Вам достался монолит, который нужно развернуть на AWS EC2. Монолит имеет встроенную MongoDB, которой по документации на чтение требуется random I/O более 250 000
Какой из вариантов вы выберете?
#AWS_Certification #training
4КБ IOPS.Какой из вариантов вы выберете?
#AWS_Certification #training
Три часа, положенные на экзамен вышли — разбор ответов.
---
EBS optimized instances (2 шт.) выбрали меньше всех — действительно, неправильный и просто бессмысленный, путающий ответ.
---
H1 Instances configured in RAID 10 mode (6 шт.) — второй по популярности, неправильный ответ.
Кто загуглил или знает, что H1 относятся к типа Storage Optimized - могли повестись. Однако засада скрывается в RAID, который предназначен для увеличения пропускной способности, т.е. это последовательное, а не случайное чтение (random I/O, как обозначено в задании).
---
Остаются два, выглядящих подходящими, ответа, которые в процессе голосования менялись местами, но после с большим отрывом вырвался вперёд EBS provisioned IOPS (32 шт.) - и это неправильный ответ.
Требуется более глубокие знания в этом вопросе, то есть фактология. Можно и логикой, в принципе, т.к. цифра в 250 000 иопсов должна вызвать подозрение (своей величиной). Это ОЧЕНЬ много, текущий максимум, что даёт Provisioned IOPS - это 64 000.
===
Потому методом исключения остаётся SSD instance store (14 шт.) - и это правильный ответ.
#AWS_Certification #training #answers
---
EBS optimized instances (2 шт.) выбрали меньше всех — действительно, неправильный и просто бессмысленный, путающий ответ.
---
H1 Instances configured in RAID 10 mode (6 шт.) — второй по популярности, неправильный ответ.
Кто загуглил или знает, что H1 относятся к типа Storage Optimized - могли повестись. Однако засада скрывается в RAID, который предназначен для увеличения пропускной способности, т.е. это последовательное, а не случайное чтение (random I/O, как обозначено в задании).
---
Остаются два, выглядящих подходящими, ответа, которые в процессе голосования менялись местами, но после с большим отрывом вырвался вперёд EBS provisioned IOPS (32 шт.) - и это неправильный ответ.
Требуется более глубокие знания в этом вопросе, то есть фактология. Можно и логикой, в принципе, т.к. цифра в 250 000 иопсов должна вызвать подозрение (своей величиной). Это ОЧЕНЬ много, текущий максимум, что даёт Provisioned IOPS - это 64 000.
===
Потому методом исключения остаётся SSD instance store (14 шт.) - и это правильный ответ.
#AWS_Certification #training #answers
Вопрос по IAM
Спонсор выпуска - заслуженный медиум, полный кавалер подписки на #IAM в четырёх томах, Karen Tovmasyan. Прочитавшему всю его тетралогию (том 1, том 2, том 3, том 4) данный билет покажется смешным. А остальным стандартно три часа на решение, гугление и звонок другу.
===
Билет 2
===
Прилетела задача из дружественного отдела, которые пилят что-то своё финансовое под винду, а потому сидят на Ажуре. Они используют Azure Devops и для интеграции с вашей амазоновской частью их сервис должен ходить в вашу RDS PostgreSQL. У базы данных настроена авторизация по IAM.
Что правильно сделать?
1. Создать юзера с нужными правами, пусть используют его credentials и больше не пристают.
2. Создать роль с нужными правами, а для безопасной безопасности добавить в неё полиси с фильтром по IP их апишки.
3. Создать юзера с нужными правами, сгенерировать ему Security Token, пусть себе пропишут и успокоятся.
4. Создать роль с нужными правами и раз это финансовое приложение, включить в ней condition требование на наличие правильного External ID.
===
#AWS_Certification #training
Спонсор выпуска - заслуженный медиум, полный кавалер подписки на #IAM в четырёх томах, Karen Tovmasyan. Прочитавшему всю его тетралогию (том 1, том 2, том 3, том 4) данный билет покажется смешным. А остальным стандартно три часа на решение, гугление и звонок другу.
===
Билет 2
===
Прилетела задача из дружественного отдела, которые пилят что-то своё финансовое под винду, а потому сидят на Ажуре. Они используют Azure Devops и для интеграции с вашей амазоновской частью их сервис должен ходить в вашу RDS PostgreSQL. У базы данных настроена авторизация по IAM.
Что правильно сделать?
1. Создать юзера с нужными правами, пусть используют его credentials и больше не пристают.
2. Создать роль с нужными правами, а для безопасной безопасности добавить в неё полиси с фильтром по IP их апишки.
3. Создать юзера с нужными правами, сгенерировать ему Security Token, пусть себе пропишут и успокоятся.
4. Создать роль с нужными правами и раз это финансовое приложение, включить в ней condition требование на наличие правильного External ID.
===
#AWS_Certification #training
User vs Role для 3d Party сервисов
Билет 2 про взаимодествие с Амазоном других, внешних по отношению к нему, вещей. В данном конкретном случае шла речь про Azure, однако это точно также справедливао и для GCP, и для локального компьютера - короче, всего, кроме Амазона.
Чтобы найти ответ нужно понимать следующую вещь. Роль - это чисто амазоновская сущность, её можно "прикрепить" только к чему-то, что крутится на Амазоне и только на Амазоне. Например, к юзеру - он будет ею обладать, когда залогинится на Амазон (в консоль или программно) и получит права, в ней указанные. Но её никак нельзя "прикрепить" к чему-то "неамазоновскому", например, вашему коду локально на компьютере или on-prem. Как? Амазон же не сможет через интернет как-то связать вашу ОС или ваш внешний айпишник с IAM-политиками роли у себя внутри, верно? Для этого (чтобы соотнести) нужно авторизоваться как юзер - дальше юзер уже сущность амазоновская и с ней можно делать что угодно.
Получается, если вы хотите интегрировать неамазоновские вещи (локальные или Ажуровский сервис из вопроса) с Амазоном - они могут "заходить" в Амазон только как юзер. Точка. Роли отпадают, они правильный выбор, но ВНУТРИ Амазона. Всё внешнее (читай - "через интернет") — только с помощью юзера.
Так что второй и четвёртый ответы отпадают не вчитываясь.
Дальше уже просто логика. Использовать для юзера Security Token это звучит "по-безопасному", однако если вспомнить, что он ВРЕМЕННЫЙ - живёт максимум 36 часов, а значит не получится его "прописать и забыть" для какого-то сервиса (это же постоянные значения) - тоже отпадает.
Остаётся первый вариант.
===
Судя по количеству неправильных ответов, занесу к себе в минус — значит плохо составил вопрос. Т.к. в принципе, можно, наверное, предположить, что роль ведь тоже нужно создавать, а роли более правильный способ, значит и она может быть ответом. С другой стороны, к таким "неочевидным" вопросам нужно быть готовым, пытаясь понять логику задающего (в данном случае меня) и что от вас вообще хотят.
Итого, целью Билет 2 было донести отличие работы внешних сервисов (3d Party) с Амазоном и что для этого потребуется именно юзер.
п.с. Упоминание #IAM авторизации базы данных было лишь для отвлечения внимания и к сути проблемы вопроса не относится.
#AWS_Certification #training #answers
Билет 2 про взаимодествие с Амазоном других, внешних по отношению к нему, вещей. В данном конкретном случае шла речь про Azure, однако это точно также справедливао и для GCP, и для локального компьютера - короче, всего, кроме Амазона.
Чтобы найти ответ нужно понимать следующую вещь. Роль - это чисто амазоновская сущность, её можно "прикрепить" только к чему-то, что крутится на Амазоне и только на Амазоне. Например, к юзеру - он будет ею обладать, когда залогинится на Амазон (в консоль или программно) и получит права, в ней указанные. Но её никак нельзя "прикрепить" к чему-то "неамазоновскому", например, вашему коду локально на компьютере или on-prem. Как? Амазон же не сможет через интернет как-то связать вашу ОС или ваш внешний айпишник с IAM-политиками роли у себя внутри, верно? Для этого (чтобы соотнести) нужно авторизоваться как юзер - дальше юзер уже сущность амазоновская и с ней можно делать что угодно.
Получается, если вы хотите интегрировать неамазоновские вещи (локальные или Ажуровский сервис из вопроса) с Амазоном - они могут "заходить" в Амазон только как юзер. Точка. Роли отпадают, они правильный выбор, но ВНУТРИ Амазона. Всё внешнее (читай - "через интернет") — только с помощью юзера.
Так что второй и четвёртый ответы отпадают не вчитываясь.
Дальше уже просто логика. Использовать для юзера Security Token это звучит "по-безопасному", однако если вспомнить, что он ВРЕМЕННЫЙ - живёт максимум 36 часов, а значит не получится его "прописать и забыть" для какого-то сервиса (это же постоянные значения) - тоже отпадает.
Остаётся первый вариант.
===
Судя по количеству неправильных ответов, занесу к себе в минус — значит плохо составил вопрос. Т.к. в принципе, можно, наверное, предположить, что роль ведь тоже нужно создавать, а роли более правильный способ, значит и она может быть ответом. С другой стороны, к таким "неочевидным" вопросам нужно быть готовым, пытаясь понять логику задающего (в данном случае меня) и что от вас вообще хотят.
Итого, целью Билет 2 было донести отличие работы внешних сервисов (3d Party) с Амазоном и что для этого потребуется именно юзер.
п.с. Упоминание #IAM авторизации базы данных было лишь для отвлечения внимания и к сути проблемы вопроса не относится.
#AWS_Certification #training #answers
Amazon
GetSessionToken - AWS Security Token Service
Returns a set of temporary credentials for an AWS account or IAM user. The credentials consist of an access key ID, a secret access key, and a security token. Typically, you use GetSessionToken if you want to use MFA to protect programmatic calls to specific…
Билет 3
===
Как можно сохранить файл с его правами 755 на S3?
1. Это невозможно.
2. Можно через S3 API.
3. Можно только сохранив в архиве.
4. Можно с помощью Lifecycle в AWS Console.
#AWS_Certification #training
===
Как можно сохранить файл с его правами 755 на S3?
1. Это невозможно.
2. Можно через S3 API.
3. Можно только сохранив в архиве.
4. Можно с помощью Lifecycle в AWS Console.
#AWS_Certification #training
Ответы на Билет 3 по S3
S3 - объектное хранилище, а не файловая система, потому прикрепить информацию о правах файла невозможно (ведь в #s3 хранятся объекты, а не файлы - как и следует из названия). Потому ответы 2 и 4 отпадают.
Однака аттрибуты файла можно сохранить в архиве:
Который уже сохранить на S3 (в виде объекта). Потому правильный ответ - 3.
===
Цель вопросов по Билет 3 - запомнить, что S3 - это про объекты, а не файлы. Несмотря на то, что там хранятся файлы, все говорят про него как "файловое хранилище", используют термин "путь к файлу", а в консоли даже можно создать "папки" (create folder).
#AWS_Certification #training #answers
S3 - объектное хранилище, а не файловая система, потому прикрепить информацию о правах файла невозможно (ведь в #s3 хранятся объекты, а не файлы - как и следует из названия). Потому ответы 2 и 4 отпадают.
Однака аттрибуты файла можно сохранить в архиве:
tar czf my_file.tar.gz my_fileКоторый уже сохранить на S3 (в виде объекта). Потому правильный ответ - 3.
===
Цель вопросов по Билет 3 - запомнить, что S3 - это про объекты, а не файлы. Несмотря на то, что там хранятся файлы, все говорят про него как "файловое хранилище", используют термин "путь к файлу", а в консоли даже можно создать "папки" (create folder).
#AWS_Certification #training #answers
В связи с недавними проблемами Route53 попался весьма актуальный билет на эту тему. Билеты реальные, нахожу в интернете, лишь меняю без изменения сути, чтобы было сложней нагуглить ответы.
===
Билет 4
===
В мульти-клауд проекте, использующим AWS и Яндекс.Облако, требуется обеспечить максимальную надёжность взаимного DNS-разрешения ресурсов. В обоих клаудах ресурсы находятся внутри собственных VPC.
Что вы будете использовать для EC2 инстансов в VPC на стороне AWS:
1. Route Tables.
2. VPC peering.
3. Internet Gateway.
4. DHCP option set.
#AWS_Certification #training #AWS #yandex
===
Билет 4
===
В мульти-клауд проекте, использующим AWS и Яндекс.Облако, требуется обеспечить максимальную надёжность взаимного DNS-разрешения ресурсов. В обоих клаудах ресурсы находятся внутри собственных VPC.
Что вы будете использовать для EC2 инстансов в VPC на стороне AWS:
1. Route Tables.
2. VPC peering.
3. Internet Gateway.
4. DHCP option set.
#AWS_Certification #training #AWS #yandex
Ответы на Билет 4 по DNS
Вопрос был по теме DNS и с учётом этого потому ответ можно было найти весьма просто - отбросив ответы, не влияющие и никак не связанные с DNS.
1. Route Tables - точно никакой связи с DNS - сразу отбрасываем, это неправильный ответ.
2. VPC peering - не только не связан с DNS, но и просто нет, понятно, такого функционала - VPC пиринг из AWS к Яндекс.Облаку (было бы прикольно, если бы был, но нет), всё-таки это разные сущности разных облаков, хоть и реализуют одинаковую функцию. Это неправильный ответ.
3. Internet Gateway - можно, в принципе, связать с DNS, например, предполагая гугловые DNS, но, всё же, это просто обеспечение доступа. Кроме того, была речь о VPC, а значит - приватная часть. Это неправильный ответ.
4. DHCP option set - оставшийся последним правильный ответ. Он непосредственно связан с DNS — с его помощью можно задать используемые EC2-виртуалками DNS-сервера.
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html#DHCPOptionSets
Можно добавить, что ровно этот способ применяется, чтобы разрешать внутри AWS VPC адреса внешних по отношению к Амазону ресурсов. Так что пример с #yandex тут совершенно уместен.
#AWS_Certification #training #answers #VPC #DHCP
Вопрос был по теме DNS и с учётом этого потому ответ можно было найти весьма просто - отбросив ответы, не влияющие и никак не связанные с DNS.
1. Route Tables - точно никакой связи с DNS - сразу отбрасываем, это неправильный ответ.
2. VPC peering - не только не связан с DNS, но и просто нет, понятно, такого функционала - VPC пиринг из AWS к Яндекс.Облаку (было бы прикольно, если бы был, но нет), всё-таки это разные сущности разных облаков, хоть и реализуют одинаковую функцию. Это неправильный ответ.
3. Internet Gateway - можно, в принципе, связать с DNS, например, предполагая гугловые DNS, но, всё же, это просто обеспечение доступа. Кроме того, была речь о VPC, а значит - приватная часть. Это неправильный ответ.
4. DHCP option set - оставшийся последним правильный ответ. Он непосредственно связан с DNS — с его помощью можно задать используемые EC2-виртуалками DNS-сервера.
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html#DHCPOptionSets
Можно добавить, что ровно этот способ применяется, чтобы разрешать внутри AWS VPC адреса внешних по отношению к Амазону ресурсов. Так что пример с #yandex тут совершенно уместен.
#AWS_Certification #training #answers #VPC #DHCP
Amazon
DHCP option sets in Amazon VPC - Amazon Virtual Private Cloud
Configure DHCP options to control DNS, domain, and NTP settings for network devices in your VPC. Manage DNS resolution capabilities.
Forwarded from AWS User Group Tashkent (Said Akhmed Agitaev)
Where can you find AWS learn study guides?
AWS Ramp-Up Guides provide you a step-by-step guides for a specific goal. They can be browsed by cloud role, solution or even industry-specific.
Explore them here: https://bit.ly/awsguides
Each guide is downloadable and features suggested digital trainings, whitepapers, relevant certifications, labs, workshops and more.
#training #guide
AWS Ramp-Up Guides provide you a step-by-step guides for a specific goal. They can be browsed by cloud role, solution or even industry-specific.
Explore them here: https://bit.ly/awsguides
Each guide is downloadable and features suggested digital trainings, whitepapers, relevant certifications, labs, workshops and more.
#training #guide
❤1👍1