SAA 唯本堂1
Kubernetes Horizontal Pod Autoscaler
そのリソースの CPU 使用率に基づいて、デプロイ、レプリケーションコントローラー、またはレプリカセット内の Pod の数を自動的にスケーリングし doc Horizontalは水平、ポッドの数を変える
Verticalは垂直、ポッドのリソース量を変える
複数アカウント間でAWSリソース共有
リージョンまたぎでDB同期
グローバルなアプリケーション向けに設計されており、シンガポール側にリードレプリカを設置することで、カナダのプライマリ DB との1秒未満のレプリケーション遅延で同期できます。これにより、シンガポールのユーザーは高速なローカル読み取りが可能になります。
Amazon VPC CNIプラグイン
CNIは Container Network Interface(コンテナネットワークインターフェース)
EKSのPodにVPC内のIPアドレスを直接付与し、他のAWSリソースとネイティブにかつ安全に通信可能にします。
AWS Organizations前提でSSOを可能にする
オンプレのADとAD Connect経由で連携できる
Amazon S3 マルチリージョンアクセスポイント
複数のリージョンにまたがる S3 バケットへのアクセスを、一つのグローバルエンドポイントで実現できます。これにより、ユーザーはアプリケーションから地理的に最適なリージョンのバケットへと自動的かつ透過的にアクセスできます。
署名つきURL
個々のオブジェクトごとに署名済みのURLを発行し、そのURLを知っている人だけがアクセスできます。
署名つきCookie
クライアント(ブラウザ等)に署名済みのCookie(複数)をセットし、そのCookieを持つユーザーは設定範囲(パスやドメインごと等)内のオブジェクトにアクセスできます。
Glueはバッチ処理向け。リアルタイム性には劣る
CloudFrontは静的キャッシュ用途。動的なAPIレスポンスには不向き
AWS PrivateLinkを用いることで、特定の AWS アカウントに限定してサービスを提供でき、NLB を通じてトラフィックを安全に中継できる。 Lambda@Edge
CloudFront のエッジロケーションでコードを実行でき、配信コンテンツを圧縮する処理を挿入することでファイルサイズを削減し、結果としてデー タ転送コストを削減できます。既存のアプリケーションに手を加える必要がなく CloudFront 構成内で完結できる
Transit GatewayはDirect Connectと統合可能
AWS Transit Gatewayを利用すれば、 複数アカウントやリージョンにまたがる VPC を一元的に管理できます。 Direct Connect と統合することで、オンプレミスとの高帯域接続も実現でき、ネットワーク設計がシンプルかつ効率的に
VPC Lattice
Latticeは格子
マイクロサービス向け、VPC内部通信向け(インターネット接続用途ではない)
クロスアカウントIAMロールとSCPの組み合わせにより、Organizations 全体で制御された最小権限のアクセスを安全に一時付与できる。
クロスアカウントIAMロールは、ただのIAMロールだが指定時にAWSアカウントIDを指定する形sta.icon
SCPはサービスコントロールポリシー
Organizationsの概念
サービスコントロールポリシー(SCP)とは、AWS Organizationsを使用して、組織内のAWSアカウントに対して許可するアクションを制御するポリシーです。SCPを使用すると、組織全体、または特定の組織単位(OU)ごとにポリシーを適用し、ユーザーがどのAWSサービスとアクションを使用できるかをより高レベルで制御することができます。
IAMよりも優先される、SCPで禁止したらIAMで許可されてても禁止
AWS Lambdaのプロビジョンドコンカレンシー(Provisioned Concurrency)
lambdaはデフォはコールドスタート
これを使うとウォームスタート用の実行環境をn個つくっておける
AWS App Runner
今回範囲で挙がってないから無視していいよね
AWS App Runner は、ソースコードまたはコンテナイメージから AWS クラウドのスケーラブルで安全なウェブアプリケーションに直接デプロイするための、高速でシンプル、かつ費用対効果の高い方法を提供する AWS サービスです。新しいテクノロジーを学習したり、使用するコンピューティングサービスを決定したり、 AWS リソースをプロビジョニングして設定する方法を知っている必要はありません。
Beanstalkのコンテナ版?
Beanstalkではサーバーのオプションも多く、手動での設定が可能ですが、……AWS App Runnerは、Beanstalkのコンテナ特化版と見なすこともできますが、より「サーバーレス」に近い、それ独自の機能と目的を持ったサービスとして設計されています。
Fargateじゃダメなの?
かんたんデプロイマンsta.icon
SNSは複数ターゲットへの非同期通知ができる
SQSは通知を飛ばすものではなく、コンシューマ側が取り出しに行くもの
Route53 のジオルーティングは地理的情報による固定ルーティングで、リアルタイムのネットワーク状況を反映しない
反映したくばレイテンシールーティング
aws:PrincipalOrgID
まず
プリンシパル:「A は、C に対して B を実行するアクセス許可がある」というステートメントの場合、A がプリンシパルに相当。アクセス権の主語
グローバル条件コンテキストキー:ポリシー書くときに使えるシステム変数
リクエストのプリンシパル(アクションを実行しようとするエンティティ)が属している AWS Organizations 組織のID(Organization ID)を示します。
つまりプリンシパルが属するorgsのIDを指定できるってことだなsta.icon
AppStream 2.0はインタラクティブ用途のDaaSソリューション
クラウド上のアプリケーションをクライアントデバイスに配信するフルマネージドサービス
Workspacesはデスクトップ環境だが、AppStreamは特定アプリ?
アプリごとにURLがあって、アクセスするとブラウザベースのRDPみたいにそのアプリが使えるって感じsta.icon
NACLはサブネット単位、かつステートレスなファイアウォール
SGはインスタンス単位、かつステートフル
SGでも足りないきめ細かいときに使うsta.icon
IAM Roles for Service Accounts(IRSA)
サービスアカウントごとにIAMロールを関連付けることでPodにアクセス権を与えるらしい
https://gyazo.com/d991fc1b5816dcfa64386b4165db77fe
カスタマーゲートウェイとはオンプレミス側を示すゲートウェイのこと
インターネットゲートウェイは パブリックサブネット<->インターネット
カスタマーゲートウェイは VPC<->オンプレミス、かつVPNつき
AWS環境内につくるエンドポイント