EC2
|| Q. あなたはAWSのElastic IPアドレスに課金されてしまいました。課金された理由として可能性が高いものはどれでしょうか?
利用されていないElastic IPがある.
- ElasticIPアドレスはAWS側で多数用意されており、ユーザーが利用する際に借りてくることになります
- 借りているElasticIPを返す場合はIPそのものを削除するわけではないため、解放すると呼びます
- 解放されるとElasticIPをAWSに返却したことになるため課金がなくなります
下記の場合に課金はされない仕組み:
- Elastic IP アドレスが EC2 インスタンスに関連付けられている.
- Elastic IP アドレスに関連付けられているインスタンスが実行中である.
- インスタンスに 1 つの Elastic IP アドレスしか添付されていない.
|| Q. ある企業は、EC2インスタンスを利用してWEBアプリケーションを構築しています。EC2インスタンスのセキュリティ向上のために実施するべき事項はどれでしょうか?
Amazon EC2インスタンスとELBの間の通信を暗号化する
Amazon EC2インスタンスに対してセキュリティグループおよびネットワークACLを利用したトラフィック制御を実施する
- Amazon EC2インスタンスを起動した際はセキュリティグループによって通信可能なトラフィックを設定することが必要となります
- 設置されたサブネットに対するネットワークACLでのコントロールも必要となります
- Amazon EC2インスタンスに対してAmazon Sheildを適用することはできません
Q. リザーブドEC2インスタンスを購入するデメリットはどれ?
1年または3年の継続利用を求められる
- リザーブドEC2インスタンスの利用期間は1年または3年と定められており、長期利用する前提に前払いにすることで割引価格で購入することができるEC2インスタンスの購入オプションです.
- 価格が安いですが、長期利用をしなければならないという制約があります。途中で販売することは可能ですが、オンデマンドインスタンスと比較して柔軟性がありません.
Q. Amazon EC2インスタンスへの外部PCからのトラフィック通信を制御したい. どの機能を利用する必要があるか?
セキュリティグループ: EC2インスタンスやDBインスタンスなどのインスタンスに対する通信トラフィックを制御するファイアウォール
- セキュリティグループは、サブネットレベルでなくインスタンスレベル(サーバー単位)で動作する.
- VPC 内のサブネット内のインスタンスごとに異なるセキュリティグループを割り当てることが可能.
- VPC内でインスタンスを立ち上げた場合、1つのインスタンスに対して同時に最大5つまでのセキュリティグループを設定可能.
- HTTPやSSHなどのプロトコルを指定して通信を許可する設定を行うことができます.
- インバウンドのみ設定すれば、アウトバウンドも設定される.
ネットワークACLと、セキュリティグループの違い
- ネットワークACLのほうが強いもの、みたいなイメージを持っておく.
- 問題では、Amazon EC2インスタンスへの という記述があるため、セキュリティグループが該当する.
セキュリティグループは「インスタンス単位で設定するファイアウォール機能」で、 ネットワークACLは「サブネット単位で全インスタンスに適用するファイアウォール機能」です。
Q. VPCのサブネットに関連付けられて、ネットワーク上の着信トラフィックリクエストをフィルタリングしたい
VPCのネットワークACL: VPCのサブネットに関連付けてサブネット内外のトラフィックを制御するファイアウォールとして任意のセキュリティを提供
Q. 通常のHTTPSアクセスを利用するWEBアプリケーションにおいて、複数のEC2インスタンスへのトラフィックを分散処理するために利用するべきサービスはどれ?
Application Load Balancer / ELB(Elastic Load Balancing): EC2インスタンス、コンテナ、IPアドレス、Lambda関数などの複数のターゲットに着信アプリケーショントラフィックを分散処理するロードバランサー
- ELBによって、マイクロサービスアプリケーションに利用されている複数のEC2インスタンスが同じ量のトラフィックを分散処理することができます.
- HTTPS通信を利用するWEBアプリケーションにはALBを利用することが基本となります.
Q. Amazon EC2インスタンスにPC端末から接続する際に必要となる、認証キーはどれ?
キーペア: Amazon EC2インスタンスに接続するには、作成時にキーペアを設定して、アクセス認証に必要となるプライベートキー(PEMキー)を呼び出すことが必要
- Amazon EC2 はパブリックキー暗号を使用して、ログイン情報の暗号化と復号を行います.
- パブリックキー暗号はパブリックキーを使用してデータを暗号化し、受信者はプライベートキーを使用してデータを復号します.
- パブリックキーとプライベートキーは、キーペアと呼ばれます.
- パブリックキー暗号化では、パスワードの代わりにプライベートキーを使用して、安全にインスタンスにアクセスできます.
Q. 次のインスタンスタイプの中で、EC2インスタンスのリザーブドインスタンスのタイプであるものを選択してください。
スタンダードのリザーブドインスタンス
- 割引率が最も高く (最大でオンデマンド料金の 75% 割引)、設定変更などがあまり発生しない定常状態の使用に最適です
コンバーティブルのリザーブドインスタンス
Q. あなたはオンプレミス環境にある仮想サーバーを移行する際に、ライセンスをAWS環境に引き継ぐ必要があります。どうすればよいでしょうか?
Dedicated Hostsを利用する
- EC2インスタンスを利用する際にユーザーが専有できる物理EC2 サーバーです
- Dedicated Hosts を利用することで、既存のサーバー限定のソフトウェアライセンス (Windows Server、SQL Server、SUSE Linux Enterprise Server など) をライセンス条項の下で使用できます
Amazon EC2 ベアメタルインスタンスを利用する
- アプリケーションは基盤となるサーバーの Intel® Xeon® スケーラブルプロセッサとメモリリソースに直接アクセスできます
- ユーザーはライセンス付与やサポート要件に適用させることや、自前のハイパーバイザーを使用するといったことができます