【全999問(401~500)】AWS認定ソリューションアーキテクトアソシエイト【AWS Certified Solutions Architect - Professional】SAP-C02の練習問題集と解析
◐401.ソリューションアーキテクトが、複数のAPIゲートウェイ、AWS Lambda関数、Amazon S3バケット、およびAmazon DynamoDBテーブルで構成されるサーバーレスアプリケーションを管理しています。顧客から、一部のアプリケーションコンポーネントが動的画像の読み込み時に遅くなり、いくつかは504 Gateway Timeoutエラーでタイムアウトしているという報告がありました。このシナリオをトラブルシューティングする際、ソリューションアーキテクトはDynamoDBの監視メトリクスが許容レベルにあることを確認しました。
これらのアプリケーション問題をデバッグするための最適な手順は次のうちどれですか?(2つ選んでください)
選択肢:
A. エラーの根本原因を特定するために、HTTPエラーのためのAmazon API GatewayのHTTPログを解析します。
B. 指定された間隔でリクエストされた画像の処理時間を決定するために、Amazon CloudWatchログを解析します。
C. Lambda関数とS3間のパケット損失があるかどうかを判断するために、VPC Flow Logsを解析します。
D. HTTPエラーの根本原因を判断するために、AWS X-Rayのトレースを解析し、HTTPメソッドを分析します。
E. 特定のIPアドレスからアクセスされているオブジェクトがあるかどうかを判断するために、S3アクセスログを解析して、地理的な遅延問題の範囲を絞り込みます。
正解:B, D
解説:
選択肢Bは、Amazon CloudWatchログを解析して指定された間隔での画像処理時間を確認するもので、処理速度の問題を診断するのに役立ちます。
選択肢Dは、AWS X-Rayを使ってトレースとHTTPメソッドを分析し、エラーの根本原因を特定するのに有効です。
これらの手順を通じて、サーバーレスアプリケーションのパフォーマンス問題を効果的にデバッグできます。
◐402.アーキテクトが新しく購入したアプリケーションのストレージレイヤーを設計しています。アプリケーションはAmazon EC2インスタンス上で動作し、以下のレイヤーと要件があります:
✑ データレイヤー:多くのシステムで共有されるPOSIXファイルシステム
✑ サービスレイヤー:100,000 IOPSを超えるブロックストレージを必要とする静的ファイルコンテンツ
どのAWSサービスの組み合わせがこれらのニーズを満たしますか?(2つ選択してください)
選択肢:
A. データレイヤー - Amazon S3
B. データレイヤー - Amazon EC2 Ephemeral Storage
C. データレイヤー - Amazon EFS
D. サービスレイヤー - Amazon EBS volumes with Provisioned IOPS
E. サービスレイヤー - Amazon EC2 Ephemeral Storage
正解:
C, E
解説:
データレイヤー - Amazon EFS: Amazon EFSはPOSIX互換のファイルシステムを提供し、多くのシステムでの共有が可能です。これにより、データレイヤーの要件が満たされます。
サービスレイヤー - Amazon EC2 Ephemeral Storage: EC2インスタンスの一時ストレージは高いI/O性能を提供しますが、永続的なデータ保存には適しません。高いI/O性能が必要な場合に適しています。
◐403.企業は、複数のプライベートデータセンターからAWSへの数年間のデータセンター移行中に、ハイブリッドネットワークアーキテクチャを使用する必要があります。現在のデータセンターはプライベートファイバーで接続されています。ユニークなレガシーアプリケーションのために、NATは使用できません。移行期間中、多くのアプリケーションは、データセンターとAWSの両方にある他のアプリケーションにアクセスする必要があります。
どのオプションが、安全で高可用性であり、高帯域幅を提供し、移行後のマルチリージョン展開に適していますか?
選択肢:
A. AWS Direct Connectを各データセンターから異なるISP経由で使用し、ルーティングを構成して、1つが失敗した場合に他のデータセンターのDirect Connectにフェイルオーバーするようにします。VPC CIDRブロックが互いに重複しないことを確認してください。
B. オンプレミスデータセンターからAWSへの複数のハードウェアVPN接続を使用し、異なるサブネットトラフィックを異なるVPN接続経由でルーティングします。VPC CIDRブロックが互いに重複しないことを確認してください。
C. AWSとオンプレミスデータセンターの両方にクラスター化されたソフトウェアVPNを使用し、トラフィックをクラスター経由でルーティングします。VPC CIDRブロックが互いに重複しないことを確認してください。
D. AWS Direct ConnectとVPNをバックアップとして使用し、両方を同じ仮想プライベートゲートウェイとBGPを使用して構成します。VPC CIDRブロックが互いに重複しないことを確認してください。
正解:
A
解説:
AWS Direct Connectを使用して、異なるISP経由でデータセンターに接続し、ルーティングを構成してフェイルオーバーをサポートします。
AWS Direct Connectは高帯域幅の専用接続を提供し、データセンター間のプライベートリンクを構成できます。異なるISP経由でDirect Connectを設定し、フェイルオーバーを構成することで、高可用性と信頼性を確保します。また、VPC CIDRブロックとオンプレミスネットワークの重複を避けることで、ルーティングの競合を防ぎます。
◐404.ある会社が現在、AWS上で非常にI/O集約型のプロダクションワークロードを実行しています。このワークロードは、10台のc4.8xlargeインスタンスで構成され、それぞれに2 TBのgp2ボリュームが付いています。処理ジョブの数が最近増加し、レイテンシが増加しました。チームは、IOPSの制約があると認識しています。アプリケーションが効率的に動作するためには、各インスタンスのIOPSを3,000増やす必要があります。
選択肢:
A. Amazon EBSボリュームのタイプをgp2からio1に変更し、プロビジョニングされたIOPSを9,000に設定します。
B. 各インスタンスのgp2ボリュームのサイズを3 TBに増やします。
C. 新しいAmazon EFSファイルシステムを作成し、すべてのデータをこの新しいファイルシステムに移動します。すべての10台のインスタンスにこのファイルシステムをマウントします。
D. 新しいAmazon S3バケットを作成し、すべてのデータをこの新しいバケットに移動します。各インスタンスがこのS3バケットにアクセスし、ストレージとして使用します。
正解: B
解説:
gp2ボリュームのサイズを増やすことで、ボリュームのIOPS性能が向上します。gp2ボリュームは、サイズが増えるにつれてIOPSが増加するため、容量を増やすことで必要なIOPSを確保できます。io1ボリュームへの変更は高コストになる可能性があるため、サイズ変更が最もコスト効率的です。他の選択肢は、特にS3やEFSの使用はI/O性能の問題に直接対応するわけではなく、コストやパフォーマンスに影響を与える可能性があります。
◐405.ある会社のデータセンターは、最小限使用される10 GbpsのAWS Direct Connect接続を介してAWSクラウドに接続されています。インターネット接続は200 Mbpsで、毎週金曜日に150 TBのデータセットが作成されます。このデータは月曜日の朝までにAmazon S3に転送し、利用可能にする必要があります。データ転送の成長も考慮に入れた場合、最もコスト効率の良い方法はどれですか?
選択肢:
A. 80 TBのAWS Snowballアプライアンスを2台注文します。データをアプライアンスにオフロードし、AWSに発送します。AWSはデータをSnowballアプライアンスからAmazon S3にコピーします。
B. Amazon S3用のVPCエンドポイントを作成します。VPCエンドポイントを使用してデータをAmazon S3にコピーし、転送をDirect Connect接続に強制します。
C. Amazon S3用のVPCエンドポイントを作成します。VPC内にClassic Load Balancerの背後にリバースプロキシファームをセットアップします。プロキシを使用してAmazon S3にデータをコピーします。
D. Direct Connect接続でパブリック仮想インターフェイスを作成し、その接続を介してAmazon S3にデータをコピーします。
正解: C
解説:
VPCエンドポイントを使用してAmazon S3にデータをコピーし、リバースプロキシファームを使用することで、Direct Connect接続を介して高い帯域幅でデータ転送が可能になります。この方法は、インターネット接続の帯域幅制限を回避し、コスト効率の良いデータ転送を実現します。AWS Snowballやパブリック仮想インターフェイスは、データ転送の要件やコストに対して最適な解決策ではありません。
◐406.会社は、開発チームごとにアカウントを作成し、合計200アカウントを作成しました。すべてのアカウントには、複数のマイクロサービスがDockerコンテナで実行されている単一の仮想プライベートクラウド(VPC)があり、これらのマイクロサービスは他のアカウントのマイクロサービスと通信する必要があります。セキュリティチームの要件は、これらのマイクロサービスが公開インターネットを経由しないようにし、特定の内部サービスのみが他のサービスを呼び出せるようにすることです。もしサービスに対するネットワークトラフィックが拒否された場合、セキュリティチームは拒否されたリクエストのソースIPを含む通知を受け取る必要があります。セキュリティ要件を満たしながら、サービス間の接続をどのように確立できますか?
選択肢:
A. VPC間にVPCピアリング接続を作成します。セキュリティグループを使用して、マイクロサービスに呼び出しを許可されたセキュリティグループIDからのトラフィックのみを許可します。ネットワークACLを適用して、ローカルVPCおよびピア接続されたVPCからのトラフィックのみを許可します。Amazon ECSのタスク定義内で、awslogsドライバーを使用してログ設定を指定します。Amazon CloudWatch Logs内で、HTTP 403レスポンスの数に基づいてメトリックフィルタとアラームを作成します。メッセージ数がセキュリティチームによって設定された閾値を超えるとアラームを作成します。
B. CIDR範囲が重複しないことを確認し、各VPCに仮想プライベートゲートウェイ(VGW)をアタッチします。各VGWとIPsecトンネルをプロビジョニングし、ルートテーブルでルート伝播を有効にします。各サービスのセキュリティグループを構成して、他のアカウントのVPCのCIDR範囲を許可します。VPCフローログを有効にし、拒否されたトラフィックのためのAmazon CloudWatch Logsサブスクリプションフィルタを使用します。IAMロールを作成し、セキュリティチームが各アカウントのAssumeRoleアクションを呼び出すことを許可します。
C. 第三者のマーケットプレイスVPNアプライアンスをAmazon EC2上で使用してトランジットVPCをデプロイし、VPNアプライアンスと各VPCにアタッチされた仮想プライベートゲートウェイ(VGW)間で動的にルーティングされたVPN接続を作成します。ネットワークACLを調整してローカルVPCからのトラフィックのみを許可します。セキュリティグループを適用して、マイクロサービスがVPNアプライアンスからのトラフィックのみを許可します。各VPNアプライアンスにawslogsエージェントをインストールし、ログをセキュリティアカウントのAmazon CloudWatch Logsに転送するように設定します。
D. 各マイクロサービスに対してNetwork Load Balancer(NLB)を作成します。NLBをPrivateLinkエンドポイントサービスにアタッチし、このサービスを利用するアカウントをホワイトリストに登録します。消費者VPC内にインターフェイスエンドポイントを作成し、サービスを呼び出すために許可されたセキュリティグループIDのみを許可するセキュリティグループを関連付けます。プロデューサーサービスに対して、各マイクロサービス用のセキュリティグループを作成し、許可されたサービスのCIDR範囲のみを許可します。各VPCでVPCフローログを作成し、拒否されたトラフィックをAmazon CloudWatch Logsグループに配信します。CloudWatch Logsサブスクリプションを作成し、ログデータをセキュリティアカウントにストリームします。
正解: C
解説:
トランジットVPCを使用し、VPNアプライアンスとVGW間の動的ルーティングを設定することで、複数のVPC間でのセキュアな接続を確立できます。VPNアプライアンスにより、トラフィックを適切にルーティングし、セキュリティ要件を満たすことができます。また、CloudWatch Logsを利用してトラフィックログを収集し、セキュリティチームに通知することで、セキュリティ要件を満たすことができます。
◐407.ある会社が、99.99%のSLA(サービスレベルアグリーメント)を持つ動的なミッションクリティカルなウェブアプリケーションを運営しています。グローバルなアプリケーションユーザーが24時間年中無休でアクセスしており、アプリケーションは現在オンプレミスでホストされており、特に何百万ものユーザーが同時にアクセスするとSLAを満たさないことが頻繁にあります。リモートユーザーは遅延を訴えています。アプリケーションをスケーラブルにし、自動フェイルオーバーを最も低コストで実現するためには、どのようにアプリケーションを再設計すべきですか?
選択肢:
A. Amazon Route 53のフェイルオーバールーティングとジオロケーションベースのルーティングを使用します。ウェブサイトは自動スケーリングされたAmazon EC2インスタンスの背後にApplication Load Balancerを置き、各リージョンに追加のApplication Load BalancerとEC2インスタンスを配置してアプリケーション層をホストします。データ層にはMySQLのMulti-AZデプロイメントを使用します。
B. Amazon Route 53のラウンドロビンルーティングを使用して、複数のリージョンに均等に負荷を分散させ、ヘルスチェックを行います。ウェブサイトは自動スケーリングされたAmazon ECSのAWS Fargate技術コンテナの背後にNetwork Load Balancerを置き、アプリケーション層には追加のNetwork Load BalancerとFargateコンテナを各リージョンに配置します。データ層にはAmazon Auroraのレプリカを使用します。
C. Amazon Route 53のレイテンシーベースのルーティングを使用して、ヘルスチェック付きで最寄りのリージョンにルーティングします。ウェブサイトは各リージョンのAmazon S3にホストし、アプリケーション層にはAmazon API GatewayとAWS Lambdaを使用します。データ層にはAmazon DynamoDBグローバルテーブルとAmazon DynamoDB Accelerator(DAX)をキャッシュとして使用します。
D. Amazon Route 53のジオロケーションベースのルーティングを使用します。ウェブサイトは自動スケーリングされたAWS Fargateコンテナの背後にNetwork Load Balancerを置き、アプリケーション層には各リージョンに追加のNetwork Load BalancerとFargateコンテナを配置します。データ層にはAmazon Aurora MultiMasterを使用します。
正解: C
解説:
アプリケーションのスケーラビリティと自動フェイルオーバーを確保しながら、最もコスト効果の高いアプローチは、Amazon Route 53のレイテンシーベースのルーティングを使用して最寄りのリージョンにルーティングすることです。これにより、ユーザーが最も近いリージョンに接続され、遅延を最小限に抑えることができます。ウェブサイトをAmazon S3にホストし、Amazon API GatewayとAWS Lambdaでアプリケーション層を構築することで、スケーラビリティと高い可用性が確保されます。データ層には、Amazon DynamoDBグローバルテーブルとDynamoDB Accelerator(DAX)を使用することで、高いパフォーマンスと低遅延を実現できます。
◐408.ある会社が200以上の個別のインターネット向けウェブアプリケーションを管理しています。すべてのアプリケーションは単一のAWSリージョンにデプロイされています。アプリケーションの完全修飾ドメイン名(FQDN)は、Application Load Balancers(ALB)を介してHTTPSで利用可能です。ALBは公開SSL/TLS証明書を使用するように構成されています。ソリューションアーキテクトは、ウェブアプリケーションを複数リージョンのアーキテクチャに移行する必要があります。すべてのHTTPSサービスは中断なく引き続き機能する必要があります。
選択肢:
A. AWS KMSを使用して各FQDNの証明書をリクエストし、証明書をプライマリーAWSリージョンのALBに関連付けます。証明書のクロスリージョン可用性をAWS KMSで有効にし、証明書をセカンダリーAWSリージョンのALBに関連付けます。
B. AWS KMSを使用して各FQDNのキーペアと証明書要求を生成し、プライマリーおよびセカンダリーAWSリージョンのALBに証明書を関連付けます。
C. AWS Certificate Managerを使用して各FQDNの証明書をリクエストし、証明書をプライマリーおよびセカンダリーAWSリージョンのALBに関連付けます。
D. AWS Certificate Managerを使用してプライマリーおよびセカンダリーAWSリージョンの各FQDNの証明書をリクエストし、各AWSリージョンのALBに対応する証明書を関連付けます。
正解: D
解説:
複数リージョンのアーキテクチャに移行する際には、AWS Certificate Manager(ACM)を使用して各FQDNの証明書をリクエストし、プライマリーおよびセカンダリーAWSリージョンのALBに対応する証明書を関連付けることが推奨されます。これにより、各リージョンでの証明書の管理が簡単になり、HTTPSサービスが中断なく機能し続けることができます。AWS KMSは証明書の管理には適しておらず、証明書の生成および管理にはAWS Certificate Managerの使用が最も適しています。
◐409.あるeコマース会社がITインフラを見直し、AWSサービスの利用を計画しています。CIOがソリューションアーキテクトに対し、シンプルで高可用性かつ疎結合な注文処理アプリケーションの設計を依頼しました。このアプリケーションは、注文を受け取り、処理してからAmazon DynamoDBテーブルに保存します。アプリケーションはトラフィックのパターンが不規則であり、マーケティングキャンペーン中にスケーリングして注文を最小限の遅延で処理できる必要があります。
選択肢:
A. Amazon EC2ホストのデータベースで注文を受け取り、EC2インスタンスを使用してそれらを処理します。
B. Amazon SQSキューで注文を受け取り、AWS Lambda関数をトリガーして処理します。
C. AWS Step Functionsプログラムで注文を受け取り、Amazon ECSコンテナをトリガーして処理します。
D. Amazon Kinesis Data Streamsで注文を受け取り、Amazon EC2インスタンスを使用して処理します。
正解: B
解説:
注文を受け取るためにAmazon SQS(Simple Queue Service)を使用し、AWS Lambda関数をトリガーして処理するのが最も信頼性の高いアプローチです。Amazon SQSはスケーラブルなメッセージキューサービスであり、注文をキューに入れることで、注文処理のリクエストを非同期に処理できます。AWS Lambdaはサーバーレスで、スケーラブルにトリガーできるため、処理が遅延することなく対応できます。この設計により、アプリケーションは高可用性を維持し、マーケティングキャンペーン中のトラフィックの変動にも柔軟に対応することができます。
◐410.ある会社には、社内で開発されたソフトウェアフレームワークを使用して作成されたアプリケーションがあります。このフレームワークのインストールには30分かかり、ユーザーデータスクリプトを使用して実行されます。会社の開発者はアプリケーションの変更を頻繁にデプロイしていますが、フレームワークのインストールがこのプロセスのボトルネックになっています。
このプロセスをスピードアップするためにどの方法が最適でしょうか?
選択肢:
A. フレームワークがインストールされたカスタムAMIをビルドするパイプラインを作成し、このAMIをアプリケーションデプロイメントのベースラインとして使用します。
B. ユーザーデータスクリプトを使用してフレームワークをインストールしますが、インストールファイルを圧縮してサイズを小さくします。
C. インストールタスクを並列化するパイプラインを作成し、このパイプラインをユーザーデータスクリプトから呼び出します。
D. AWS OpsWorksのクックブックを設定してフレームワークをインストールし、ユーザーデータの代わりにこのクックブックをすべてのデプロイメントのベースとして使用します。
正解: A
解説:
カスタムAMI(Amazon Machine Image)をビルドしてフレームワークを事前にインストールし、このAMIをアプリケーションデプロイメントのベースラインとして使用するのが最も効果的です。これにより、フレームワークのインストールが完了した状態のAMIを使って迅速にインスタンスを立ち上げることができるため、アプリケーションのデプロイメントプロセスが大幅にスピードアップします。これにより、フレームワークのインストール時間が省略され、開発者のデプロイメント効率が向上します。
この記事が気に入ったらサポートをしてみませんか?