CSAA PRACTICE TEST 4

5

1. AWS CloudTrail加密问题：默认情况下，将使用 服务器端加密 (SSE) 对 事件日志文件进行加密。您还可以选择使用 AWS Key Management Service (AWS KMS) 密钥加密您的日志文件。您可以将日志文件在存储桶中存储任意长的时间。您也可以定义 Amazon S3 生命周期规则以自动存档或删除日志文件。如果您想接收有关日志文件传送和验证的通知，可以设置 Amazon SNS 通知。
2. CloudTrail的工作原理

1. 账户监控创建时机：在您创建 账户时，将对账户启用 。当您的 AWS 账户中发生活动时，该活动将记录在 CloudTrail 事件中。您可以通过转到Event history (事件历史记录) 轻松查看 CloudTrail 控制台中的事件。利用事件历史记录，您可以查看、搜索和下载 账户中过去 90 天的 活动。此外，您还可以创建一个 CloudTrail 跟踪来存档、分析和响应您的 AWS 资源的变化。跟踪是一种配置，可用于将事件传送到您指定的 Amazon S3 存储桶。也可以使用 Amazon CloudWatch Logs 和 Amazon CloudWatch Events 传送和分析跟踪中的事件。您可使用 CloudTrail 控制台、AWS CLI 或 CloudTrail API 创建跟踪。
2. 您可以创建两种类型的跟踪

1. 应用到所有区域的跟踪：当您创建一个应用于所有区域的跟踪时，CloudTrail 会记录每个区域中的事件，并将 CloudTrail 事件日志文件传输到您指定的 S3 存储桶。如果您在创建应用到所有区域的跟踪后又添加了一个区域，则该新区域会自动包括在内，该区域中的事件也将被记录。在 CloudTrail 控制台中创建跟踪时，这是默认选项。有关更多信息，请参阅在控制台中创建跟踪。
2. 应用到一个区域的跟踪：当您创建一个只应用于一个区域的跟踪时，CloudTrail 仅记录该区域中的事件。然后，它将 CloudTrail 事件日志文件传输到您指定的 Amazon S3 存储桶。如果您另外创建了单个跟踪，可以让这些跟踪将 CloudTrail 事件日志文件传送到同一个 Amazon S3 存储桶或单独的存储桶。这是使用 AWS CLI 或 CloudTrail API 创建跟踪时的默认选项。
3. 注意：对于这两种类型的跟踪，您可以指定来自任何区域的 Amazon S3 存储桶。

4. 日志传输策略：CloudTrail 通常会在账户活动发生后的 15 分钟内传送日志文件。此外，CloudTrail 一小时内会多次发布日志文件，通常约每 5 分钟发布一次。这些日志文件包含账户中来自支持 CloudTrail 的服务的 API 调用。

10

1. 如果只是需要高性价比的文件归档解决方案，直接使用Glacier是最佳选择

11

1. 流量控制：如果web server与db instance在一个VPC中，设置流量访问控制建议直接使用SecurityGroup；
2. NACL的使用场景：主要用于你想拒绝一个指定的IP访问或者一个CIDR 块的访问的时候
3. 简单来说，只是流量控制，使用SecurityGroup，如果有拒绝某些IP和CIDR的场景，就配合上NACL来控制流量；

24

1. AWS的最佳实践的跨AZ部署服务包括如下：DNS/ELB/Application Load Banlancer/API Gateway/EC2；
2. S3-IA/S3已经支持Region内的高可用；
3. DynamoDB已经是支持了跨Region容灾，单region内多AZ的高可用；

36

1. SSE-S3:需要S3管理data和master的Encrypted keys；
2. SSE-C：需要你自己管理Encrypted keys；
3. SSE-KMS：需要AWS管理Data keys，客户管理master keys；
4. SSL：是数据传输加密

41

1. Redshift是一个基于column-oriented、全托管、PB级别的数据仓库，支持你使用现有的BI工具进行数据分析，提供简单高性价比的分析能力；
2. Redshift归档存储高效、并行查询的性能优化较好，列式高效存储，目标数据encoding 压缩；

51

1. ECR：Amazon Elastic Container Registry (ECR) 是完全托管的 Docker 容器注册表，可使开发人员轻松存储、管理和部署 Docker 容器映像。Amazon ECR 与 Amazon Elastic Container Service (ECS) 集成，从而简化生产工作流程的开发。Amazon ECR 使您无需操作自己的容器注册表，或使您不必为扩展底层基础架构而感到担心。Amazon ECR 将您的映像存储在高度可用、可扩展的基础架构中，使您能够为应用程序可靠部署容器。与 AWS Identity and Access Management (IAM) 集成使您可以对每个存储库进行资源级别的控制。Amazon ECR 没有预付费用或长期合约。您只需为存储库中存储的数据量以及传输到 Internet 的数据量付费。

59

1. RDS的只读副本：Amazon RDS Read Replicas 可增强数据库实例的性能和持久性。此功能可轻松实现弹性扩展，突破单个数据库实例的容量限制，以处理高读取量的数据库工作负载。您可以为给定的源数据库实例创建一个或多个副本，利用多份数据副本满足大量应用程序读取流量需求，以此增加总读取吞吐量。只读副本在需要时还能升级成独立的数据库实例。Amazon RDS for MySQL、MariaDB 和 PostgreSQL 以及 Amazon Aurora 均提供只读副本。
2. RDS的只读副本机制：对于 MySQL、MariaDB 和 PostgreSQL 数据库引擎，Amazon RDS 使用源数据库实例快照创建第二个数据库实例。然后在源数据库实例发生更改时，使用引擎的本机异步复制功能更新只读副本。只读副本是仅允许只读连接的数据库实例；应用程序可按其连接到任何数据库实例的方式连接到只读副本。Amazon RDS 复制源数据库实例中的所有数据库。
3. Aurora副本机制：Amazon Aurora 采用专为数据库工作负载构建的 SSD 型虚拟存储层。Amazon Aurora 副本与源实例共用同一个底层存储，从而降低成本并消除将数据复制到副本节点的需求。
4. RDS数据分片：这个AWS官方没有给出托管服务支持，需要我们应用层做解决方案，或者通过构建独立的中间件解决；
5. ElasticCache：Amazon ElastiCache 提供完全托管 Redis 和 Memcached。无缝部署、操作和扩展热门开放源代码兼容的内存数据存储。通过从高吞吐量和低延迟的内存数据存储中检索数据，构建数据密集型应用程序或提升现有应用程序的性能。Amazon ElastiCache 是游戏、广告技术、金融服务、医疗保健和 IoT 应用程序的热门选择

60

1. 多语言的app部署上云的场景下，每个应用及语言都不同的时候，那么lambda很显然不合适；
2. 这里建议使用docker容器进行隔离封装，然后通过Beanstalk进行快速不出，这样的部署方式是最快的；

1. Elastic Beanstalk 支持从 Docker 容器部署 Web 应用程序。使用 Docker 容器，您可以定义自己的运行时环境。您可以选择自己的平台、编程语言以及其他平台不支持的任何应用程序依赖项 (如包管理器或工具)。Docker 容器具有独立性，包含您的 Web 应用程序运行所需的所有配置信息和软件。
2. 将 Docker 与 Elastic Beanstalk 配合使用会得到一种基础设施，可以自动处理容量配置、负载均衡、扩展和应用程序运行状况监控的详细信息。您可以在支持与 Elastic Beanstalk 集成的服务范围的环境中管理 Web 应用程序，包括但不限于 VPC、RDS 和 IAM。