AWS 认证解决方案架构师：助理学习指南

内容分发网络 (CDN)

安全

存储网关

由于我的AWS 认证解决方案架构师：专业版考试安排在 2019 年 9 月下旬，我想我最终会整理出所有笔记并收集AWS 认证解决方案架构师：助理版的内容。

作为参考，以下是AWS认证解决方案架构师的认证学习路径：

一般初步提醒：

确保在考试前拥有 AWS 的实际操作经验
以下内容可能会随着 AWS 发布新服务而发生变化。这是我在 2019 年参加考试时更新的内容。December 2018.
有些内容比较混乱，仍在努力将其整理好。
这篇文章的部分内容是从各种来源零散整理的。我把它带到这里，希望能对大家有所帮助！:)

基础知识（101）

AWS 全球基础设施
您永远不会接受数字测试（例如区域/可用区域的数量）

区域
-> 地理区域（巴西、欧洲、亚洲等）。每个区域包含两个或多个可用区 (AZ)。它们不在同一物理空间内（即使发生洪水，其他数据中心仍然可以响应）。
可用区 -> 数据中心

北美地区：

美国东部（弗吉尼亚北部）
美国东部（俄亥俄）地区
美国西部（俄勒冈）区域
美国西部（加利福尼亚北部）地区
AWS GovCloud（美国西部地区）
加拿大（中部）

边缘站点-> CDN（内容分发网络）。他们一直在添加新的站点，目前已超过 100 个。边缘站点的数量远多于区域数量。
亚马逊提供的主要服务。基于 2017 年末/2018 年初的数据。

Route53：DNS服务

EC2：虚拟机和/或计算

ECS：虚拟机+docker

Elastic Beanstalk：部署应用程序，无需担心基础设施。适合初学者。

Lambda：无服务器。上传代码，无需配置任何服务器/虚拟机。Amazon Echo 使用 Lambda。

Lightsail：开箱即用的云。具有固定配置的虚拟服务器

贮存

S3：云端虚拟磁盘。基于对象的存储

Glacier：存档 - 成本低，但访问不是即时的

EFS：弹性文件服务，挂载磁盘没有特定大小，自动（弹性）增长

存储网关：具有 S3 支持的前提下的 VM。

缓存网关：在本地缓存来自 S3 的信息

数据库

RDS：Mysql、MariaDB、Microsoft SQL、Oracle、Aurora 等。

DynamoDB：非关系数据库（NoSQL 数据库）

Red Shift：数据仓库。复制您自己的数据来创建报告

Elasticache：缓存（可以采用redis或者memcached两种技术）

移民

Snowball：亚马逊寄给你的便携式磁盘，你往里面填满数据后寄回，亚马逊再导入。有几种类型（取决于你需要迁移的数据量）

DMS：数据库迁移服务：将数据库迁移到 AWS

SMS：服务器迁移服务：将虚拟机迁移到 AWS

分析

Athena：在 S3 上运行 SQL 查询。CVS 或 XML。将平面文件转换为数据库

Elastik Map Reduce (EMR)：大数据处理。海量数据。后台使用 HADOPP/Apache Spark

搜索

ElasticSearch：使用 Lucene。开源

云搜索：完全由 AWS 管理。与 ES 的技术相同

Kinesis：流式传输并分析流数据。大数据

情感分析：社交媒体流

数据管道：将数据从一个地方移动到另一个地方。例如将 S3 迁移到 DynamoDB，反之亦然。

Quicksight：分析数据、创建仪表板等。

安全和身份

IAM：身份验证、权限等。

检查器：检查虚拟机（状态等）

证书管理器：管理 SSL 证书

目录服务：Active Directory 管理

WAF（Web 应用防火墙）：应用网络防护，防止 DDOS 和黑客攻击。在网络防火墙之上

工件：合规文件

管理工具

Cloudwatch：获取有关 VM、CPU、内存等的信息。存储不同类型的日志

云形成：将服务器转化为代码。用于构建整个网络/服务器的模板

Cloud Trail：审计 AWS 资源

OpWorks：配置管理服务，提供 Chef 和 Puppet 实例。自动部署

服务目录：管理组织中的镜像（vm）和授权服务器

Trusted Advisor：自动提示和性能优化。自动扫描环境以查找问题/安全问题

应用服务

步骤函数：可视化应用程序/微服务内部的步骤。无服务器编排

SWF：简单工作流服务。方便执行自动化（作业）和人工（例如，从存储中获取数据）任务。

API 网关：AWS 中通往 AWS 服务、后端服务或您自己的代码的门户。例如，可以调用 Lambda 函数。

AppStream：将桌面应用程序流式传输给用户

Elastic Transcoder：视频工具。可更改格式、调整大小等。

开发者工具

代码提交：将代码存储在云端。GIT

代码构建：按分钟付费，在不同环境下编译代码

代码部署：将代码部署到EC2。自动构建等。

代码管道：跟踪不同环境之间的代码差异，构建管道（例如，提交代码时触发编译，运行单元测试等）

人工智能

Polly：将文本转换为 Mp3 的服务

机器学习：数据集、分析数据、预测

Rekognition：图像识别和处理

消息传递

SNS：简单的通知服务 - 警报系统，通过短信、HTTP 端点、电子邮件等。

SQS：简单队列服务：消息队列

SES：简单电子邮件服务：SMPT

API 网关

将来自端点的响应缓存一段时间（TTL）
缓存可以加密，可以刷新，并且可以定义大小
你无法重新生成缓存
低成本、高效
轻松扩展
限制请求以防止攻击
连接到 CloudWatch 来记录请求并进行故障排除
包含默认的 DDOS 保护

跨域资源共享（CORS）

另一端的服务器可以放宽同源策略
允许网页上的受限资源来自另一个域的机制

AWS CLI

命令行配置AWS

您不使用控制台用户和密码，而是使用添加 IAM 用户时提供的安全和访问密钥。
如果您丢失了这些值，则必须重新生成它们，它们仅在添加用户后显示。AWS Config

配置资源的详细视图

使用所需设置评估配置
获取 AWS 账户中当前配置的快照
检索历史配置
当资源被创建、修改或删除时接收通知
查看资源之间的关系计算 EC2 - 弹性计算云，AWS 中的虚拟/专用机器 Lightsail - 虚拟专用服务器，具有固定 IP 且通过 SSH/RDP 访问的哑服务器，未充分利用 AWS 服务弹性容器服务 - 大规模运行和管理 docker 容器 Lambda - 代码上传到云端，您可以控制其执行时间（无需担心底层机器）批处理 - 用于云中的批处理计算 Elastic Beanstalk - 开发人员可以上传应用程序，AWS 自动配置

贮存

S3 - 简单存储服务，基于对象的存储。文件上传到 AWS 存储桶
EFS - 弹性文件系统，网络附加存储 (NFS)
Glacier - 数据归档，用于存储不经常访问且价格低廉的数据
Snowball - 将大量数据导入 AWS 的方式，物理雪球被发送到数据中心，然后发送到 AWS，由 AWS 为您导入
存储网关 - 虚拟设备，您在办公室安装的虚拟机，数据将复制回亚马逊

数据库

RDS - 关系数据库服务（MySQL、MSSQL、PostgreSQL、Aurora、Oracle 等）
DynamoDB - 非关系数据库（Redis 等）
Elasticache - 从数据库服务器缓存常见查询内容（前 10 个产品等）
Red Shift - 数据仓库/商业智能、复杂查询（进行损益分析、耗时查询等）

迁移

AWS Migration Hub - 用于在应用程序迁移到 AWS 应用程序发现服务 (ADS) 时对其进行跟踪的跟踪服务 - 用于检测应用程序类型和相关依赖关系数据库的自动化工具
- 迁移服务 (DMS) - 将数据库从本地迁移到 AWS 服务器的简便方法迁移服务 - 将虚拟/物理服务器迁移到 AWS 云的简便方法 Snowball - 与存储类似，这有助于将大量数据迁移到云中

网络和内容交付

VPC（虚拟私有云）——本质上是一个虚拟数据中心（配置防火墙、可用区、地址范围、网络访问控制列表 (ACL)、根表等）。需要彻底理解它才能通过！
- CloudFront - 亚马逊的内容分发网络，通过靠近用户存储的方式向用户提供媒体资产（视频文件、音频文件等）
Route53 - 亚马逊的 DNS 服务
- API 网关 - 亚马逊创建 API 的方式，用于服务通信
- Direct Connect——亚马逊从您的企业到 AWS 运行专线的方式

开发人员工具

CodeStar - 为开发人员提供代码项目管理
CodeCommit - 存储代码的地方（源代码控制），私有 git 存储库
CodeBuild - 编译、测试代码并构建可供部署的包
CodeDeploy - 将应用程序部署到 EC2、Lambda、本地的部署服务
CodePipeline - 持续交付模型/可视化/自动化软件发布步骤
X-Ray - 用于通过显示跟踪来调试/分析无服务器应用程序
Cloud9 - 用于在 AWS 控制台内开发代码的 IDE 环境

管理工具

CloudWatch - 监控服务，SysOps Admin 考试需要了解
CloudFormation - 在 AWS 中部署服务器 / 服务的自动化方式，使各个方面都变得不可知，从而加快各地的部署速度
CloudTrail - AWS 中发生的一切都会记录并登录到 CloudTrail 中，从而可以轻松跟踪您环境中发生的事情。
配置 - 监控整个 AWS 环境的配置并保留整个 AWS 环境的快照（可视化 AWS 环境）
OpsWorks - 类似于 elastic beanstalk，用于自动化环境配置（在 Sysops Admin 测试中转换）
服务目录 - 管理 AWS 中 IT 认可服务目录的方式。通常用于大型组织的治理/合规性。
系统管理器 - 管理 AWS 资源（例如 EC2 补丁维护）。资源可以按部门或应用程序分组
Trusted Advisor - 提供涵盖多个领域的建议。请务必了解 Trusted Advisor 和 Inspector 托管服务之间的区别 - Amazon 将负责 EC2 和自动扩展

媒体服务

弹性转码器

MediaConvert - 具有广播级功能的基于文件的视频转码
MediaLive——广播级直播视频处理服务（视频流）
MediaPackage - 准备并保护通过互联网传输的视频
MediaStore - 存储媒体的地方（针对媒体优化的存储）
MediaTailor - 允许在不牺牲广播质量的情况下在视频流中投放定向广告

机器学习

SageMaker - 使开发人员在为其环境编写代码时可以轻松使用深度学习 Comprehend - 围绕数据的情感分析
DeepLens - 人工智能相机（可以理解它正在看什么 - 本地化检测，不在云端运行 - 物理硬件）
Lex - 支持亚马逊 Alexa 服务，人工智能机器学习 - 与深度学习不同，入门级。AWS 将分析数据集并预测结果。
Polly - 将文本转换成语音
Rekognition - 上传一个文件，它会进行文件分析（上传海滩上狗的照片，它会告诉你“狗”、“海滩”等）
Amazon Translate - 机器翻译服务，类似谷歌翻译，但来自亚马逊
Amazon Transcribe - 适用于听力障碍人士 - 提取音频并创建文本

分析

Athena - 对 S3 存储桶中的项目运行 SQL 查询（无服务器）
EMR - Elastic Map Reduce，用于处理大量数据 CloudSearch - AWS 的搜索服务 ElasticSearch Service - AWS 的 Elastic 搜索服务
Kinesis - 将大量数据导入 AWS 的方式（即特定主题标签的社交媒体供稿） Kinesis Video Streams - 允许您从流媒体用户那里获取大量数据 QuickSight - BI 工具，比竞争对手便宜得多
数据管道——在不同的 AWS 服务之间移动数据的方式
Glue - 用于 ETL（提取、转换、加载），Glue 经过优化以实现此目的

安全、身份和合规性

IAM - 身份访问管理 Cognito - 进行设备身份验证的方式（双因素身份验证） GuardDuty - 监控 AWS 账户上的恶意活动
Inspector - 安装在 EC2 实例上的代理，对其运行测试以检查漏洞 - 这些可以安排 Macie - 扫描 S3 存储桶中是否存在任何个人身份信息 (PII) 并提醒您
证书管理器 - 通过 Route53 注册可免费获得 SSL 证书
CloudHSM - 云硬件安全模块，用于存储私钥/公钥或其他密钥的专用硬件，也可以使用密钥加密 AWS 上的对象
目录服务 - 将 Microsoft Active Directory 与 AWS 整合
WAF——Web应用防火墙（7层防火墙），监控应用层
Shield - DDoS 缓解神器 - 用于审计和合规性，下载审计和合规性报告

移动服务

移动中心 - 移动服务的管理控制台
Pinpoint - 有针对性的推送通知，以增加移动参与度
AWS AppSync - 自动更新 Web/移动应用程序中的数据，并在离线用户重新连接时更新
Device Farm - 在真实的、实时的设备上测试应用程序
移动分析 - 移动设备的分析服务

增强现实/虚拟现实

Sumerian - 用于 AR/VR 3D 应用设计

应用程序集成

步骤函数 - 管理 lambda 函数的方法以及执行步骤
Amazon MQ - 消息队列（如 RabbitMQ）
SNS - 触发事件时的通知服务
SQS - 解耦内部结构、接收消息并允许 EC2 实例轮询数据的方法
SWF - 创建一个工作流程，以您已有的流程为模型

客户参与

Amazon Connect - 联系中心即服务 (CCaaS)
***简单的电子邮件服务 - 发送大量电子邮件的简便方法

商业生产力

Alexa For Business - 用于拨号进入房间，通知 IT 问题 - 工作场所中的 Alexa
Amazon Chime - 亚马逊的视频会议
工作文档 - 类似 AWS 的 Dropbox
WorkMail - 类似亚马逊的 O365/Gmail

桌面和应用程序流式传输

工作区 - 可在云中访问的 VDI（虚拟桌面）
AppStream 2.0 - 将应用程序实时流式传输到设备（如 Citrix）

物联网

iOT - 可以让设备发回信息
iOT 设备管理 - 用于管理 AWS iOT 设备
Amazon FreeRTOS - Amazon Greengrass 的实时操作系统
- 以安全的方式运行本地计算服务的软件

游戏开发

GameLift - 帮助在 AWS 中开发游戏服务的服务共享责任：

AWS 负责：

基础虚拟机监控
区域
网络
地区
RDS数据库中的操作系统和补丁
ETC

您有责任：

加密
EC2 实例中的操作系统
防火墙
客户数据
ETC。

AWS Trusted Advisor

向现有 AWS 客户学习的应用程序
检查 AWS 环境并提出建议

省钱
提高性能
弥补安全漏洞Beanstalk

快速部署、监控和扩展应用
高度抽象，专注于基础设施
简化基础设施管理，使用 GUI 配置。适合 AWS 经验较少的用户
后台使用 CloudFormation。
可用于 Workers/Jobs

预配置实例支持：

NodeJS、Python、PHP、Ruby、Tomcat、.NET（Win IIS）、JAva、Go、Packet
Docker 镜像
通用docker

您的应用程序可以有多个版本，
可以分为多个层级（Web / App / DB 层 / 前端 / 后端等），
您可以在创建后更新配置

更新可以

每次 1 个实例
实例百分比
不可变（从 0 再次启动所有应用程序）

如果 Beanstalk 创建了你的 RDS，当你删除 EBS 实例时，它将被删除

云计算的商业优势

几乎为零的前期基础设施投资
即时基础设施
更高效的资源利用
基于使用的 consting
缩短上市时间

云的技术优势

自动化（可编写脚本的基础设施）
自动缩放
主动扩展
更高效的开发生命周期
提高可测试性
灾难恢复和业务连续性
到云的“溢出”流量

允许将硬件转换为代码
创建/管理 AWS 资源的简便方法
可以将版本控制应用于 AWS 基础设施（如代码）

模板 --> 图表

堆栈 --> 图表结果

格式：JSON 或 YAML

模板元素：

必需：AWS 资源列表
选修的：
- 版本、文件格式
- 模板参数（最多 60 个）
输出
- 公共 IP、ELB 地址（最多 60 个）

命名

您可以分配本地名称，它们在创建资源时会被部分使用。
名称并非固定/强制使用，以避免冲突。存在一些例外情况（例如存储桶名称）。

您可以使用一组引导脚本来安装软件。

包括与 Chef 和 Puppet 的集成

支持标记，EBS 卷会自动标记

一旦配置完成，您就可以控制资源

默认情况下，如果发生错误，则自动回滚处于开启状态（如果发生错误，则所有内容都会被删除）。请注意，您需要为错误付费，但使用
CloudFormation 是免费的
堆栈可以使用 WaitCondition 等待应用程序配置，支持 Route53
还支持 IAM 角色创建
可以定义资源的删除策略，删除堆栈时，资源不会被删除
最多 200 叠，可请求更多

如果你想对 Cloudtrail/Cloudwatch 隐藏某些内容，请用以下方式标记参数NOECHO

与 Elastic Beanstalk 有何不同？

CloudFormation 和 Elasticbeanstalk 互相补充 Beanstalk 在云中部署和运行应用程序，与开发工具集成，管理应用程序的生命周期 CloudFormation 是一种配置 AWS 资源的机制，用于构建整个基础设施的模板，包括 Beanstalk 应用程序

内容分发网络 (CDN)

边缘位置 - 内容将被缓存的位置；独立于 AWS 区域/AZ

源 - CDN 将分发的所有文件的源。可以是 S3 存储桶、EC2 实例、弹性负载均衡器或 Route53，也可以不使用 AWS
Web 分发 - 通常用于网站
RTMP——用于媒体流（adobe flash）
边缘位置不仅可以读取，还可以写入
对象的缓存期限为 TTL - 默认值：24 小时 - 最大值：365 天
您可以从 Cloudfront 清除对象，但需要付费
限制查看者访问 - 签名 URL - 签名 Cookie
地理限制

Cloudtrail 用于记录 AWS 内部进行的所有 API 调用，主要用于审计

由于您通过控制台更改的所有设置实际上都是对内部 AWS API 进行的 API 调用，因此如果您启用 Cloudtrail，您可以获得有关通过控制台或通过特定 API 调用完成的所有操作的所有信息。

您可以为您的 AWS 账户开启跨所有区域的跟踪。Cloudtrail 会将所有区域的日志文件传送到您指定的 S3 存储桶以及可选的 Cloudwatch 日志组。

标准监控 = 5 分钟
详细监控 = 1 分钟

如果你想要详细监控，你必须付费

在 Cloudwatch 中您可以

创建仪表板
创建警报
创建事件（例如 AWS 资源的状态变化）日志（聚合、监控和存储日志）Aurora
MySQL兼容
结合了高端商业数据库的速度和可用性
具有开源数据库的简单性和成本效益
性能比 MySQL 高出五倍，价格却只有商业数据库的十分之一
存储空间从 10GB 开始，以 10GB 为增量扩展到 64TB
计算可扩展至 32 个 vCPU 和 244GB 内存
每个可用区 (AZ) 中有 2 个数据副本，至少 3 个可用区
设计用于透明地处理 2 个副本的丢失，而不会影响数据库写入可用性
设计用于透明地处理 3 个副本的丢失，而不会影响读取可用性
自我修复；数据块/磁盘不断被扫描以查找错误并自动修复

Aurora 副本功能

Aurora 副本
- 15 个 MySQL 读取副本
- 5DynamoDB
NoSQL 数据库，可在任何规模下实现一致的个位数毫秒级延迟
存储在 SSD 存储中
分布在 3 个地理位置不同的数据中心
最终一致性读取
- 所有数据副本的一致性通常在一秒内达到。短时间后重复读取将返回更新后的数据（最佳读取性能）
强一致性读取
- 返回一个结果，反映在读取之前收到成功响应的所有写入
支持自动缩放（目标利用率百分比、最小/最大）

DynamoDB 定价

预置吞吐量
- 写入吞吐量每 10 个单位每小时 0.0065 美元
- 读取吞吐量每 50 个单位每小时 0.0065 美元
存储成本
- 前 25 GB --> 免费
- 每月 0.25GB
免费套餐：25 个单位读取/25 个单位写入

DynamoDB 流

捕获 DynamoDB 24 小时内的变更。审计跟踪，例如（添加、更改（前后）、删除）。如果您需要存储超过 24 小时的数据，请使用 LAMBDA

每个项目的最大大小及其属性：400KB
BatchWriteItem：25 items, 16MB
BatchGetItem：100 items, 16MB

扫描：
最终扫描或一致性扫描，添加参数 ConsistentRead
Iterator：返回 1MB 和 LastEvaluatedKey（用于分页）

数据类型：
数字、字符串、二进制、布尔值、NULL
JSON：存储为文档，可以创建键并按属性过滤，可以更新子元素，可以使用文档 SDK 作为包装器（JS）

索引：
全局二级索引：每个表
最多可以添加本地二级索引每个表最多可以添加，在创建时（以后不能添加）每个分区5

5
10GB

安全

细粒度的访问控制允许 IAM 中的用户访问/拒绝信息（表、项目甚至属性）

预留容量可以折扣价购买。仅限单个区域。

支持触发器（使用 DynamoDB w/Lambda）

可以在表上指定 TTL。需要有时间戳

DAX：内存缓存（在 SDK Node.js 和 Java 中）ElastiCache

Memcached
- 不支持多可用区
Redis
- 多可用区支持

当被问及使用哪种服务来减轻数据库的压力/负载时：

如果数据库读取量很大且不易频繁更改，Elasticache 是一个不错的选择
如果数据库压力是由于管理层不断在其上运行 OLAP 事务而导致的，那么 Redshift 是一个不错的选择。自动备份
允许您将数据库恢复到保留期（1-35 天）内的任何时间点
拍摄完整的每日快照
存储交易日志
默认启用
存储在 S3 中，可用空间等于数据库大小
RDS实例删除时删除

快照

数据库快照是手动完成的（即使在删除 RDS 实例后仍会存储）

恢复备份

当使用任一恢复选项时，恢复的数据库版本将是具有新 DNS 端点的新 RDS 实例

加密

使用 AWS 密钥管理服务 (KMS) 完成
目前不支持加密现有的 RDS

多可用区 RDS

仅用于灾难恢复（DR）
可用性
- SQL 服务器
- 甲骨文
- MySQL服务器
- PostgreSQL
- MariaDB

只读副本

用于扩展，而不是 DR
必须启用自动备份才能部署只读副本
任何数据库最多可以有 5 个读取副本
允许您拥有数据库的只读副本
使用异步复制实现
用于性能改进、读取繁重的数据库工作负载
每个读取副本都有自己的 DNS 端点
您可以拥有具有多可用区的读取副本
您可以创建多可用区源数据库的只读副本
读取副本可以提升为其自己的数据库（中断复制）
您可以在另一个区域 Redshift 中拥有只读副本
数据仓库
列数据. 聚合
单节点（160GB）
多节点
- 领导节点，管理客户端连接并接收查询
- 计算节点，存储数据并执行查询和计算
- 最多 128 个计算节点
列式数据存储
大规模并行处理（MPP）——在所有节点上自动分配数据和查询负载
目前仅在一个可用区可用
发生中断时可以将快照恢复到新的可用区

成本

计算机节点小时数
备份
数据传输（在 VPC 内，而不是 VPC 外）

加密

使用 SSL 进行传输加密
使用 AES-256 静态加密
Redshift 负责密钥管理

可用性：

单个可用区
可以将快照恢复到其他可用区
启用跨区域快照进行恢复

VPC：
为 VPC 端点启用增强型 VPC 路由（这样数据就不会离开您自己的 VPC）AWS 数据库类型
最大大小：16 TB。如果更大，请考虑使用 Redshift

RDS - OTLP（在线事务处理）

SQL 服务器
甲骨文
MySQL
PostgreSQL
亚马逊 Aurora
MariaDB
- DynamoDB
- RedShift OLAP（在线分析处理、数据仓库）
- 弹性疼痛

非关系数据库结构

数据库
- 集合（表）
  - 文档（行）
  - 键/值对（字段）

数据仓库

用于商业智能（Cognos、Jaspersoft 等）
OLTP 与 OLAP --- OLTP（在线事务处理） --- --- 订单号 2120121 --- --- 提取一行数据（姓名、日期、地址、状态） --- OLAP（在线分析处理，用于数据仓库） --- --- 提取大量记录 --- --- 使用不同类型的数据库和基础设施架构

弹性疼痛

可以轻松在云中部署、操作和扩展内存缓存的 Web 服务
类型
- Memcached
- Redis

摘要
数据库类型

RDS（OLTP）
- SQL
- MySQL
- PostgreSQL
- 甲骨文
- 极光
- MariaDB
DynamoDB（NoSQL）
RedShift（OLAP）
Elasticache（内存）
- Memcached
- Redis

多可用区

用于灾难恢复
不用于提高性能

只读副本

用于扩展、提高性能
您最多可以拥有 5 个读取副本
你可以拥有副本的副本（延迟更高）
可以在不同的区域

Aurora 扩展

每个AZ有2份数据，最少3个AZ（共6份）
旨在透明地处理损失
自修复存储

Aurora 副本

最多 15 个副本

MySQL 副本

最多 5 个副本

DynamoDB 与 RDS

DynamoDB 提供“按钮”扩展功能
RDS 需要更大的实例大小或添加只读副本

DynamoDB

存储在 SSD 存储上
分布在 3 个地理位置不同的数据中心
类型
- 最终一致性读取（默认）
- 强一致性读取

Redshift 配置

单节点（160GB）
多节点
- 领导节点（管理客户端连接）
- 计算节点（存储数据、执行查询，最多 128 个节点）

弹性疼痛

Memcached
- 多可用区不可用
Redis
- 多可用区可用

两种类型的备份：

自动 -> 保留期：1 至 35 天
数据库快照存储在S3中，RDS实例删除后不会被删除

静态加密：KMS。无法在现有数据库上启用加密。必须执行复制操作，并在恢复的副本上启用加密。SOA
记录存储：

为区域提供数据的服务器名称
区域管理员
数据文件的当前版本
辅助名称服务器在检查更新之前应等待的秒数
辅助名称服务器在重试失败的区域传输之前应等待的秒数
辅助名称服务器在必须刷新或过期之前可以使用数据的最大秒数
资源记录的生存时间 (TTL) 文件的默认秒数

NS 记录（名称服务器记录）

顶级域名服务器使用它将流量引导至包含权威 DNS 记录的内容 DNS 服务器

A记录（地址记录）

用于将域名转换为IP地址

TTL记录（生存时间记录）

记录在解析服务器或用户本地 PC 上缓存的长度

CName记录（规范名称记录）

可用于将一个域名解析为另一个域名

别名记录

其工作原理类似于 CName 记录，可以将一个 DNS 名称映射到另一个 DNS 名称
CName 不能用于裸域名，violetfamily.com 不能有 CName，必须是 A 记录或别名

EBS 与实例存储

所有 AMI 均分为由 Amazon EBS 支持或由实例存储支持
EBS 卷：---从 AMI 启动的实例的根设备是从 Amazon EBS 快照创建的 Amazon EBS 卷
实例存储卷： --- 从 AMI 启动的实例的根设备是从存储在 Amazon S3 中的模板创建的实例存储卷 --- 有时称为临时存储 --- 如果主机发生故障，您将丢失数据
只能停止由 EBS 支持的实例
两种实例类型都可以重启
默认情况下，ROOT 卷将在终止时被删除，但使用 EBS 卷，您可以告诉 AWS 保留根设备卷自动调用

在自动扩展组上启动配置 -> 选择 AMI
无法更改 AMI ID，它是在创建时选择的

宽限期：实例预热所需的时间。此期限过后将开始检查。

您可以在以下位置找到与自动缩放相关的负载日志

Cloudwatch（指标）
访问日志
请求追踪
云路径日志

如何注册LB群组？

实例 ID
实例的 IP 地址

扩展服务器的 3 种方法

手动缩放
动态扩展——在目标跟踪扩展中，您可以选择一个指标并设置一个目标值，EC2 自动扩展会设置 Cloudwatch 警报，根据您设置的指标（或尽可能接近的指标）触发扩展；分步扩展允许您根据警报突破程度“逐步增加”服务器数量（例如，增加 2 台、再增加 2 台、再增加 2 台等等）；简单扩展基于单次扩展调整来增加组的当前容量。如果可以，即使只有一个指标，也请使用分步扩展。
计划扩展——您可以预测负载变化以及需要运行多长时间（例如，在周一至周五上午 9 点至中午 12 点之间添加 2 台服务器）

卷和快照

卷存在于EBS---虚拟硬盘上
快照存在于 S3 上
快照是卷的时间点副本
快照是增量的 - 仅保存自上次快照以来发生变化的块

根设备卷的快照

可以从卷和快照创建 AMI
可以动态更改卷大小，包括大小和存储类型。如果动态更改卷，则必须等待 6 小时才能再次更改。无法更改 Magnetic Std HD 的卷类型
卷必须与 EC2 实例位于同一可用区
如果需要将 EBS 卷恢复/移动到另一个可用区，则需要创建该卷的快照，并在另一个可用区中基于该快照创建新卷

加密

要加密根卷，您需要先创建启动盘的 AMI 映像，或者使用第三方软件进行加密

卷与快照 - 安全性

加密卷的快照会自动加密
从加密快照恢复的卷会自动加密
您只能共享未加密的快照——快照可以与其他 AWS 账户共享或公开

默认选项是在实例终止时删除卷。可以在 EC2 设置中关闭。

EBS 卷只能扩大；不能缩小弹性
文件系统 (EFS) - EC2 实例的文件存储服务。

支持 NFSv4
仅支付使用的存储空间费用
可以扩展到PB级
支持数千个并发 NFS 连接
多个 EC2 可以指向同一个 EFS
数据存储在一个区域内的多个可用区内。
写后读一致性
可以将权限限制到文件级别或目录级别
无法在多个 VPC 中安装 EFS；一次只能安装一个
使用端口 2049 (NFS) - 文件系统和 VPC 必须位于同一区域
两种类型： - 通用：低延迟 - 最大 IO：延迟较高，但对大数据应用程序负载均衡器有用
最适合负载平衡 http 和 https 流量
在第 7 层运行
应用感知

网络负载均衡器

最适合负载平衡 TCP 流量
在第 4 层运行
每秒可以处理数百万个请求，且延迟低

经典负载均衡器

旧版弹性负载均衡器
负载均衡 HTTP/https
在第 7 层运行
可以使用严格的第 4 层负载均衡
如果应用程序停止响应，ELB 将响应 504
X-Forwarded-For 标头可以传递用户的公共 IP 地址

负载均衡器没有响应吗？

面向 Internet 的负载均衡器已连接到私有子网（应位于公共子网中）
安全组 ACL 不允许流量放置组：
仅特定类型的实例可以在置放群组中启动（计算、GPU、内存、存储）
AWS 建议使用同构实例
无法合并展示位置组
无法将现有实例移至置放群组
可以从实例创建 AMI 并将其启动到放置组中

集群置放群组：

在单个可用区内对实例进行分组。推荐用于需要低网络延迟、高网络吞吐量或两者兼有的应用程序
无法扩展多个可用区

摊销安置组：

一组实例，每个实例都位于不同的底层硬件上。建议用于关键实例数量较少且彼此独立的应用程序。
可以分布在多个 AZExam Notes 中
立即应用安全组更新
安全组是有状态的（添加入站规则会自动添加出站规则）
默认情况下所有入站流量均被阻止
允许所有出站流量
安全组内任意数量的 EC2 实例
您可以将多个安全组附加到实例
安全组是有状态的，而网络访问控制列表是无状态的
无法使用安全组阻止特定 IP 地址
您可以指定允许规则，但不能指定拒绝规则EC2 - 在云中提供可调整大小计算能力的 Web 服务

一经请求

对于需要低成本和灵活性的用户
具有短期、尖峰、不可预测的工作负载的应用程序
在 EC2 上进行初步测试

预留实例

使用情况稳定或可预测的应用程序
需要预留容量的应用程序
用户可以预付款以降低总成本
标准预留实例---按需成本最高可优惠 75%
可转换预留实例 --- 按需成本最高可优惠 54% --- 可以更改预留实例的属性，只要交换结果能够创建等值或更高价值的预留实例
预定预留实例 --- 可在您预留的时间窗口内启动 --- 允许您将容量预留与可预测的、重复的计划相匹配

Spot 实例

灵活的开始和结束时间
仅在非常低的计算价格下才可行
急需大量额外计算能力的用户

专用主机

对于可能不支持多租户虚拟化的监管要求很有用
对于不支持云部署的许可很有用
可按需购买
可以预订购买，最高可享受按需价格 70% 的折扣

实例类型
F- FPGA（现场可编程门阵列）
I- IOPS
G- 图形
H- 高磁盘吞吐量
T- 廉价通用（例如 T3 micro）
D- 密度
R- RAM
M- 通用应用程序的主要选择
C- 计算
P- 图形（例如 Pics）
X- 极限内存

EBS——弹性块存储

将块存储附加到 EC2 实例
放置在特定的可用区中，自动复制以保护您免受单组件故障的影响
如果 Windows/Linux 安装在磁盘上，它被称为“根设备卷”
无法在多个 EC2 实例上挂载 1 个 EBS 卷。请使用 EFS

EBS 卷类型

通用 SSD (GP2) --- 通用，性价比平衡 --- 3 IOPS/GB，最高 10,000 IOPS，3334GB+ 卷可长时间突发至 3,000 IOPS --- 低于 500 MiB/s
预配置 IOPS SDD (IO1) --- 专为 IO 密集型应用程序或 NoSQL 数据库设计 --- 需要超过 10,000 IOPS 时使用 --- 可预配置高达 20,000 IOPS/卷 --- 超过 500 MiB/s
吞吐量优化 HDD (ST1) --- 大数据 --- 数据仓库 --- 日志处理 --- 不能作为启动卷
冷硬盘 (SC1) --- 成本最低的存储，不经常访问 --- 通常是文件服务器
磁性（标准）---所有可启动卷中每 GB 成本最低 --- 从这里开始开发，当你准备好时再向上移动

实例元数据

http://169.254.169.254/latest/meta-data/

状态检查：

系统状态检查：底层（TCP 等，查看实例是否接收网络包）
实例状态检查：软件和网络

终止保护默认关闭ECS（弹性容器服务）

ECS：弹性容器服务
ECR：弹性容器注册表
任务定义：蓝图
服务：启动并维护任务定义的副本
集群：任务运行的地方。一组运行 ECS 服务的容器
任务：任务定义的实例

ECS 集群

容器实例 \- 任务服务 /- 任务
容器实例/-任务

10,000 英尺概览

了解 EC2 定价模型

按需付费---按秒或小时付费
预留——储备产能，合同期限为12-36个月
现货 --- 设置出价，如果现货价格符合您的出价，则会进行配置 --- 当现货价格超出范围时终止实例 --- 如果 AWS 终止实例，则不会收取费用，但如果您终止实例，则会向您收取费用
专用主机——当许可或多租户存在问题时使用

了解 EC2 实例类型

（FIGHT DR MCPX）

了解EBS

存储类型 --- SSD，通用 GP2（高达 10,000 IOPS，低于 500 MiB/秒） --- SSD，预配置 IOPS IO1（超过 10,000 IOPS，超过 500 MiB/秒） --- HDD，吞吐量优化 ST1（频繁访问的工作负载） --- HDD，磁性标准（廉价、不频繁访问的存储）
无法将 EBS 卷挂载到多个 EC2 实例；请改用 EFS
终止保护默认关闭，您必须将其打开
在 EBS 支持的实例上，默认操作是在实例终止时删除根 EBS 卷
您的 DEFAULT AMI 的 EBS 根卷无法加密（但可以使用第三方工具进行加密）
EBS 卷也可以被复制，然后同时加密
可以加密附加卷

了解卷与快照

卷存在于 EBS 上，即云中的虚拟硬盘
快照存在于 S3 上
您可以对卷进行快照，快照将存储在 S3 上
快照是卷的时间点副本
快照是增量的
第一个快照需要一段时间
安全性 --- 加密卷的快照会自动加密 --- 从加密快照恢复的卷会自动加密 --- 快照可以共享，但前提是它们未加密
ROOT 设备卷的快照 --- 在拍摄 ROOT 卷快照之前停止实例
EBS 与实例存储（临时存储） --- 实例存储卷无法停止 --- 如果实例存储中的底层主机发生故障，您将丢失数据 --- EBS 可以停止 --- 两者都可以重新启动，您不会丢失数据 --- 两者都会在终止时被删除，但 EBS 提供保留选项
快照 RAID 阵列 --- 冻结文件系统 --- 卸载 RAID 阵列 --- 关闭 EC2 实例

了解 Amazon 机器映像 (AMI)

区域性，但可以复制到其他区域

了解 CloudWatch（监控）

标准（5分钟）
详细（1分钟）
CloudWatch 用于性能监控
与 CloudTrail 不同，CloudTrail 用于审计 AWS
仪表板
警报
活动
日志

了解角色

比在实例上存储访问密钥和秘密访问密钥更安全
更易于管理
可以在配置后分配给 EC2 实例
通用至区域

了解实例元数据

用于获取有关实例的信息
curl http://169.254.169.254/latest/meta-data/
curl http://169.254.169.254/latest/user-data/

了解 EFS 功能

支持NFSv4.1协议
仅支付使用的存储空间费用
可扩展至PB级
可以支持数千个并发 NFS 连接
数据存储在多个可用区
写后读一致性

了解 Lambda

事件驱动的计算服务
计算服务，响应请求运行代码

了解放置组（如果没有提及，则假设隐含集群）

集群放置组---始终位于一个可用区，用于大数据（低延迟、高吞吐量）
分散放置组——重要的 EC2 实例位于单独的硬件上

了解弹性容器服务 (ECS)

S3 考试技巧

S3 是基于对象的
文件大小可以是 0B 到 5TB
无限存储空间
文件存储在存储桶中
通用命名空间，名称必须唯一
新对象的 PUTS 写后读一致性 --- 可以立即读取对象
覆盖 PUTS 和 DELETES 的最终一致性（需要时间来传播）---如果您更新对象然后尝试读取，您可能会得到旧对象
写入 S3 时返回 HTTP200 表示写入成功
启用分段上传后文件加载速度更快

Route53 考试技巧

您只能通过访问其 DNS 名称来解析 ELB
ELB 没有 IPv4 地址，只有 DNS 名称
了解别名记录和 CName 记录之间的区别
如果可以选择，请始终选择别名记录而不是 CName 记录
了解路由策略及其用例

VPC 考试技巧

将 VPC 视为 AWS 中的逻辑数据中心
由 IGW（或虚拟专用网关）、路由表、NACL、子网、安全组组成
1 个子网 = 1 个可用区
安全组是有状态的；NACL 是无状态的
无传递对等连接
如果您需要从另一个 AWS 账户访问资源，则需要在两个账户之间执行 VPC 对等连接。

负载均衡器提示

3 种类型的负载均衡器 --- 应用程序负载均衡器（第 7 层） --- 网络负载均衡器（第 4 层） --- 经典负载均衡器（第 7 层和第 4 层）
504 表示网关超时。这意味着应用程序在空闲超时时间内未响应。——故障排除。是 Web 服务器还是数据库服务器的问题？
如果需要最终用户的 IPv4 地址，请查找 X-Forwarded-For 标头
ELB 监控的实例被报告为“InService”或“OutofService”
通过与实例对话来检查其健康
ELB 有自己的 DNS 名称
阅读常见问题解答

考试技巧

ELB 没有预定义的 IPv4 地址，必须使用 DNS 名称进行解析
了解别名记录和 CName 记录之间的区别
如果可以选择，请始终选择别名记录而不是 CNameRoles 不绑定到特定区域（用户也不是）可以将角色应用于正在运行的实例如果将角色应用于实例，则无需配置访问密钥/密钥来获取使用 AWS 服务的权限（即访问私有 S3 存储桶）--> 更安全的身份访问管理（IAM）- 允许您管理用户及其对 AWS 控制台的访问级别。
AWS 账户的集中控制
AWS 账户的共享访问权限
细粒度权限
识别联盟（AD、FB、LinkedIn 等）
多因素身份验证
为用户/设备/服务提供临时访问
允许您设置密码轮换策略
与许多服务集成
支持 PCI DSS 合规性

关键术语：
用户 - 最终用户；
组 - 拥有一组权限的用户集合（管理员、HR 等）；
角色 - 创建角色并将其分配给 AWS 资源（例如，授予 EC2 实例角色以写入 EC2）；
策略 - 定义一个或多个权限的文档。将策略应用于用户、组和角色。

IAM 不使用区域概念。

您可以创建跨账户角色（即，您聘请一家公司进行审计，您向审计员提供的用户可以跨账户）

切勿将 root 帐户用于日常使用。务必创建新用户

请记住：添加用户确认窗口（显示安全和访问密钥）仅显示一次。如果您失去访问权限，则必须重新生成密钥
。Kinesis

Kinesis Stream
Kinesis Firehose
Kinesis Analytics

Kinesis 流

数据默认保存24小时
存储在分片中的数据
数据消费者（ec2 实例）将分片转换为要分析的数据
读取速度为每秒 5 个事务，写入速度最高为每秒 2 MB，最多 1,000 条记录

Kinesis Firehose

自动化
无需处理碎片

Kinesis Analytics

使用类似 SQL 的查询分析 Kinesis 中的数据的方法考试技巧
Lambda 自动扩展（而不是向上扩展）
Lambda 函数是独立的
Lambda 是无服务器的
了解哪些 AWS 服务是无服务器的
Lambda 函数可以触发其他 Lambda 函数
Lambda 是事件驱动的（响应事件运行代码）
架构可能变得复杂，AWS X-ray 可帮助调试
Lambda 可以在全球范围内执行操作
了解您的触发器 --- API 网关、Alex Skills Kit、IoT、S3、DynamoDB、Cloudwatch、Cloudfront、DynamoDB 等。
支持的代码：JS - Java - Python、C#、C++
定价：前 100 万次点击 -> 免费。之后每 100 万次 0.20 美元
持续时间：不能超过 15 分钟（最近提出，之前是 5 分钟）
运行功能所需的内存/持续时间越长，成本就越高。负载均衡器

负载均衡器的类型：

应用程序负载均衡器（http/https级别）
经典网络负载均衡器 (TCP)
网络负载均衡器 (TCP/UDP)

可以是外部的（可通过互联网访问）或内部的（例如，平衡子网后面的后端实例）

执行健康检查

不健康的线程保持：连续检查失败的次数
健康线程保持：连续 OK 的次数被视为健康

负载均衡器只有主机名，没有 IP 地址。这是因为如果一个可用区出现故障，它可以毫无问题地迁移到另一个可用区
。路由策略：

简单——创建新记录集时的默认路由策略。最常用的情况是，当您的域中只有一个资源执行特定功能（例如，一个为 violetfamily.com 提供内容的 Web 服务器）时，该资源可以指向一个 ELB，该 ELB 稍后会在 N 个服务器之间均衡负载，但它仍然指向单个项目。
加权——允许您根据分配的不同权重来分割流量
延迟——允许您根据最终用户的最低延迟（响应时间最快的区域）来路由流量
故障转移---当您想要创建主动/被动设置时使用（例如，在 US-EAST-1 中使用主站点，在 US-WEST-1 中使用辅助 DR 站点）。
地理位置

别名可以指向：

极限负载均衡器
云端
S3 存储桶

CNAME：收费 $$$
别名：FreeS3 - 简单存储服务，为开发人员和 IT 团队提供安全、耐用、高度可扩展、平面对象存储。

基于对象的存储： --- 键 --- 值 --- 版本 ID --- 元数据 --- 子资源： --- --- 访问控制列表 --- --- Torrent
无限存储空间
文件大小可以是 0 字节到 5 TB
存储在存储桶中的文件（基本上只是文件夹/逻辑分离）
存储桶名称必须全局唯一
上传成功会收到HTTP200代码
新对象 PUTS 的写后读一致性
覆盖 PUTS 和 DELETES 的最终一致性（可能需要一些时间）
专为 99.99% 可用性而构建
亚马逊保证 99.999999999% 的耐用性（不太可能丢失文件）（11 个 9）
提供分层存储
生命周期管理
版本控制
加密
使用访问控制列表和存储桶策略保护您的数据
存储桶标签不会继承到文件

S3 存储层

S3 标准：---99.99% 可用，99.999999999% 耐用
S3 IA（不频繁访问）：--- 访问频率较低，但需要快速访问的数据。费用低于 S3，但需支付检索费。
S3 单区 IA：--- IA 的低成本选项，但不需要多个 AZ 弹性
Glacier：——超级便宜，仅用于存档。检索时间需要 3-5 小时

S3 费用

贮存
请求
存储管理定价（标签）
数据传输定价（跨区域复制）
传输加速 - 使用 CloudFront 实现长距离快速传输
如果您使用多个 AWS 账户和多个在它们之间传输信息的 bucket，则可以将 bucket 配置为请求付款

S3 版本控制

存储对象的所有版本（即使您删除了对象）
一旦启用，版本控制将无法禁用，只能暂停
与生命周期规则集成
版本控制的 MFA 删除功能使用 MFA，可用于提供额外的安全层

S3 跨区域复制

必须在源存储桶和目标存储桶上启用版本控制
区域必须是唯一的
现有存储桶中的文件不会自动复制，所有新文件和更新文件将自动复制
您无法复制多个存储桶或菊花链复制
删除标记被复制
已删除的单个版本或标记将不会被复制

S3 生命周期管理

可与版本控制一起使用
可应用于当前版本和以前的版本
如果文件大于 128k，则可以在 30 天后过渡到 IA
30 天后可存档至 Glacier
N天后可永久删除

S3 安全和加密

所有新创建的存储桶默认都是私有的
您可以使用存储桶策略和 ACL 设置存储桶的访问控制
可以配置存储桶以创建访问日志，记录对存储桶发出的请求。
加密方法 --- 传输中 --- --- SSL/TLS --- 静态 --- --- 服务器端 --- --- --- S3 托管密钥 SSE-S3 --- --- --- AWS 密钥管理服务，托管密钥 SSE-KMS --- --- --- 使用客户提供的密钥进行服务器端加密 SSE-C --- --- 客户端加密

S3 传输加速

使用 CloudFront Edge Network 加速您上传到 S3 的速度

S3 静态网站托管

[存储桶名称].s3-网站-[区域].amazonaws.com
CORS：您可以在 bucket 上启用 cors，以允许其他网站从 bucket 获取文件
如果您想在 S3 中托管静态网站，只需创建一个带有 URL 的存储桶名称（例如，如果您想托管 something.com，请使用该名称创建一个存储桶名称）并为该存储桶创建一个别名。

双栈：支持 IPV4 和 IPV6

存储层级
--- S3 标准级
--- --- 99.99 可用，99.999999999 持久，旨在同时承受 2 个设施的故障
--- S3 IA（不频繁访问）
--- --- 访问频率较低，需要快速访问。费用低于 S3，但检索需要收费。
--- S3 单区 IA
--- --- 希望以较低成本存储不频繁数据，但不需要多可用区弹性
--- Glacier
--- --- 价格低廉，仅用于存档。检索时间为 3-5 小时

S3 的核心基础：
--- 键
--- 值
--- 版本 ID
--- 元数据
--- 子资源
---- 访问控制列表
---- Torrent 文件

版本控制
--- 基于对象的存储（仅文件，不包括操作系统或数据库）
--- 所有版本的对象均被存储、写入和删除
--- 一旦启用，版本控制就无法禁用，只能暂停
--- 与生命周期规则集成
--- 版本控制的 MFA 删除功能可用于提供额外的安全层
--- 跨区域复制，需要对源存储桶和目标存储桶进行版本控制
生命周期管理
--- 可与版本控制结合使用
--- 可应用于当前/以前的版本
--- 可以执行的操作：
--- --- 30 天后过渡到标准 S3 IA
--- --- 30 天后存档到 Glacier
--- --- 永久删除

CloudFront
--- 边缘位置 - 内容将被缓存的位置
--- 来源 - CDN 将分发的所有文件的来源
--- 分发 - 赋予 CDN 的名称，由边缘位置的集合组成
--- --- Web 分发 - 通常用于网站
--- --- RTMP 分发 - 媒体流/闪存文件
--- 边缘位置不仅是只读的，您还可以写入它们
--- 对象的缓存时间为 TTL（默认为 24 小时）

保护存储桶
--- 默认情况下，新创建的存储桶是私有的
--- 您可以使用以下方式设置访问控制：
--- --- 存储桶策略
--- --- 访问控制列表
--- 可以配置存储桶以创建访问日志

加密
--- 传输中
--- --- SSL/TLS
--- 静态
--- --- 服务器端加密
--- --- --- S3 托管密钥 SSE-S3
--- --- --- AWS 密钥管理服务，托管密钥 SSE-KMS
--- --- --- 使用客户提供的密钥进行服务器端加密 SSE-C

存储网关

文件网关 - 平面文件，直接存储在 S3 上
--- 卷网关
--- --- 存储卷 - 整个数据集存储在本地，异步备份到 S3。将数据以 Amazon EBS 快照的形式存储在 S3 中
--- --- 缓存卷 - 整个数据集存储在 S3 中，最新数据存储在本地
--- 网关虚拟磁带库 (VTL) - 用于备份，并使用常见的备份应用程序，例如 NetBackup、Backup Exec、Veeam 等。--
网络要求：端口 443、80（仅激活）、3260（iSCSI 目标）、UPD53（DNS）

Snowball
--- 导入到 S3 或从 S3 导出
--- Snowball
--- --- 80TB，无计算能力
--- Snowball Edge
--- --- 100TB，有计算能力
--- Snowmobile
--- --- 100PB，半挂卡车，仅在美国提供

S3 传输加速
--- 使用 S3 传输加速功能，加速传输到 S3。需要额外付费，对远距离用户影响较大。

S3 静态网站

无服务器
价格便宜，可自动扩展
仅静态，无计算安全令牌服务 (SKS)

授予用户对 AWS 服务的有限和临时访问权限

联合（通常是 Active Directory）——无需创建 IAM 账户。单点登录 AWS 控制台。将一个域中的用户与另一个域中的用户合并
与移动应用程序联合——FB、AMZ、Google 或其他 OpenID 提供商
跨账户访问：来自其他 AWS 账户的用户

身份代理：允许从 A 获取身份并将其加入（联合）到 B 的服务。模拟。

身份存储：FB、Google、Active Directory 等都存储身份。

身份：用户本身。

身份代理需要编程。IAM
策略返回的临时令牌有效期为 1 至 36 小时。STS
成功后会返回 4 个值：
1) 访问密钥
2) 秘密访问密钥
3) 令牌
4) 时长

步骤：

开发身份认证服务以便与 LDAP 和 AWS 进行通信
身份代理（IB）始终首先使用 LDAP 进行身份验证，然后使用 AWS STS
1. 应用程序获得对 AWS 资源的临时访问权限

SAML：

安全断言标记语言

移动应用程序的 Web 身份联合：您可以使用 FB 之类的工具对应用程序进行身份验证，当然您需要对其进行编码

ARN：

Amazon 资源名称

AssumeRoleWithWebIdentity：您需要在 FB 授权后调用此方法。之后，您就可以访问 AWS 资源了。

Snowball - PB 级数据传输解决方案，使用安全设备将大量数据传入和传出 AWS。解决了大规模数据传输面临的挑战，包括高网络成本、长传输时间和安全问题。

仅存储，最高可达80TBSnowball Edge - Snowball，但具有板载计算功能
存储高达100TBSnowmobile - Snowball，适用于 PB/EXO 量级数据

- 存储量高达`100PB`

考试须知

了解 Snowball 是什么
了解什么是 Import Export（Snowball 的旧名称）
Snowball 可以：
--- 导入到 S3
--- 从 S3SNS 导出
通知服务。数据类型：JSON
发布/订阅范式
PUSH 机制。即时
推送通知
传递短信、电子邮件、SQS 或任何 HTTP 端点
消息在多个可用区中重复存储
主题：接入点
按使用量付费
- 每 100 万个请求 0.50 美元
- 每 100 条短信 0.75 美元
- 每 100,000 个 HTTP 请求 0.06 美元
- 每 100,000 封电子邮件 2 美元
可以针对不同的协议使用不同的格式（http/s、电子邮件、电子邮件 json、SQS、lambda）
每条消息包含：
--名称
--类型
--值

主题 -> 订阅者 1 (http)
-> 订阅者 2 (电子邮件)
--> 订阅者 3 (SQS)

您可以在主题订阅中应用过滤策略（即，仅向管理员发送严重错误）

SNS 与 SQS

SNS推送
SQS 是民意调查

新加坡质量标准

消息队列系统。消息最多保留 14 天
256K 文本。按 64K 块计费
不保证先进先出。如果需要，请使用 FIFO SQS 队列
SQS 提取信息
支持自动缩放
可见性超时窗口：最长 12 小时，默认为 30 秒
“至少一次”——每条消息至少发送一次，但也可能发送多次。记住这一点
首百万次 SQS 点击：免费。之后，每百万次每月 0.50 美元
单个请求可以包含 1 到 10 条消息。
使用“ChangeMessageVisibility”方法更改可见性超时
启用长轮询（20 秒）以等待消息可用。消息到达后立即触发事件，有利于节省资金/减少请求。
集成 SNS，SQS 订阅 SNS 主题。当 SNS 消息到达时，将消息分发到已订阅的 SQS 队列。1 SNS -> N SQS
存储网关 - 连接本地软件设备与云存储的服务，可在组织 IT 环境与 AWS 存储基础设施之间提供无缝且安全的集成。

存储网关的类型

文件网关 (NFS)
卷网关 (iSCSI) --- 存储卷 --- 缓存卷
磁带网关 (VTL)

文件网关 - 文件作为对象存储在您的 S3 存储桶中，可通过 NFS 挂载点访问。文件传输后，即可作为原生 S3 对象进行管理。
卷网关 - 使用 iSCSI 块协议向您的应用程序提供磁盘卷。---
可以异步备份为卷的时间点快照
--- 以 EBS 快照形式存储在云中
--- 存储卷
--- --- 将完整副本存储在本地，异步备份到 AWS。完整的数据副本保留在现场。---
缓存卷
--- --- S3 是主要数据存储，仅在本地存储最新副本。本地不需要大型存储阵列。
磁带网关 - 耐用且经济高效的解决方案，可使用现有的基于磁带的备份解决方案，虚拟磁带将发送至 S3 并存储在其中。

考试学习笔记
文件网关 - 用于平面文件，直接存储在 S3
卷网关上：

存储卷 - 整个数据集存储在现场并异步备份到 S3
缓存卷 - 整个数据集存储在 S3 中，最新数据缓存在现场网关虚拟磁带库 (VTL) 中：
用于备份并使用流行的备份应用程序，如 NetBackup、Backup Exec、Veeam 等。SWF（简单工作流）

工作流系统

参与者：
启动/发起工作流的应用程序
可以是网站或移动应用程序。

Worker：与WF交互的程序/人员
获取任务
处理收到的任务
返回结果

决策者：
控制协调任务
排序、并发、调度

任务指定一次，永不重复

域：
运行 WF 的容器，
将类型、执行和任务列表与同一帐户中的其他容器隔离
，格式：JSON

工作流程可以运行一年（以秒为单位）

SQS和SWF之间的区别

SWF：
* 面向任务的 API
* 任务运行 1（永不重复）
* 跟踪任务和事件
* 必要时进行人机交互（即“从存储中选择项目”）

SQS
* 面向消息的 API
* 消息可能重复
* 实施手动应用程序跟踪解决方案架构师 - 助理（了解 VPC 的内部和外部）

分析
管理工具
迁移
计算
桌面和应用程序流式传输
应用程序集成
安全、识别和合规
网络和内容交付
贮存
数据库

安全组

在实例级别运行
仅支持允许规则
有状态的
在决定是否允许交通之前评估所有规则
仅适用于一个实例考试技巧
无法为与您的 VPC 对等的 VPC 启用流日志，除非对等 VPC 位于您的账户中
您无法标记流日志
流日志创建后，无法更改其配置
并非所有 IP 流量都受到监控
来自 169.254.169.254 的流量未受监控
DHCP 流量未受监控
未监控 VPC 路由器保留 IP 地址的流量考试技巧
NAT 用于向私有子网中的 EC2 实例提供互联网流量
Bastion 用于安全地管理私有子网（跳转箱）NAT 网关中的 EC2
企业首选
自动扩展到 10Gbps
无需打补丁
未与安全组关联
自动分配公共 IP 地址
记得更新路由表并指向 NAT 网关
无需禁用源/目标检查
比 NAT 实例更安全VPC
逻辑上独立的 AWS 云部分，您可以在自己定义的虚拟网络中启动 AWS 资源。
云端虚拟数据中心
当您创建帐户时，Amazon 会在每个区域为您提供一个默认 VPC
可以在公司数据中心和您的 VPC 之间创建硬件 VPN，将 AWS 作为您的扩展

可以做什么：

将实例启动到所选子网中
为每个子网分配自定义 IP 地址范围
配置子网之间的路由表
创建互联网网关并将其附加到我们的 VPC，每个 VPC 一个
更好地控制 AWS 资源的安全
实例安全组
子网访问控制列表 (ACL)

路由表确定子网是否可访问，
网络 ACL 确定流量是否可以进入子网

默认 VPC 与自定义 VPC

默认 VPC 方便用户使用，允许您立即部署
默认 VPC 中的所有子网都有通向互联网的路由
每个 EC2 实例都有公有和私有 IP 地址

VPC 对等连接

允许您使用私有 IP 地址通过直接网络路由将一个 VPC 与另一个 VPC 连接起来
实例的行为就像它们位于同一个私有网络上一样
您可以将 VPC 与其他 AWS 账户对等连接，也可以将其与同一账户下的其他 VPC 对等连接
对等连接采用星型配置：1 个中心 VPC 对等连接，其他 4 个对等连接——无传递对等连接
使用 C5 或 M5 实例进行 VPC 对等连接

堡垒主机
堡垒主机用于通过 SSH 或 RDP 安全管理 EC2 实例。也称为跳板机。比将所有服务器通过 SSH/RDP 公开更安全。

NAT实例

创建 NAT 实例时，禁用实例上的源/目标检查
NAT 实例必须位于公有子网中
必须有一条从私有子网到 NAT 实例的路由才能正常工作
NAT 实例可以支持的流量取决于实例大小
您可以使用以下方式创建 HA：
- 自动缩放组
- 不同可用区中的多个子网
- 自动故障转移脚本
- 安全组背后
- NAT 网关
企业首选
自动扩展到 10Gbps
无需打补丁
未与安全组关联
自动分配公共 IP 地址
记得更新路由表并指向 NAT 网关
无需禁用源/目标检查
比 NAT 实例更安全

NAT网关和Internet网关的区别

两者都是高可用性架构
两者都用于使私有子网中的实例能够连接到互联网或其他 AWS 服务
互联网网关 (IGW) 允许您的 VPC 内的资源访问互联网，反之亦然。
- 为了实现这一点，需要有一个允许子网访问 IGW 的路由表条目。
NAT 网关仅从实例到互联网（您可以从 EC2 下载内容，但互联网无法访问服务器）。
- 除非您明确允许，否则整个互联网无法通过您的 NAT 访问您的私人资源。
Nat Gateway 最多只能扩展到 45GB。如果您担心带宽问题，请务必考虑。

网络 ACL

VPC 自动带有默认网络 ACL，默认情况下允许所有入站/出站流量
您可以创建自定义网络 ACL。默认情况下，每个网络 ACL 会拒绝所有进出流量
VPC内每个子网必须关联一个网络ACL，默认使用默认ACL
您可以将网络 ACL 与多个子网关联，但子网一次只能与一个 ACL 关联
将子网添加到第二个 ACL 会自动将其从之前的 ACL 中删除
网络 ACL 包含按顺序评估的规则编号列表，从最低编号开始
网络 ACL 始终具有单独的入站和出站规则
网络 ACL 是无状态的
- VPC 接口端点——API 网关、Cloudwatch、Config、Kinesis、SNS 等。
- VPC 网关端点使用此方法，流量就不会传出到互联网并返回（保留在私有网络中，更快、更安全）-- S3 -- DynamoDb

文章来源：https://dev.to/dietertroy/aws-certified-solutions-architect-associate-study-guide-38c2

AWS 认证解决方案架构师：助理学习指南内容分发网络 (CDN) 安全存储网关

AWS 认证解决方案架构师：助理学习指南

内容分发网络 (CDN)

安全

存储网关

基础知识（101）

贮存

数据库

移民

分析

搜索

安全和身份

管理工具

应用服务

开发者工具

人工智能

消息传递

AWS CLI

贮存

数据库

迁移

网络和内容交付

开发人员工具

管理工具

媒体服务

机器学习

分析

安全、身份和合规性

移动服务

增强现实/虚拟现实

应用程序集成

客户参与

商业生产力

桌面和应用程序流式传输

物联网

游戏开发

AWS Trusted Advisor

内容分发网络 (CDN)

安全

10,000 英尺概览

存储网关

- 存储量高达100PB

SNS 与 SQS

- 存储量高达`100PB`