EC2

|| Q. あなたはAWSのElastic IPアドレスに課金されてしまいました。課金された理由として可能性が高いものはどれでしょうか？

利用されていないElastic IPがある.

• ElasticIPアドレスはAWS側で多数用意されており、ユーザーが利用する際に借りてくることになります
• 借りているElasticIPを返す場合はIPそのものを削除するわけではないため、解放すると呼びます
• 解放されるとElasticIPをAWSに返却したことになるため課金がなくなります

下記の場合に課金はされない仕組み:
- Elastic IP アドレスが EC2 インスタンスに関連付けられている.
- Elastic IP アドレスに関連付けられているインスタンスが実行中である.
- インスタンスに 1 つの Elastic IP アドレスしか添付されていない.

---

|| Q. ある企業は、EC2インスタンスを利用してWEBアプリケーションを構築しています。EC2インスタンスのセキュリティ向上のために実施するべき事項はどれでしょうか？

Amazon EC2インスタンスとELBの間の通信を暗号化する

• EC2インスタンスを利用したトラフィックのセキュリティを向上させることができます
• SSL/TSL証明書をELBまたはEC2インスタンスに設定することで、SSL通信を実行することが可能

Amazon EC2インスタンスに対してセキュリティグループおよびネットワークACLを利用したトラフィック制御を実施する

• Amazon EC2インスタンスを起動した際はセキュリティグループによって通信可能なトラフィックを設定することが必要となります
• 設置されたサブネットに対するネットワークACLでのコントロールも必要となります

• Amazon EC2インスタンスに対してAmazon Sheildを適用することはできません

---

Q. リザーブドEC2インスタンスを購入するデメリットはどれ？

１年または３年の継続利用を求められる

• リザーブドEC2インスタンスの利用期間は１年または３年と定められており、長期利用する前提に前払いにすることで割引価格で購入することができるEC2インスタンスの購入オプションです.
• 価格が安いですが、長期利用をしなければならないという制約があります。途中で販売することは可能ですが、オンデマンドインスタンスと比較して柔軟性がありません.

Q. Amazon EC2インスタンスへの外部PCからのトラフィック通信を制御したい. どの機能を利用する必要があるか？

セキュリティグループ: EC2インスタンスやDBインスタンスなどのインスタンスに対する通信トラフィックを制御するファイアウォール

• セキュリティグループは、サブネットレベルでなくインスタンスレベル（サーバー単位）で動作する.
• VPC 内のサブネット内のインスタンスごとに異なるセキュリティグループを割り当てることが可能.
• VPC内でインスタンスを立ち上げた場合、1つのインスタンスに対して同時に最大５つまでのセキュリティグループを設定可能.
• HTTPやSSHなどのプロトコルを指定して通信を許可する設定を行うことができます.
• インバウンドのみ設定すれば、アウトバウンドも設定される.

ネットワークACLと、セキュリティグループの違い

• ネットワークACLのほうが強いもの、みたいなイメージを持っておく.
• 問題では、Amazon EC2インスタンスへの という記述があるため、セキュリティグループが該当する.

セキュリティグループは「インスタンス単位で設定するファイアウォール機能」で、 ネットワークACLは「サブネット単位で全インスタンスに適用するファイアウォール機能」です。

ex-ture.com

Q. VPCのサブネットに関連付けられて、ネットワーク上の着信トラフィックリクエストをフィルタリングしたい

VPCのネットワークACL: VPCのサブネットに関連付けてサブネット内外のトラフィックを制御するファイアウォールとして任意のセキュリティを提供

• セキュリティグループの設定と同じようにACLのルールを適応することによって、VPCに追加のセキュリティ層を提供

Q. 通常のHTTPSアクセスを利用するWEBアプリケーションにおいて、複数のEC2インスタンスへのトラフィックを分散処理するために利用するべきサービスはどれ？

Application Load Balancer / ELB(Elastic Load Balancing): EC2インスタンス、コンテナ、IPアドレス、Lambda関数などの複数のターゲットに着信アプリケーショントラフィックを分散処理するロードバランサー

• Elastic Load Balancing は、Application Load Balancer、Network Load Balancer、Gateway Load Balancer、Classic Load Balancer といったロードバランサーをサポートします.

• ELBによって、マイクロサービスアプリケーションに利用されている複数のEC2インスタンスが同じ量のトラフィックを分散処理することができます.
• HTTPS通信を利用するWEBアプリケーションにはALBを利用することが基本となります.

Q. Amazon EC2インスタンスにPC端末から接続する際に必要となる、認証キーはどれ？

キーペア: Amazon EC2インスタンスに接続するには、作成時にキーペアを設定して、アクセス認証に必要となるプライベートキー（PEMキー）を呼び出すことが必要

• Amazon EC2 はパブリックキー暗号を使用して、ログイン情報の暗号化と復号を行います.
• パブリックキー暗号はパブリックキーを使用してデータを暗号化し、受信者はプライベートキーを使用してデータを復号します.
• パブリックキーとプライベートキーは、キーペアと呼ばれます.
• パブリックキー暗号化では、パスワードの代わりにプライベートキーを使用して、安全にインスタンスにアクセスできます.

Q. 次のインスタンスタイプの中で、EC2インスタンスのリザーブドインスタンスのタイプであるものを選択してください。

スタンダードのリザーブドインスタンス

• 割引率が最も高く (最大でオンデマンド料金の 75% 割引)、設定変更などがあまり発生しない定常状態の使用に最適です

コンバーティブルのリザーブドインスタンス

• 割引 (最大でオンデマンド料金の 54% 割引) が適用されます。スタンダードと違ってリザーブドインスタンスの属性を変更できます

Q. あなたはオンプレミス環境にある仮想サーバーを移行する際に、ライセンスをAWS環境に引き継ぐ必要があります。どうすればよいでしょうか？

Dedicated Hostsを利用する

• EC2インスタンスを利用する際にユーザーが専有できる物理EC2 サーバーです
• Dedicated Hosts を利用することで、既存のサーバー限定のソフトウェアライセンス (Windows Server、SQL Server、SUSE Linux Enterprise Server など) をライセンス条項の下で使用できます

Amazon EC2 ベアメタルインスタンスを利用する

• アプリケーションは基盤となるサーバーの Intel® Xeon® スケーラブルプロセッサとメモリリソースに直接アクセスできます
• ユーザーはライセンス付与やサポート要件に適用させることや、自前のハイパーバイザーを使用するといったことができます

|| Q. Amazon EC2のクラスタープレイスメントグループが提供する機能は何か？

1つのAZ内におけるEC2インスタンスグループ

• クラスタープレイスメントグループはアベイラビリティーゾーン内でインスタンスをまとめます

EC2 インスタンス間で低レイテンシーネットワークパフォーマンスを実現する

• ワークロードは、HPC アプリケーションで典型的な緊密に組み合わされたノード間通信に必要な低レイテンシーネットワークパフォーマンスを実現できます

• 新しい EC2 インスタンスを起動する場合、EC2サービスは相関性のエラーを最小限に抑えるために、すべてのインスタンスが基盤ハードウェアに分散されるようにインスタンスを配置します

• プレイスメントグループを使用することで、ワークロードのニーズに対応するために独立した配置構成ができます
• ワークロードのタイプに応じて、以下のいずれかのプレイスメント戦略によりプレイスメントグループを作成できます

docs.aws.amazon.com