SAA 复习错点——设计弹性架构

 A customer gateway is for a VPN or direct connection，or site-to-site connection,不是internet gatway的反义词，不是专用于自定义VPC的。

CloudFront supports both static and dynamic content.缓存静态和动态内容

Availability zones are virtual data centers。

TTL is Time to Live。边缘位置edge locations的默认TTL是24小时。

在cloudfront 的 edge区域 expiring a cached object manually incurs a cost

All data is backed up to S3 asynchronously when a stored volume is used. 存储卷到S3的备份是异步的

Snowball actually does not support any code. 直接挪就行了

AWS Direct Connect is a dedicated high-speed connection between your on-premises network and AWS.AWS Direct Connect is usually a better option than Snowball. 选dc就对了，速度高，直接传，省事

Snowball is for data transfer; Snowball Edge provides local data processing prior to returning the data to AWS。snowball传输，snowball edge传输前还可以做些处理

Redshift是适用于数据仓库的OLAP（在线分析处理）服务。并且是一种数据库服务。 在进行处理时，它的主要目的是接收大量数据并对其进行操作，就像数据库一样。

• 单节点（160Gb）部署模式
• 多节点部署模式
  • 领导节点：管理连接和接收请求
  • 计算节点：存储数据，执行请求和计算任务，最多可以有128个计算节点

AZ是虚拟数据中心，彼此隔离，除非通过低延迟网络链接。region包含虚拟数据中心。

AZ主要有US，EU和AP

 

S3，S3-IA,S3-ONE ZONE的耐久性一样11个9，可用性递减

默认情况下，所有AWS账户最多可以创建100个存储桶。

所有S3存储类均支持传输数据的SSL和静态数据的加密encryption。

S3的硬性限制为每秒3500个PUT。

S3只能标记整个存储桶，不能将文件夹分开标记。

 借助S3 Transfer Acceleration，您通常会发现与大型数据集远距离传输有关的问题。

RRS提供了一种成本更低，耐用性更差，可用性更高的存储选项，旨在在单个设施中维持数据丢失。 RRS非常适合非关键或可复制的数据。 例如，RRS是一种经济有效的解决方案，用于共享持久存储在其他位置的媒体内容。 如果您要存储可以轻松地从原始图像复制的缩略图和其他调整大小的图像，RRS也很有意义。

S3不提供SSH或SFTP访问，也不提供标准FTP访问。 您可以通过AWS控制台以及通过HTTP的REST接口访问数据。

S3可以在应用程序大量使用时自动扩展scale。 无需启用自动缩放。S3倾向于在整个AWS网络上平均扩展。

S3分段上传是稳定网络上大型对象的理想选择。 但这也有助于处理可靠性较差的网络，因为较小的零件可能会在其他零件通过时发生故障，从而降低了整体故障率。

创建预签名URL是为了允许没有AWS凭证的用户访问特定资源。 分配这些权限的是URL的创建者。 最后，这些凭据与URL关联，但未加密到URL本身中。它们只是URL，它们可以指向普通URL可以指向的任何内容，但创建者可以将权限和超时与URL关联。

US East (N. Virginia) 域名为 s3.amazonaws.com

S3支持两种类型的存储桶URL：虚拟主机样式URL和路径样式URL。 虚拟主机样式的URL的格式为 http://bucket.s3-aws-region .amazonaws.com，路径样式的URL是您看到的传统URL：https://s3-aws-region.amazonaws.com/bucket-name。

 AWS建议对大于100 MB的所有对象使用分段上传,一个单独的对象可以高达5 TB

删除和覆盖PUT在S3之间最终具有一致性

S3上的对象最小可以为0字节，最小付费对象是0字节，S3-IA最小付费对象128kb，尽管您可以在S3-IA中存储较小的对象，但出于定价和收费目的，它将被视为128 KB。

存储桶名称（当不用作网站时）始终位于完全限定域名（FQDN）之后； 换句话说，在正斜杠之后。

在特定区域中创建存储桶时，存储桶的名称也是全局的。 IAM权限也是全局的，并影响所有区域。

MFA删除是确保S3不会意外删除对象的绝对最佳方法。所有特定于Amazon的请求标头均以x-amz开头，如x-amz-mfa

MFA删除适用于删除对象，而不适用于存储桶。它会影响更改存储桶的版本控制状态或永久删除任何对象（或该对象的版本）

只有root帐户才能启用MFA删除。 即使创建了存储桶的控制台用户（如果不是root用户）也无法在存储桶上启用MFA删除。

S3中的每个对象都有一个名称name，值（数据）data，版本ID和元数据metadata。

所有元数据metadata在console上使用 tags, 键值对输入。

启用后，将无法禁用或关闭S3存储桶上的版本控制。 虽然您可以暂停版本控制，但实际上并不会关闭版本控制，并且会保留旧版本。

 

每当主要考虑因素是具有本地数据存在的存储时（必须将数据存储或视为要在本地存储），存储网关为您提供最佳选择

AWS存储网关是一种虚拟设备，它允许本地站点与S3交互，同时仍在本地缓存（按某些配置）数据。

 

Amazon API Gateway可以让开发人员创建、发布、维护、监控和保护任何规模的API。你可以创建能够访问 AWS、其他 Web 服务以及存储在 AWS 云中的数据的API。

• API Gateway可以缓存内容，从而更快地将一些常用内容发送给用户
• API Gateway是一种低成本的无服务（serverless）方案，而且它可以自动弹性伸缩（类似ELB，NAT网关）
• 可以对API Gateway进行节流，以防止恶意攻击DDOS
• 可以将API Gateway的日志放到CloudWatch中
• 如果你使用JavaScript/AJAX来跨域访问资源，那么你需要保证在API Gateway上已经开启了CORS (Corss-Origin Resource Sharing)功能
  • 如果没有开启CORS功能，在使用API Gateway做跨域访问的时候，可能会出现错误 “Origin policy cannot be read at the remote resource?”

 

ELB只在一个特定的AWS区域中工作，不能跨区域（Region），但可以跨可用区（AZs）

复制AMI之后，必须对其进行手动配置才能正确操作。

存储网关Storage Gateway由S3（而非RDS）支持。

默认情况下，终止关联实例后，EBS根卷也会终止。 但是，这只是默认值。 即使您拍摄快照，EBS卷仍将被删除。可以使用AWS CLI（或控制台）将根卷设置为在实例终止后继续存在。

通用（SSD）卷适用于各种工作负载，包括中小型数据库，开发和测试环境以及引导卷。 预置的IOPS（SSD）卷可提供具有一致且低延迟性能的存储，并且是为I / O密集型应用程序（例如大型关系数据库或NoSQL数据库）设计的

IOPS是小数据，随机的读取

顺序IO是不需要很高的IO的，看到顺序就不要选IOPS，日志是顺序的，所以也不要选IOPS

EBS卷增量备份到S3

存储在Amazon EBS卷中的数据默认被冗余地存储在多个物理位置中，无需额外付费。 但是，Amazon EBS复制存储在同一AZ可用性区域内，而不是跨多个区域zone。

 

CloudFront提供来自原始服务器origin server的内容，通常是静态文件static 和动态dynamic 响应。 这些原始服务器通常是静态内容的S3存储桶，动态内容通常是EC2实例，此外还有ECS，ELB，Route53, AWS Shield,Lambda@Edge，包括非AWS原始服务器，不能用RDS和DynamoDB。

CloudFront是AWS的分销网络distribution network。 这是一个内容缓存系统，低延迟分发low-latency，最终是您AWS扩展的网络组件。distribution是边缘位置edge locations的集合。CloudFront支持Web发行版和RTMP发行版。

CloudFront允许通过CloudFormation，AWS CLI，AWS console，AWS CLI，AWS API和AWS提供的各种SDK进行交互。

CloudFront自动提供AWS Shield（标准）以保护免受DDoS的侵害，并且还可以与AWS WAF和AWS Shield Advanced集成。 这些结合在一起可以确保边缘内容的安全。

CloudFront将始终处理其收到的请求。 它将返回所请求的内容（如果已缓存），或者通过从源服务器请求它来检索该内容

从任何区域zone到CloudFront edge边缘位置的数据移动都不会产生任何费用。

默认情况下，边缘位置每24小时检查一次更新的内容，但是可以更改此值。

失效API是删除文件或对象的最快方法，尽管通常会产生额外的费用。

 

Spread placement groups扩展的放置组（相对于AWS而言相对较新）可以放置在多个可用性区域中。

客户网关customer gateway是Amazon VPN连接的客户方的锚点。 存储网关storage gateway用于缓存或存储数据并连接到S3。 虚拟专用网关 virtual private gateway是VPN连接的重要组成部分，但存在于连接的AWS端。 虚拟专用网virtual private network实际上就是VPN的代表。 

典型的VPN连接使用两个不同的隧道进行冗余。 两条隧道都在客户网关和虚拟专用网关之间移动。

缓存的卷网关cached volumes storage gateway在本地存储最常访问的数据，同时将整个数据集保留在S3中。

存储卷网关Stored volume gateway将数据存储在本地数据存储中，并异步备份到S3以支持灾难恢复。 但是，最重要的是，通过在本地存储数据，网络延迟最小。

当数据集的一部分存在问题时，缓存卷网关cached  volume gateway是理想的选择。 最常用的数据将被缓存，因此存储在本地的本地缓存中。 如果需要整个数据集，那么存储卷网关Stored volume gateway是一个更好的选择。

 

 

Elastic Beanstalk专注于代码部署 code deployment。 它提供并在此过程中提供负载平衡Auto Scaling，运行状况监视health monitoring和容量设置capacity provisioning.可以部署在多个AZ。不支持C,C++。底层的instance可以自动显示在EC2实例console里，配置了EIP.

Elastic Beanstalk支持所有RDS选项以及DynamoDB.

Lambda是响应其他AWS服务的触发器triggers或状态变化的理想选择，并且无需用户驱动的代码也可以很好地处理扩展

Athena是一个数据库，可通过RDS进行访问，但最终旨在进行分析，就像Redshift和Elastic MapReduce一样。Athena更多地在互动interact方面。 Athena分析数据，允许标准SQL查询。 

QuickSight是一项基于云的业务分析服务。 它提供来自多个数据源的可视化和分析。

Amazon Lightsail是针对Web应用程序的计算解决方案，并在需要时涉及计算，存储和网络以及数据库存储。 它启动服务器，并为它们配置Web托管所需的服务。 请注意，尽管AWS将Lightsail视为一种计算服务，但它会调用并控制其他资源。

Kinesis是一项数据分析服务，能够处理大型数据流large data streams并提实时洞察数据分析服务real-time insights。

Kinesis Data Streams (Kinesis Streams)：使用自定义的应用程序分析数据流

Kinesis Video Streams：捕获、处理并存储视频流用于分析和机器学习（Machine Learning）

Kinesis Data Firehose可以让我们的实时数据流传输到我们定义的目标，包括Amazon S3，Amazon Redshift，Amazon Elasticsearch Service (ES)和Splunk。将数据加载到AWS数据存储上.

通过Kinesis Firehose，我们可以将数据流经过转换之后传输到S3存储桶上去，并且另外将源数据备份一份到另一个S3存储桶。

使用Kinesis Data Analytics，我们可以使用标准的SQL语句来处理和分析我们的数据流。这个服务可以让我们使用强大的SQL代码来做实时的数据流分析、创建实时的参数。

 

AWS组织（Organization）包含了整合账单（Consolidated Billing）和账号管理功能，通过这些功能，你能够更好地满足企业的预算、安全性和合规性的要求。

• 整合账单主账号最好使用多因素认证MFA（Multi-Factor Authentication）
• 整合账单主账号最好只用来管理账单，不拥有任何访问AWS资源的权限
• 一个Organization默认只能管理20个账号，超过这个数字需要找AWS Support

 

OpsWorks是一项运营管理服务，AWS通常将其归类为“管理工具”（尤其是在AWS控制台中）。 它允许与Puppet和Chef之类的工具集成。

Lex是用于构建语音识别和对话机器人的Amazon服务。人工智能

ElastiCache 使用两个缓存引擎caching engines: memcached和redis.

Amazon Elastic Transcoder是一种在线媒体转码的工具，使用它我们可以很容易地将我们的视频从源格式转换到其他的格式和分辨率，以便在手机、平板、PC等设备上播放。

一般来说，我们会将需要转码的媒体文件放在AWS S3的存储桶上，创建相应的管道和任务将文件转码为特定的格式，最后将文件输出到另一个S3的存储桶上面去。

我们也可以使用一些预设的模板来转换我们的媒体格式。

另外，我们也可以配合Lambda函数，在有新的文件上传到S3后触发函数代码，执行Elastic Transcoder并自动进行媒体文件的转码。

 

您可以为EC2和RDS选择保留实例，您几乎可以将保留实例用于AWS提供的所有内容。 

RDS使用单可用区且备份，  / O可能会暂时挂起，但数据库永远不会完全脱机，I / O挂起可能导致延迟增加和响应速度变慢。 但是，网络请求仍将得到满足， 他们不会失败。

启动启用了加密的Amazon RDS实例。 日志和备份会自动加密。

RDS 支持 Aurora, PostgreSQL, MySQL, MariaDB, Oracle, and Microsoft SQL Server.

RDS支持多可用区部署。 默认情况下，自动备份是打开的。 一些RDS数据库（尤其是Maria和Aurora）仅仅支持RDS。 并且所有RDS数据库都提供一个SQL接口。

MySQL在3306上可用。，数据库通常仅在未保留的端口（大于1024）上可用。低于1024的端口保留用于特权服务。

Aurora实际上跨三个可用性区域存储了多达六个数据副本，以确保故障转移和灾难恢复。有两种数据库只读副本

• Aurora Replicas（最多支持15个）
• MySQL Replica（最多支持5个）
• 两者的区别是Aurora主数据库出现故障的时候，Aurora Replicas可以自动变成主数据库，而MySQL Replica不可以

每当AWS考试向您询问速度或性能时，通常都会发现AWS产品是正确的答案。 AWS不会要求您选择MySQL或Oracle作为比其自己的数据库之一更快的选择！

RDS提供SQL交互以及通过RDS Web API的访问。 RDS实例不允许通过SSH或RDP访问。

RDS允许备份保留期长达35天。

多可用区设置Multi-AZ setup通过辅助数据库提供灾难恢复选项。 这也隐式地提供了数据冗余，所有RDS数据库都支持多可用区。使用同步 synchronous复制将数据备份到辅助实例。提供耐久性

只读副本read replica设置旨在通过提供其他要读取的数据库来减少单个数据库实例上的负载。 这还具有通过在多个实例之间分配流量来减少网络延迟的“副作用”。目前Read Replicas支持以下数据库：

• Aurora
• PostgreSQL
• MySQL
• MariaDB

只有主实例（通过RDS和AWS）可以将更改“写入”副本”，不能从随便的应用程序写入。 asynchronous异步复制，提供多副本的可伸缩性scaling。可以配置单个数据库实例的最多五个只读副本。只读副本需要RDS关系型数据库。

您也无法故障fial over转移到只读副本。 您可以将其转换为独立实例 instance，但这是一个手动过程，而不是故障转移

对于数据库不堪重负问题，可以升级实例，如果数据访问很少，那就不要用缓存。在靠近用户的地方设置只读副本。

Redshift是AWS提供OLAP（在线分析处理）服务的主要示例，用来做商业智能（Business Intelligence）方面的分析。关系数据库通常是AWS中OLTP（在线事物处理）的最佳答案

 

DynamoDB比RDS易于扩展scaling，因为它不需要只读副本或实例大小更改即可扩展。 DynamoDB使用SSD驱动器,DynamoDB至少分布在三个区域zone。用于游戏，session存储，IOT,大数据分析等。一般flexible灵活的使用DynamoDB，不宜存储大文件。大文件S3。RDS结构化存储，一般是固定的结构。

默认情况下，DynamoDB使用最终一致的读取，这意味着读取可能不会立即反映出最近写入的结果。 它还提供了高度一致的读取模型，始终反映最新的写入操作。

如果我们需要增加DynamoDB的规格，我们可以直接在AWS管理控制台上进行更改，并且不会有任何系统downtime

 

ElastiCache是高性能和实时处理以及重型商业智能的理想选择.,非常适合缓存数据库catch或消息服务message中的数据。单个节点node是分片shard的一部分，而分片又是群集cluster的一部分。

 

存储：

RDS是OLTP，处理事务型数据，structrue结构化数据，ACID，不可无限扩展和flexble，以及大文件。高并发的读取。

Aurora 又便宜，又低延迟快速，自动高可用。最多到64T。

DynamoDB 高可用，高冗余度，容错性。flexble， 可能变化蛮频繁，广告，session，游戏（登录）。半结构化，不能大数据。可以KV存储，可以索引。

Redshift 数据仓库存储，无限大，分析，大数据。可以配合EMR使用。不会自动做搜索。

Elasticcatch 只用来做热数据的缓存，不宜长期存。

EBS EC2接的的块存储。ssd用来做小数据库，ssd-iops做IO随机量大的，吞吐优化HHD做不常访问，文件很大，要存的话size很大，cold HHD不常用，可存很大。

 

加密：

STS 做权限的，请求临时令牌获得权限。外网访问我们的数据。

KMS AWS管理Key的，可以做加密。可以和S3搭配。

EBS RDS一加密全加密。  

 

 

SWF代表简单工作流程Simple Workflow。SWF提供了一个API，但它既不是特定于AWS的API（外面能访问），也不是特定于语言的（支持各种语言）。 相反，SWF支持标准的HTTP请求和响应。使用SWF在各个应用程序组件之间处理和协调任务task。SWF通常被认为是异步服务 synchronous，但在需要时它也支持同步synchronous任务。与task任务相关联,它可以保证所有任务的一次交付。SWF域domain是相关工作流程的集合。

SWF和SQS的区别

SWF是面向任务task的；SQS是面向消息message的；

SWF保证了每一个任务都只执行一次而不会重复；标准的SQS消息可能会被处理多次

SWF保证了程序内所有任务都正常被处理，并且追踪工作流；而SQS只能在应用程序的层面追踪工作流

SWF内的任务最长可以保存1年；SQS内的消息最长只能保存14天

 

 

 SNS推送通知 push notifications，而SQS允许提取pull messages其消息。SNS的主题topic以arn表示。

SNS能推送的目标

• HTTP
• HTTPS
• Email
• Email-JSON
• SQS
• Application
• Lambda

 

默认VPC /16，默认子网 /20，提供网关和子网。所有VPC都有自动创建的NACL，安全组和路由表。最小子网./28

VPC 终端节点endpoint是一种虚拟设备，可通过AWS（并自动）提供冗余redundancy。 VPC端点水平缩放horizontally。

VPC终端节点endpoint有两种形式：接口interface终结点（提供弹性网络接口和专用IP地址，比如API网关和Kinesis）和网关gateway终结点（针对路由表中的特定路由，比如S3和DynamoDB）。