스턴스와 함께 Amazon EC2 Auto Scaling 그룹을 사용하도록 구성됩니다.
회사는 NLB가 애플리케이션에 대한 HTTP 오류를 감지하지 못한다는 것을 알게 됩니다.
이러한 오류는 웹 서비스를 실행하는 EC2 인스턴스를 수동으로 다시 시작해야 합니다.
회사는 사용자 지정 스크립트나 코드를 작성하지 않고 애플리케이션의 가용성을 개선해야 합니다.
솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?
선택지
A. 회사 애플리케이션의 URL을 제공하여 NLB에서 HTTP 상태 확인을 활성화합니다.
B. EC2 인스턴스에 cron 작업을 추가하여 1분에 한 번씩 로컬 애플리케이션의 로그를 확인합니다. HTTP 오류가 감지된 경우. 응용 프로그램이 다시 시작됩니다.
C. NLB를 Application Load Balancer로 교체합니다. 회사 애플리케이션의 URL을 제공하여 HTTP 상태 확인을 활성화합니다. 비정상 인스턴스를 교체하도록 Auto Scaling 작업을 구성합니다.
D. NLB에 대한 UnhealthyHostCount 지표를 모니터링하는 Amazon Cloud Watch 경보를 생성합니다. 경보가 ALARM 상태일 때 비정상 인스턴스를 교체하도록 Auto Scaling 작 업을 구성합니다.
풀이
NLB는 TCP/UDP 트래픽에 대한 로드밸런싱만 지원하므로 HTTP 상태 확인 기능이 없습니다. 따라서 ALB로 교체하면 HTTP 상태 확인을 통해 애플리케이션의 가용성을 모니터링할 수 있습니다. 또한 Auto Scaling 작업을 구성하여 비정상적인 인스턴스를 자동으로 교체하도록 할 수 있어, 수동 개입 없이 애플리케이션의 가용성을 개선할 수 있습니다.
정답 : C
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- HTTP 애플리케이션 실행 중
- NLB는 HTTP 오류 감지 못함
- 사용자 지정 스크립트나 코드 작성 없이 가용성 개선 필요
2. 관련 AWS 서비스 생각하기
- Network Load Balancer(NLB)는 TCP와 UDP 프로토콜을 기반으로 한 로드밸런싱을 제공하는 서비스입니다. 네트워크 계층에서 작동하며 매우 높은 성능과 낮은 지연 시간을 제공하여 고성능 애플리케이션에 적합합니다.
- Application Load Balancer(ALB)는 HTTP와 HTTPS 프로토콜을 기반으로 작동하는 로드밸런서입니다. 애플리케이션 계층에서 트래픽을 처리하며, HTTP 상태 확인을 통해 대상 인스턴스의 정상 여부를 지속적으로 모니터링할 수 있습니다. 또한 경로 기반 라우팅과 같은 고급 라우팅 기능도 제공합니다.
- Amazon EC2 Auto Scaling은 애플리케이션의 가용성을 자동으로 유지하는 서비스입니다. 설정된 조건에 따라 EC2 인스턴스를 자동으로 확장하거나 축소하며, 상태 확인을 통해 비정상 인스턴스를 감지하고 자동으로 교체할 수 있습니다. 이를 통해 수동 개입 없이도 안정적인 애플리케이션 운영이 가능합니다.
3. 선택지 분석하기
A. 회사 애플리케이션의 URL을 제공하여 NLB에서 HTTP 상태 확인을 활성화합니다.
→ NLB는 HTTP 상태 확인을 지원하지 않습니다.
B. EC2 인스턴스에 cron 작업을 추가하여 1분에 한 번씩 로컬 애플리케이션의 로그를 확인합니다. HTTP 오류가 감지된 경우 응용 프로그램이 다시 시작됩니다.
→ 사용자 지정 스크립트나 코드를 작성해야 하므로 요구사항에 부합하지 않습니다.
C. NLB를 Application Load Balancer로 교체합니다. 회사 애플리케이션의 URL을 제공하여 HTTP 상태 확인을 활성화합니다. 비정상 인스턴스를 교체하도록 Auto Scaling 작업을 구성합니다.
D. NLB에 대한 UnhealthyHostCount 지표를 모니터링하는 Amazon Cloud Watch 경보를 생성합니다. 경보가 ALARM 상태일 때 비정상 인스턴스를 교체하도록 Auto Scaling 작업을 구성합니다.
→ NLB는 HTTP 상태 확인을 지원하지 않으므로 UnhealthyHostCount 지표를 통한 모니터링에는 한계가 있습니다.
마지막 문제 살펴볼게요.
문제3
회사는 회계 기록을 Amazon S3에 저장해야 합니다. 기록은 1년 동안 즉시 액세스할 수 있어야 하며 추가 9년 동안 보관해야 합니다.
관리 사용자 및 루트 사용자를 포함하여 회사의 그 누구도 전체 10년 기간 동안 레코드를 삭제할 수 없습니다.
기록은 최대한 탄력적으로 저장해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
선택지
A. 전체 10년 동안 S3 Glacier에 레코드를 저장합니다. 액세스 제어 정책을 사용하여 10년 동안 레코드 삭제를 거부합니다.
B. S3 Intelligent-Tiering을 사용하여 레코드를 저장합니다. IAM 정책을 사용하여 레코드 삭제를 거부합니다. 10년 후 삭제를
허용하도록 IAM 정책을 변경합니다.
C. S3 수명 주기 정책을 사용하여 1년 후 레코드를 S3 Standard에서 S3 Glacier Deep Archive로 전환합니다. 10년 동안 규정 준수 모드에서 S3 객체 잠금을 사용합니다.
D. S3 수명 주기 정책을 사용하여 1년 후 레코드를 S3 Standard에서 S3 One Zone-Infrequent Access(S3 One Zone-IA)로 전환합니다. 10년 동안 거버넌스 모드에서 S3 객체 잠금을 사용합니다.
풀이
10년 동안의 레코드 보관과 삭제 방지 요구사항을 충족하기 위해서는 S3 객체 잠금과 S3 Glacier Deep Archive를 결합하는 것이 적합합니다. 첫 1년 동안은 S3 Standard에 저장하여 즉시 접근이 가능하도록 하고, 이후 9년 동안은 S3 Glacier Deep Archive로 자동 전환하여 비용 효율적으로 보관할 수 있습니다. S3 객체 잠금을 규정 준수 모드로 설정하면 전체 보관 기간 동안 관리자를 포함한 모든 사용자의 삭제가 불가능하며, S3 수명 주기 정책을 통해 스토리지 클래스 간 자동 전환을 구성할 수 있습니다.
정답 : C
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 1년 동안 즉시 액세스 가능, 이후 9년간 보관
- 10년 동안 레코드 삭제 불가능
2. 관련 AWS 서비스 생각하기
S3 스토리지 클랙스 선택 기준 | 적합한 클래스 |
자주 액세스하는 데이터 | S3 Standard |
즉시 액세스 필요 | S3 Standard 또는 S3 Standard-IA |
즉시 액세스 + 재생성 가능한 데이터나 백업 데이터 | S3 One Zone-IA |
예측하기 어려운 사용 패턴 가변적이고 빠르게 변화하는 액세스 패턴 |
S3 Intelligent-Tiering |
장기 보관 | S3 Glacier Deep Archive |
즉시 액세스 + 장기 보관 | S3 Standard에서 시작하여 수명 주기 정책으로 S3 Glacier Deep Archive로 전환 |
- One Zone: 단일 가용 영역
3. 선택지 분석하기
A. 전체 10년 동안 S3 Glacier에 레코드를 저장합니다. 액세스 제어 정책을 사용하여 10년 동안 레코드 삭제를 거부합니다.
→ S3 Glacier는 장기 보관 최적화 스토리지이나 1년 동안의 즉시 액세스 요구사항을 충족하기 어렵습니다.
B. S3 Intelligent-Tiering을 사용하여 레코드를 저장합니다. IAM 정책을 사용하여 레코드 삭제를 거부합니다. 10년 후 삭제를 허용하도록 IAM 정책을 변경합니다.
→ IAM 정책으로 영구적인 삭제 방지는 어렵고, 10년 후 정책 변경이 필요하므로 요구사항에 부합하지 않습니다.
C. S3 수명 주기 정책을 사용하여 1년 후 레코드를 S3 Standard에서 S3 Glacier Deep Archive로 전환합니다. 10년 동안 규정 준수 모드에서 S3 객체 잠금을 사용합니다.
D. S3 수명 주기 정책을 사용하여 1년 후 레코드를 S3 Standard에서 S3 One Zone-Infrequent Access(S3 One Zone-IA)로 전환합니다. 10년 동안 거버넌스 모드에서 S3 객체 잠금을 사용합니다.
→ S3 One Zone-IA는 장기 보관에 적합하지 않으며, 거버넌스 모드에서는 삭제 보호가 영구적이지 않습니다.
감사합니다. 다음 글에서 만나요! 😊
'AWS > SAA 준비' 카테고리의 다른 글
AWS SAA 합격으로 가는 길 #43 (0) | 2024.12.16 |
---|---|
AWS SAA 합격으로 가는 길 #42 (2) | 2024.12.13 |
AWS SAA 합격으로 가는 길 #40 (0) | 2024.12.06 |
AWS SAA 합격으로 가는 길 #39 (0) | 2024.12.02 |
AWS SAA 합격으로 가는 길 #38 (2) | 2024.11.29 |