AWS Certified Solutions Architect E-Book

Inhalt

Deckblatt

Titelseite

Impressum

Widmung

Einführung

Einstufungstest

Teil I Zentrale AWS-Services

Kapitel 1 Einführung in Cloud-Computing und AWS

Cloud-Computing und Virtualisierung

Cloud-Computing-Architektur

Cloud-Computing-Optimierung

Die AWS-Cloud

Architektur der AWS-Plattform

AWS-Zuverlässigkeit und Compliance

Modell der gemeinsamen Verantwortung

Service-Level-Agreements von AWS

Die Arbeit mit AWS

Die AWS-Befehlszeilen-Schnittstelle (CLI)

AWS-SDKs

Technische Unterstützung und Ressourcen im Web

Support-Stufen

Weitere Support-Ressourcen

Zusammenfassung

Prüfungsschwerpunkte

Übung

Testfragen

Kapitel 2 Amazon Elastic Compute Cloud und Amazon Elastic Block Store

Einleitung

EC2-Instanzen

Bereitstellung Ihrer Instanz

Konfiguration des Instanzverhaltens

Preismodelle für Instanzen

Lebenszyklus von Instanzen

Markierung von Ressourcen mit Tags

Servicelimits

EC2-Speicher-Volumes

EBS-Volumes (Elastic Block Store)

Instanz-Speicher-Volumes

Zugriff auf Ihre EC2-Instanz

Sicherung Ihrer EC2-Instanz

Sicherheitsgruppen

IAM-Rollen

NAT-Geräte

Schlüsselpaare

Weitere EC2-Services

AWS Systems Manager

Platzierungsgruppen

AWS Elastic Beanstalk

Amazon Elastic Container Service und AWS Fargate

AWS Lambda

VM Import/Export

Elastic Load Balancing und Auto Scaling

AWS-CLI – Beispiel

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 3 Amazon Simple Storage Service und Amazon Glacier

Einleitung

S3-Servicearchitektur

Präfixe und Trennzeichen

Umgang mit großen Objekten

Verschlüsselung

Protokollierung

Beständigkeit und Verfügbarkeit von S3

Beständigkeit

Verfügbarkeit

Datenkonsistenz

S3-Objektlebenszyklus

Versionierung

Lebenszyklusregeln

Zugriff auf S3-Objekte

Zugriffssteuerung

Vorsignierte URLs

Hosting von statischen Websites

S3 und Glacier Select

Amazon Glacier

Speicherkosten

Weitere speicherbezogene Services

Amazon Elastic File System

AWS Storage Gateway

AWS Snowball

AWS-CLI – Beispiel

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 4 Amazon Virtual Private Cloud

Einleitung

CIDR-Blöcke von VPCs

Sekundäre CIDR-Blöcke

IPv6-CIDR-Blöcke

Subnetze

Subnetz-CIDR-Blöcke

Availability Zones

IPv6-CIDR-Blöcke

Elastic Network Interfaces

Primäre und sekundäre private IP-Adressen

Zuordnung von Elastic Network Interfaces

Internet-Gateways

Routing-Tabellen

Routen

Die Standardroute

Sicherheitsgruppen

Regeln für eingehenden Datenverkehr

Regeln für ausgehenden Datenverkehr

Quell- und Zieladressen

Zustandsbehaftete Firewall

Netzwerk-Zugriffskontrolllisten

Regeln für eingehenden Datenverkehr

Regeln für ausgehenden Datenverkehr

Gemeinsame Nutzung von Netzwerk-Zugriffskontrolllisten und Sicherheitsgruppen

Öffentliche IP-Adressen

Elastic-IP-Adressen

Network Address Translation (NAT)

NAT-Geräte

Konfiguration von Routing-Tabellen für NAT-Geräte

NAT-Gateway

NAT-Instanz

VPC-Peering

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 5 Datenbanken

Einleitung

Relationale Datenbanken

Spalten und Attribute

Verwendung mehrerer Tabellen

Structured Query Language (SQL)

Online Transaction Processing vs. Online Analytic Processing

Amazon Relational Database Service

Datenbank-Engines

Lizenzierung

Optionsgruppen für Datenbanken

Datenbankinstanzklassen

Speicherung

Read Replicas

Hochverfügbarkeit (Multi-AZ)

Backup und Wiederherstellung

Automatisierte Snapshots

Wartungsaufgaben

Amazon Redshift

Datenverarbeitungsknoten

Datenverteilungsstil

Nicht relationale Datenbanken (NoSQL)

Speichern von Daten

Abfrage von Daten

Arten von nicht relationalen Datenbanken

DynamoDB

Partitions- und Hash-Schlüssel

Attribute und Elemente

Durchsatzkapazität

Lesen von Daten

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 6 Authentifizierung und Autorisierung – AWS Identity and Access Management

Einleitung

IAM-Identitäten

IAM-Richtlinien

Benutzer- und Root-Konten

Zugriffsschlüssel

Gruppen

Rollen

Authentifizierungstools

Amazon Cognito

AWS Managed Microsoft AD

AWS Single Sign-On

AWS Key Management Service

AWS Secrets Manager

AWS CloudHSM

AWS-CLI – Beispiel

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 7 CloudTrail, CloudWatch und AWS Config

Einleitung

CloudTrail

Verwaltungsereignisse

Datenereignisse

Ereignisverlauf

Pfade

Integritätsprüfung für Protokolldateien

CloudWatch

Metriken von CloudWatch

Grafische Darstellung von Metriken

Mathematische Operationen mit Metriken

CloudWatch Logs

Protokollströme und Protokollgruppen

Metrikfilter

CloudWatch Agent

Übermittlung von CloudTrail-Protokollen an CloudWatch Logs

CloudWatch-Alarme

Zu überwachende Datenpunkte

Schwellenwert

Alarmstatus

Benötigte Anzahl an Datenpunkten und Auswertungsintervall

Fehlende Daten

Aktionen

AWS Config

Der Konfigurationsrekorder

Konfigurationselemente

Konfigurationsverlauf

Konfigurations-Snapshots

Überwachung von Änderungen

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 8 Domain Name System und Netzwerk-Routing: Amazon Route 53 und Amazon CloudFront

Einleitung

Das Domain Name System (DNS)

Namespaces

Nameserver

Domains und Domainnamen

Domainregistrierung

Domainebenen

Fully Qualified Domain Names

Zonen und Zonendateien

Typen von Ressourcendatensätzen

Alias-Datensätze

Amazon Route 53

Domainregistrierung

DNS-Verwaltung

Überwachung der Verfügbarkeit

Routing-Richtlinien

Datenverkehrsfluss

Amazon CloudFront

AWS-CLI – Beispiel

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Teil II Well-Architected Framework

Kapitel 9 Die Säule »Zuverlässigkeit«

Einleitung

Berechnung der Verfügbarkeit

Verfügbarkeitsunterschiede zwischen klassischen und nativen Cloud-Anwendungen

Kein grenzenloses Vergnügen

Erhöhung der Verfügbarkeit

EC2 Auto Scaling

Startkonfigurationen

Startvorlagen

Auto-Scaling-Gruppen

Auto-Scaling-Optionen

Backup und Wiederherstellung von Daten

S3

Elastic File System

Elastic Block Storage

Ausfallsicherheit von Datenbanken

Einrichtung eines ausfallsicheren Netzwerks

Überlegungen beim VPC-Entwurf

Externe Konnektivität

Verfügbarkeitsorientierter Entwurf

Entwurf einer Anwendung mit 99 Prozent Verfügbarkeit

Entwurf einer Anwendung mit 99,9 Prozent Verfügbarkeit

Entwurf einer Anwendung mit 99,99 Prozent Verfügbarkeit

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 10 Die Säule »Leistung und Effizienz«

Einleitung

Leistungsoptimierung für zentrale AWS-Services

Datenverarbeitung

Speicherung

Datenbanken

Netzwerkoptimierung und Lastverteilung

Automatisierung der Infrastruktur

CloudFormation

Automatisierungstools von Drittanbietern

Kontinuierliche Integration und Implementierung

Überprüfung und Optimierung von Infrastrukturkonfigurationen

Lasttests

Visualisierung

Optimierung von Datenoperationen

Caching

Partitionierung/Sharding

Komprimierung

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 11 Die Säule »Sicherheit«

Einleitung

Identity and Access Management

Schutz Ihrer AWS-Zugangsdaten

Feingranulare Autorisierung

Berechtigungsgrenzen

Rollen

Durchsetzung von ressourcenbasierten Richtlinien

Investigative Kontrollen

CloudTrail

CloudWatch Logs

Protokollsuche mit Athena

Prüfung von Ressourcenkonfigurationen mit AWS Config

Amazon GuardDuty

Amazon Inspector

Schutz der Netzwerkgrenzen

Netzwerk-Zugriffskontrolllisten und Sicherheitsgruppen

AWS Web Application Firewall

AWS Shield

Datenverschlüsselung

Ruhende Daten

Daten auf dem Übertragungsweg

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 12 Die Säule »Kostenoptimierung«

Einleitung

Planung, Nachverfolgung und Kontrolle der Kosten

AWS-Budgets

Überwachungstools

AWS Organizations

AWS Trusted Advisor

Onlinerechner

Kostenoptimierung bei der Datenverarbeitung

Maximierung der Serverdichte

Reserved Instances

Spot-Instanzen

Auto Scaling

Elastic Block Store Lifecycle Manager

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Kapitel 13 Die Säule »Operational Excellence«

Einleitung

CloudFormation

Erstellen von Stacks

Löschen von Stacks

Verwendung mehrerer Stacks

Stack-Aktualisierungen

Verhinderung von Aktualisierungen spezifischer Ressourcen

Außerkraftsetzung von Stack-Richtlinien

CodeCommit

Erstellen eines Repositorys

Repository-Sicherheit

Interaktion mit einem Repository via Git

CodeDeploy

Der CodeDeploy-Agent

Bereitstellungen

Bereitstellungsgruppen

Bereitstellungstypen

Bereitstellungskonfigurationen

Lebenszyklusereignisse

AppSpec-Datei

Auslöser und Alarme

Rollbacks

CodePipeline

Kontinuierliche Integration

Kontinuierliche Bereitstellung

Erstellen einer Pipeline

Artefakte

AWS Systems Manager

Aktionen

Erkenntnisse

Zusammenfassung

Prüfungsschwerpunkte

Testfragen

Anhang Antworten auf Die Testfragen

Kapitel 1: Einführung in Cloud-Computing und AWS

Kapitel 2: Amazon Elastic Compute Cloud und Amazon Elastic Block Store

Kapitel 3: Amazon Simple Storage Service und Amazon Glacier Storage

Kapitel 4: Amazon Virtual Private Cloud

Kapitel 5: Datenbanken

Kapitel 6: Authentifizierung und Autorisierung – AWS Identity and Access Management

Kapitel 7: CloudTrail, CloudWatch und AWS Config

Kapitel 8: Domain Name System und Netzwerk-Routing: Amazon Route 53 und Amazon CloudFront

Kapitel 9: Die Säule »Zuverlässigkeit«

Kapitel 10: Die Säule »Leistung und Effizienz«

Kapitel 11: Die Säule »Sicherheit«

Kapitel 12: Die Säule »Kostenoptimierung«

Kapitel 13: Die Säule »Operational Excellence«

Stichwortverzeichnis

End User License Agreement

Guide

Cover

Inhaltsverzeichnis

Fangen Sie an zu lesen

Liste der Abbildungen

Abbildung 1.1: Ein physischer Server dient als Host für mehrere virtuelle Maschinen.

Abbildung 1.2: Kopien eines Systemabbilds werden neuen virtuellen Maschinen bei ihrem Start zugewiesen.

Abbildung 1.3: Das Modell der gemeinsamen Verantwortung von AWS

Abbildung 2.1: In einer Entwicklungsumgebung kommen oft mehrere VPCs zum Einsatz.

Abbildung 2.2: Ein NAT-Gateway ermöglicht Ressourcen in privaten Subnetzen den Zugang zum Netzwerk.

Abbildung 4.1: VPC mit Subnetzen und Instanzen

Abbildung 4.2: Netzwerkadressübersetzung mit einem NAT-Gerät

Abbildung 5.1: Erstellen einer RDS-Instanz

Abbildung 6.1: Im IAM-Dashboard eines AWS-Kontos findet sich im Abschnitt »Sicherheitsstatus« eine Checkliste.

Abbildung 6.2: Auf der Seite mit Ihren Sicherheitsanmeldeinformationen können Sie sechs verschiedene Bereiche bearbeiten.

Abbildung 7.1: Die CPU-Auslastung wird grafisch dargestellt.

Abbildung 7.2: Der Graph zeigt die Summe aller Bytes pro Stunde, die von einem Netzwerk gesendet werden.

Abbildung 7.3: Die Summe der Datenpunkte zweier Metriken wird mithilfe der SUM-Funktion grafisch dargestellt.

Abbildung 7.4: Bei Metrikberechnungen können mathematische Funktionen kombiniert werden.

Abbildung 8.1: Eine einfache DNS-Domain hat drei Hauptbestandteile.

Abbildung 8.2: Der Datenverkehrsfluss lässt sich visuell darstellen.

Abbildung 9.1: Eine geplante Aktion mit einer gewünschten Kapazität von 2 wird jeden Samstag ausgeführt.

Abbildung 9.2: Eine geplante Aktion erhöht die gewünschte Kapazität jeden Freitag auf 4.

Abbildung 10.1: Datenfluss eines Systems mit typischem Load Balancer zur Lastverteilung

Abbildung 10.2: AWS Developer Tools sind in jeden Schritt eines CI/CD-Zyklus integriert.

Abbildung 10.3: Eine typische ElastiCache-Konfiguration mit einem ElastiCache-Cluster, der zwei Cache-Knoten enthält, übermittelt Daten an EC2-Instanzen im Frontend.

Abbildung 11.1: Drop-down-Menü in der AWS-Managementkonsole

Abbildung 11.2: Wechsel der Rolle in der AWS-Managementkonsole

Abbildung 11.3: CloudWatch Logs zeigt alle Ereignisse für AttachVolume, DetachVolume und DeleteVolume.

Abbildung 11.4: Ergebnisse einer Suchanfrage mit Athena

Abbildung 11.5: AWS Config meldet einen Regelverstoß für ein EBS-Volume.

Abbildung 11.6: Konfigurationsverlauf für ein EBS-Volume

Abbildung 11.7: Änderungen an der Konfiguration und den Beziehungen eines EBS-Volume lassen sich detailliert nachvollziehen.

Abbildung 11.8: GuardDuty meldet einen Fund, der auf eine mögliche Malware-Infektion hindeutet.

Abbildung 11.9: Inspector hat erkannt, dass sich Root-Benutzer via SSH anmelden können.

Liste der Tabellen

Tabelle 1.1: AWS-Servicekategorien

Tabelle 1.2: Zentrale AWS-Services (nach Kategorie)

Tabelle 1.3: Auflistung öffentlich zugänglicher AWS-Regionen

Tabelle 2.1: Kategorien der EC2-Instanztypen und ihre Kürzel

Tabelle 2.2: Geschätzte Preise von On-Demand Instances und Reserved Instances im Vergleich

Tabelle 2.3: Schlüssel und Werte werden nach einem bestimmten Muster vergeben.

Tabelle 2.4: Die vier EBS-Volume-Typen variieren in Leistung und Kosten.

Tabelle 2.5: Private Netzwerke nutzen typischerweise drei IP-Adressbereiche.

Tabelle 3.1: Garantierte Beständigkeit bei S3-Speicherklassen

Tabelle 3.2: Garantierte Verfügbarkeit bei S3-Speicherklassen

Tabelle 3.3: Beispielhafte Speicherkosten für Daten in der Region USA Ost.

Tabelle 4.1: Subnetze in verschiedenen Availability Zones

Tabelle 4.2: Lokale Route

Tabelle 4.3: Routing-Tabelle

Tabelle 4.4: Regeln für eingehenden Datenverkehr erlauben den SSH-Zugang für bestimmte IP-Adressen und den HTTPS-Zugang für beliebige IP-Adressen.

Tabelle 4.5: Eine Regel für ausgehenden Datenverkehr ermöglicht den Zugang zum Internet.

Tabelle 4.6: Standardmäßige Regeln einer NACL für eingehenden Datenverkehr

Tabelle 4.7: Regel zum Abweisen von HTTP-Anfragen

Tabelle 4.8: Standardmäßige Regeln einer NACL für ausgehenden Datenverkehr

Tabelle 4.9: IP-Adresskonfiguration bei Nutzung eines NAT-Geräts

Tabelle 4.10: Standardrouten für private und öffentliche Subnetze

Tabelle 4.11: Routen für VPC-Peering

Tabelle 5.1: Mitarbeiterdaten sind in einer Datenbanktabelle gespeichert.

Tabelle 5.2: Die Namen aller Abteilungen sind in einer eigenen Tabelle gespeichert.

Tabelle 5.3: Mitarbeiterdaten sind in einer relationalen Datenbank gespeichert.

Tabelle 8.1: Ein Resource Record einer Zonendatei enthält verschiedene Datenkategorien.

Tabelle 8.2: Einige geläufige Typen von DNS-Ressourcendatensätzen

Tabelle 8.3: Mögliche Quellen für Inhalte bei CloudFront

Tabelle 9.1: Anhand der prozentualen Verfügbarkeit ist ablesbar, wie lange eine Anwendung im Verlauf eines Jahres potenziell nicht verfügbar ist.

Tabelle 10.1: Beschreibungen der Parameter von EC2-Instanztypen

Tabelle 10.2: Typische Anwendungsfälle für Datenverarbeitungsressourcen

Tabelle 10.3: Data-Warehousing- und Datenverwaltungstools von Drittanbietern

Pages

iii

iv

v

vii

ix

xi

xxiii

xxiv

xxv

xxvi

xxvii

xxviii

xxix

xxx

xxxi

xxxii

xxxiii

xxxiv

xxxv

xxxvi

xxxvii

xxxviii

xxxix

xl

1

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

205

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310

311

312

313

314

315

316

317

318

319

321

322

323

324

325

326

327

328

329

330

331

332

333

334

335

336

337

338

339

340

341

342

343

344

345

346

347

348

349

350

351

352

353

355

356

357

358

359

360

361

362

363

364

365

366

367

368

369

370

371

372

373

374

375

376

377

378

379

380

381

382

383

384

385

386

387

388

389

390

391

393

394

395

Bibliografische Information

der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

1. Auflage 2020

© 2020 WILEY-VCH Verlag GmbH & Co. KGaA, Weinheim

Original English language edition AWS Certified Solutions Architect Study Guide 2019] by Wiley Publishing, Inc. All rights reserved including the right of reproduction in whole or in part in any form. This translation published by arrangement with John Wiley and Sons, Inc.

Copyright der englischsprachigen Originalausgabe AWS Certified Solutions Architect Study Guide © 2019 by Wiley Publishing, Inc.

Alle Rechte vorbehalten inklusive des Rechtes auf Reproduktion im Ganzen oder in Teilen und in jeglicher Form. Diese Übersetzung wird mit Genehmigung von John Wiley and Sons, Inc. publiziert.

Wiley, the Wiley logo, Für Dummies, the Dummies Man logo, and related trademarks and trade dress are trademarks or registered trademarks of John Wiley & Sons, Inc. and/or its affiliates, in the United States and other countries. Used by permission.

Wiley, die Bezeichnung »Für Dummies«, das Dummies-Mann-Logo und darauf bezogene Gestaltungen sind Marken oder eingetragene Marken von John Wiley & Sons, Inc., USA, Deutschland und in anderen Ländern.

Das vorliegende Werk wurde sorgfältig erarbeitet. Dennoch übernehmen Autoren und Verlag für die Richtigkeit von Angaben, Hinweisen und Ratschlägen sowie eventuelle Druckfehler keine Haftung.

Coverfoto: Getty Images Inc. / Jeremy Woodhouse

Korrektur: Isolde Kommer

Satz: Lumina Datamatics

Print ISBN: 978-3-527-76072-5

ePub ISBN: 978-3-527-82632-2

Für Ihn, der alles erschuf.

Danksagung

Wir möchten uns an dieser Stelle ganz herzlich bei allen bedanken, die uns bei der Arbeit am Lehrbuch AWS Certified Solutions Architect tatkräftig unterstützt haben.

Als Erstes wäre da natürlich das gesamte Team von Wiley. Kenyon Brown, unser primärer Ansprechpartner, hat den Stein ins Rollen gebracht und durch sein Engagement die zügige Veröffentlichung dieses Buches ermöglicht. Seine Erfahrung und gute Betreuung während des Projekts waren eine unverzichtbare Hilfe. Kathi Duggan hat uns gehörig motiviert und keine Frist verpassen lassen. Durch ihr redaktionellen Verbesserungen sind die technischen Erklärungen in diesem Buch viel verständlicher. Dank gebührt auch Produktionsleiterin Katie Wisor, Lektorin Christine O’Connor, Contentmanager Pete Gaughan und Korrektorin Nancy Carrasco.

John Mueller hat mit seinem technischen Sachverstand alle Inhalte geflissentlich geprüft und uns bei der Suche nach Fehlern oder ungenauen Angaben sehr geholfen. Mit seinen Anregungen konnten wir zudem die Testfragen im Buch kniffliger gestalten und besser auf die Prüfungsinhalte zuschneiden. Wir bedanken uns auch bei Sara Perrott und Shlomo Swidler für das Fachlektorat.

Die Zusammenarbeit war äußerst angenehm und es wäre uns eine Freude, weitere Projekte mit diesem Team in Angriff zu nehmen!

Über die Autoren

David Clinton ist Linux-Serveradministrator und auf IT-Infrastrukturen sowohl im akademischen als auch im geschäftlichen Sektor spezialisiert. Er hat bereits mehrere Sachbücher verfasst – unter anderem Learn Amazon Web Services in a Month of Lunches (Manning Publications, 2017) und Linux in Action (Manning Publications, 2018) – und über fünfzehn Videokurse zu Amazon Web Services und zur Linux-Systemadministration, Servervirtualisierung und IT-Sicherheit für Pluralsight erstellt.

In seinem »vorherigen Leben« unterrichtete er zwanzig Jahre lang an einer Highschool. Heute lebt er in Toronto (Kanada) mit seiner Ehefrau und Familie. Im Internet findet man ihn unter https://bootstrap-it.com.

Ben Piper stammt aus Augusta, Georgia (USA), und berät als IT-Profi zahlreiche Klienten im Großraum Georgia-Carolina. Er hat über zwanzig Schulungskurse zu Themen wie Amazon Web Services, Cisco-Routing und -Switching, Puppet-Konfigurationsverwaltung und Windows-Serveradministration entwickelt. Aus seiner Feder stammt außerdem das Sachbuch Learn Cisco Network Administration in a Month of Lunches (Manning Publications, 2017). Im Laufe der Jahre hat er unterschiedlichste Technologien geplant, implementiert und verwaltet, unter anderem VMware vSphere, Citrix XenApp, XenServer, NetScaler und Cisco-Netzwerkinfrastrukturen. Seine Website findet sich unter https://benpiper.com.

Inhalte auf einen Blick

Einführung

Einstufungstest

Teil I Zentrale AWS-Services

Kapitel 1 Einführung in Cloud-Computing und AWS

Kapitel 2 Amazon Elastic Compute Cloud und Amazon Elastic Block Store

Kapitel 3 Amazon Simple Storage Service und Amazon Glacier

Kapitel 4 Amazon Virtual Private Cloud

Kapitel 5 Datenbanken

Kapitel 6 Authentifizierung und Autorisierung – AWS Identity and Access Management

Kapitel 7 CloudTrail, CloudWatch und AWS Config

Kapitel 8 Domain Name System und Netzwerk-Routing: Amazon Route 53 und Amazon CloudFront

Teil II Well-Architected Framework

Kapitel 9 Die Säule »Zuverlässigkeit«

Kapitel 10 Die Säule »Leistung und Effizienz«

Kapitel 11 Die Säule »Sicherheit«

Kapitel 12 Die Säule »Kostenoptimierung«

Kapitel 13 Die Säule »Operational Excellence«

Anhang Antworten auf Die Testfragen

Stichwortverzeichnis

Übungstabelle

Übung 1.1 Verwenden der AWS-Befehlszeilen-Schnittstelle (CLI)

Übung 2.1 Starten einer EC2-Linux-Instanz und Verbinden via SSH

Übung 2.2 Überprüfen der freien Kapazität einer laufenden Instanz und Ändern des Instanztyps

Übung 2.3 Auswählen eines geeigneten Preismodells für konkrete Anforderungen einer Implementierung

Übung 2.4 Erzeugen und Starten eines AMI basierend auf einem vorhandenen Instanz-Speicher-Volume

Übung 2.5 Installieren der AWS-CLI zum Starten einer EC2-Instanz

Übung 2.6 Bereinigen ungenutzter EC2-Ressourcen

Übung 3.1 Erstellen eines neuen S3-Buckets und Hochladen einer Datei

Übung 3.2 Aktivieren von Versionierung und Lebenszyklusregeln für einen S3-Bucket

Übung 3.3 Erzeugen und Verwenden einer vorsignierten URL

Übung 3.4 Konfigurieren eines S3-Buckets zum Hosting statischer Websites

Übung 3.5 Berechnen der Lebenszykluskosten Ihrer Daten

Übung 4.1 Erstellen einer neuen VPC

Übung 4.2 Erstellen eines neuen Subnetzes

Übung 4.3 Erstellen und Zuordnen einer primären ENI

Übung 4.4 Erstellen eines Internet-Gateways und einer Standardroute

Übung 4.5 Erstellen einer benutzerdefinierten Sicherheitsgruppe

Übung 4.6 Erstellen einer neuen NACL mit einer Regel für eingehenden Datenverkehr, die Fernzugriffe von beliebigen IP-Adressen zulässt

Übung 4.7 Zuweisen und Verwenden einer Elastic-IP-Adresse

Übung 5.1 Erstellen einer RDS-Datenbankinstanz

Übung 5.2 Erstellen von Read Replicas

Übung 5.3 Hochstufen einer Replica-Instanz auf den Master-Status

Übung 5.4 Erstellen einer Tabelle in DynamoDB

Übung 6.1 Absichern des Root-Kontos

Übung 6.2 Zuweisen und Implementieren einer IAM-Richtlinie

Übung 6.3 Erstellen, Verwenden und Löschen eines AWS-Zugriffsschlüssels

Übung 6.4 Erstellen und Konfigurieren einer IAM-Gruppe

Übung 7.1 Erstellen eines Pfads

Übung 7.2 Erstellen eines Graphen mit Metrikberechnungen

Übung 7.3 Übermitteln von CloudTrail-Protokollen an CloudWatch Logs

Übung 8.1 Erstellen einer gehosteten Zone in Route 53 für einen EC2-Webserver

Übung 8.2 Einrichten einer Zustandsprüfung

Übung 8.3 Konfigurieren einer Routing-Richtlinie in Route 53

Übung 8.4 Erstellen einer CloudFront-Distribution für Ihre S3-basierte statische Website

Übung 9.1 Erstellen einer Startvorlage

Übung 10.1 Konfigurieren und Starten einer Anwendung mittels Auto Scaling

Übung 10.2 Synchronisieren von zwei S3-Buckets als regionsübergreifende Replicas

Übung 10.3 Hochladen von Inhalten in einen S3-Bucket mittels Transfer Acceleration

Übung 10.4 Erstellen und Implementieren eines Load Balancers mit EC2

Übung 10.5 Starten einer einfachen CloudFormation-Vorlage

Übung 10.6 Erstellen eines CloudWatch-Dashboards

Übung 11.1 Erstellen eines Administrators mit eingeschränkten Berechtigungen

Übung 11.2 Erstellen und Annehmen einer Rolle als IAM-Benutzer

Übung 11.3 Konfigurieren der Datenflussprotokollierung für eine VPC

Übung 11.4 Verschlüsseln eines EBS-Volumes

Übung 12.1 Anlegen eines AWS-Budgets und Einrichten eines Alarms

Übung 12.2 Erstellen Ihres eigenen Stacks im Simple Monthly Calculator

Übung 12.3 Anfordern einer Spot-Flotte über die AWS-CLI

Übung 13.1 Erstellen eines verschachtelten Stacks

Übung 13.2 Erstellen und Verwenden eines CodeCommit-Repositorys

Einführung

Bei der Vorbereitung auf eine Zertifizierung stellt sich oft die Frage, ob man lieber mehr Zeit in praktische Übungen oder in das reine Auswendiglernen von Zahlen und Fakten investieren sollte. Wir selbst haben schon über zwanzig IT-Zertifizierungen durchlaufen und wissen aus eigener Erfahrung, wie wichtig eine gute Zeiteinteilung beim Selbststudium ist. Darum haben wir das vorliegende Buch so aufgebaut, dass Sie Ihre Stärken und Schwächen bei der Arbeit mit der AWS-Plattform klar erkennen und beim Lernen die richtigen Schwerpunkte setzen können. Wir empfehlen, das Buch sorgfältig von der ersten bis zur letzten Seite durchzuarbeiten, auch wenn Sie vielleicht schon länger mit AWS vertraut sind.

Um die Zertifizierung als AWS Certified Solutions Architect – Associate erfolgreich zu bestehen, benötigen Sie solide Kenntnisse zu den Komponenten, Prozessen und gegenseitigen Abhängigkeiten der zentralen AWS-Services. Lesen Sie sich auch die offizielle Dokumentation für die diversen Services durch. Amazon bietet zahlreiche Handbücher, Referenzen und Tutorials im HTML-, PDF- und Kindle-Format. In Kombination mit diesem Lehrbuch finden Sie so heraus, welche Themen Sie noch nicht aus dem Effeff beherrschen und unbedingt weiter vertiefen müssen.

Praktische Übungen dürfen natürlich auch nicht zu kurz kommen. Jedes Kapitel in diesem Lehrbuch zur Vorbereitung auf die Associate-Prüfung enthält praxisrelevante Übungsaufgaben, die Sie nach Möglichkeit schon während des Lesens in Angriff nehmen sollten. Diese Übungsaufgaben können nicht jedes denkbare Szenario für jeden AWS-Service behandeln, sondern sollen Ihnen die grundlegende Funktionsweise veranschaulichen, damit Sie später selbstständig neue Aufgaben bewältigen und eigene Lösungen entwickeln können. Experimentieren Sie also ruhig etwas herum. Testen Sie verschiedene Variablen und Parameter, die Ihrem IT-Alltag vielleicht besser entsprechen. Denken Sie aber daran, dass bei manchen Übungen und Abbildungen die webbasierte AWS-Konsole zum Einsatz kommt, die von Amazon ständig weiterentwickelt wird. Die Screenshots und Schritt-für-Schritt-Anleitungen könnten sich also ändern. Nehmen Sie dies als Anlass, um sich intensiver mit der AWS-Dokumentation im Web zu befassen und die Funktionen der Konsole genauer zu erkunden. Es sei auch darauf hingewiesen, dass Sie zwar viele der Übungen mit dem kostenlosen Kontingent Ihres AWS-Kontos absolvieren können, aber um ausreichend Praxiserfahrung zum Bestehen der Prüfung zu sammeln, werden Sie wohl ein paar Euro investieren müssen. Diese kleine Investition lohnt sich und wird sich im weiteren Verlauf Ihrer Karriere immer wieder auszahlen.

Am Ende jedes Kapitels finden Sie Testfragen, mit denen Sie Ihr Verständnis der behandelten Services und Konzepte überprüfen können. Außerdem sollen diese Testfragen sicherstellen, dass Sie die Zusammenhänge zwischen neu gelernten Konzepten und den Inhalten vorheriger Kapitel verstehen. Der Schwierigkeitsgrad der Fragen variiert zwar, aber kinderleicht machen wir es Ihnen ganz bestimmt nicht. Die Fragen wurden so konzipiert, dass Sie einen realistischen Eindruck von Ihrem Kenntnisstand bekommen. Lassen Sie sich nicht dazu hinreißen, die Fragen nur zu überfliegen und gleich die Lösungen nachzuschauen. Bearbeiten Sie in Ruhe den Test nach jedem Kapitel. Im Antwortschlüssel finden Sie dann die korrekten Antworten und kurze Begründungen. Es wird auch erklärt, warum die anderen Antwortoptionen falsch sind.

Vervollständigt wird das Buch durch einen Selbsteinstufungstest mit 39 Fragen, diverse Lernkarten mit wichtigen Fakten, die Sie sich einprägen sollten, sowie zwei Probeexamen, damit Sie besser einschätzen können, ob Sie auf die tatsächliche Prüfung gut genug vorbereitet sind.

AWS Certified Solutions Architect ist in zwei Teile untergliedert: »Zentrale AWS-Services« und »Well-Architected Framework«.

Teil I: »Zentrale AWS-Services«

Der erste Teil des Buches widmet sich ganz den verschiedenen AWS-Services, die den Kern der Plattform ausmachen und Ihnen bestimmt schon grob bekannt sind: Elastic Compute Cloud (EC2), Virtual Private Cloud (VPC), Identity and Access Management (IAM), Route 53 und Simple Storage Service (S3), um nur einige zu nennen.

Manche AWS-Services scheinen sehr ähnlichen oder fast identischen Zwecken zu dienen. Dennoch gibt es kleine, aber feine Unterschiede. Im ersten Teil des Buches lernen Sie, wann welcher Service zu bevorzugen ist.

Teil II: »Well-Architected Framework«

Der zweite Teil des Buches erläutert empfohlene Vorgehensweisen und Grundprinzipien, die Ihnen beim Entwickeln, Implementieren und Verwalten von Systemen in der Cloud helfen sollen. Dabei stehen fünf Säulen eines guten Designs im Mittelpunkt:

Zuverlässigkeit

Leistung und Effizienz

Sicherheit

Kostenoptimierung

betriebliche Exzellenz

Jedes Kapitel in Teil II betrachtet die zentralen AWS-Services aus einem dieser fünf Blickwinkel. Und da nicht jeder AWS-Service so kompliziert ist, dass er ein eigenes Kapitel verdient, werden in Teil II gleichzeitig weitere Services vorgestellt, die zwar weniger bekannt sind, aber trotzdem in den Prüfungsfragen auftauchen können.

Als Solutions Architect ist es Ihre Aufgabe, eine ausgewogene Balance zwischen den fünf Säulen herzustellen. Bevor Sie sich Teil II widmen, lesen Sie sich nach Möglichkeit auch das Whitepaper zum Well-Architected Framework durch, das Sie unter https://d0.awsstatic.com/whitepapers/architecture/AWS_Well-Architected_Framework.pdf herunterladen können. (Zum aktuellen Zeitpunkt ist es leider nur auf Englisch verfügbar. Möglicherweise ergänzt Amazon in Zukunft auch übersetzte Versionen. Diese wären dann sicherlich auf der Übersichtsseite zum Framework zu finden: https://aws.amazon.com/de/architecture/well-architected/.)

   Bei der Arbeit mit den verschiedenen Services und Tools von AWS werden Sie schnell feststellen, dass es noch keine komplette und einheitliche Übersetzung auf Deutsch gibt. Zahlreiche Seiten der umfangreichen AWS-Dokumentation wurden maschinell vorübersetzt und bisher nur teilweise geprüft, sodass die deutschen Texte gelegentlich sogar verschiedene Übersetzungen für denselben Originalbegriff enthalten.

Auch in der AWS-Managementkonsole, mit der Sie viele Aufgaben aus diesem Buch erledigen werden, sind derzeit nur einzelne Abschnitte auf Deutsch verfügbar. In diesem Buch finden Sie daher oft entweder nur die englischen Bezeichnungen (falls AWS noch keine Übersetzung bereitgestellt hat) oder zumindest die englischen Originalbezeichnungen von Menüeinträgen und Fachbegriffen in Klammern hinter dem deutschen Begriff. Da die Dokumentation und auch die AWS-Managementkonsole im oberen bzw. unteren Seitenbereich eine Sprachauswahl haben, können Sie im Zweifel jederzeit zwischen der deutschen und englischen Version wechseln, falls Sie einmal mit der AWS-Übersetzung nicht weiterkommen.

Eventuell hilft Ihnen auch das AWS-Glossar. Dies finden Sie unter https://docs.aws.amazon.com/de_de/general/latest/gr/glos-chap.html.

Inhaltliche Schwerpunkte dieses Buches

Dieses Lehrbuch behandelt folgende Themen, die Sie zur Vorbereitung auf die Zertifizierung zum Amazon Web Services (AWS) Certified Solutions Architect – Associate gut beherrschen sollten:

Kapitel 1: Einführung in Cloud-Computing und AWS: In diesem Kapitel wird die Plattform der AWS-Cloud zusammen mit ihren Services und Konzepten grundlegend vorgestellt.

Kapitel 2: Amazon Elastic Compute Cloud und Amazon Elastic Block Store: Dieses Kapitel befasst sich ganz mit EC2-Instanzen, also mit den virtuellen Maschinen, mit denen Sie Linux- und Windows-Workloads auf AWS ausführen können. Im Fokus steht auch der Speicherdienst Elastic Block Store, den EC2-Instanzen zur persistenten Datenspeicherung benötigen.

Kapitel 3: Amazon Simple Storage Service und Amazon Glacier Storage: Als Nächstes lernen Sie den Simple Storage Service (S3) und Glacier näher kennen. Diese Dienste bieten unbegrenzten Datenspeicher mit verschiedenen Abrufoptionen für AWS, Ihre Anwendungen und das Internet.

Kapitel 4: Amazon Virtual Private Cloud: Dieses Kapitel erläutert die Amazon Virtual Private Cloud (Amazon VPC), ein virtuelles Netzwerk mit Netzwerkressourcen für AWS.

Kapitel 5: Datenbanken: In diesem Kapitel befassen Sie sich mit verschiedenen von AWS verwalteten Datenbanken, einschließlich Relational Database Service (RDS), DynamoDB und Redshift.

Kapitel 6: AWS Identity and Access Management: AWS Identity and Access Management (IAM) ist der primäre Mechanismus zum Schutz der AWS-Ressourcen in Ihrem Konto und wird in diesem Kapitel behandelt.

Kapitel 7: CloudTrail, CloudWatch und AWS Config: In diesem Kapitel erfahren Sie, wie Sie Ihre AWS-Ressourcen protokollieren, überwachen und prüfen.

Kapitel 8: Domain Name System und Netzwerk-Routing: Amazon Route 53 und Amazon CloudFront: Dieses Kapitel konzentriert sich auf das Domain Name System (DNS) und Route 53. Dieser Dienst ermöglicht öffentliches und privates DNS-Hosting sowohl für interne AWS-Ressourcen als auch für das Internet. Behandelt wird außerdem CloudFront, das globale Content Delivery Network von Amazon.

Kapitel 9: Die Säule »Zuverlässigkeit«: Nach der Vorstellung der diversen Services lernen Sie nun, wie Sie verschiedene AWS-Services zusammenfügen und integrieren, um eine möglichst hohe Zuverlässigkeit für Ihre Anwendungen zu erzielen. Das Kapitel bietet außerdem wertvolle Ratschläge, wie Sie unvermeidbare Systemausfälle einplanen und kompensieren, damit Ihre Systeme unterbrechungsfrei arbeiten.

Kapitel 10: Die Säule »Leistung und Effizienz«: In diesem Kapitel wird erklärt, wie Sie hochleistungsfähige Systeme aufbauen und mithilfe der elastischen Infrastruktur von AWS im Handumdrehen skalieren, um auch Spitzenlasten zu bewältigen.

Kapitel 11: Die Säule »Sicherheit«: Verschlüsselungstechniken und Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit, Unversehrtheit und Verfügbarkeit Ihrer Daten und Systeme auf AWS sind Thema dieses Kapitels. Auch diverse Sicherheitsdienste wie GuardDuty, Inspector, Shield und Web Application Firewall werden vorgestellt.

Kapitel 12: Die Säule »Kostenoptimierung«: Dieses Kapitel erläutert, wie Sie Ihre Kosten in der Cloud schätzen und kontrollieren.

Kapitel 13: Die Säule »Operational Excellence«: Das letzte Kapitel schließlich verrät, wie Sie für den reibungslosen Betrieb Ihrer Systeme auf AWS sorgen. Sie verfolgen eine DevOps-Herangehensweise und arbeiten mit CloudFormation, Systems Manager und den AWS Developer Tools.

Interaktive Lernumgebung und Begleitmaterialien im Web

Für AWS Certified Solutions Architect gibt es diverse Begleitmaterialien im Web, die Sie auf Ihrem Weg zur Zertifizierung unterstützen. Eine interaktive Lernumgebung bietet Ihnen verschiedene Lernhilfen, mit denen Sie sich optimal auf die Prüfung vorbereiten und Ihre Chancen auf eine erfolgreiche Zertifizierung im ersten Anlauf steigern können. Die dort zur Verfügung gestellten Materialien sind alle in englischer Sprache. In dieser Lernumgebung finden Sie:

Testfragen und Probeexamen: Alle Fragen aus diesem Buch, einschließlich des Einstufungstests am Ende dieser Einführung und aller Testfragen am Ende jedes Kapitels, sind auch online verfügbar. Zusätzlich gibt es zwei Probeexamen mit jeweils fünfzig Fragen, damit Sie Ihr neues Wissen auf den Prüfstand stellen können. Die Lernumgebung im Web kann auf verschiedenen Betriebssystemen und Geräten genutzt werden.

Lernkarten: Das Begleitmaterial beinhaltet auch einhundert Lernkarten, die Sie gehörig ins Schwitzen bringen sollen. Verlieren Sie nicht den Mut, wenn Sie beim ersten Versuch kein astreines Ergebnis erzielen. Schließlich soll es ja später bei der echten Prüfung kein böses Erwachen geben. Und keine Sorge: Wenn Sie die Testfragen, Probeexamen und Lernkarten sorgfältig durchgearbeitet haben, sind Sie bestens für die Zertifizierung gewappnet. Die Fragen auf den Lernkarten folgen dem digitalen Flashcard-Format (das heißt, sie enthalten jeweils eine Frage mit einer einzelnen korrekten Antwort). Nutzen Sie die Lernkarten zum Büffeln oder für einen Last-Minute-Check vor Ihrer Prüfung.

Weitere Ressourcen: Damit Sie den Programmcode für die AWS-Befehlszeilen-Schnittstelle (CLI) und andere Beispiele aus dem Buch nicht mühsam abtippen müssen, finden Sie auch den Code aus diesem Buch im Web. Und zu guter Letzt gibt es noch ein Glossar mit wichtigen Begriffen aus diesem Buch in einer durchsuchbaren PDF-Datei.

   Um sich für diese interaktive Lernumgebung anzumelden und die Begleitmaterialien zu nutzen, besuchen Sie bitte folgende Website: www.wiley.com/go/sybextestprep. Die dort zur Verfügung stehenden Materialien sind alle in englischer Sprache, die Sicherheitsfragen orientieren sich an der deutschen Ausgabe.

Prüfungsziele

Die Zertifizierung zum AWS Certified Solutions Architect – Associate richtet sich an all jene, die sich bereits gut mit der Entwicklung verteilter Anwendungen und Systeme auf der AWS-Plattform auskennen. Im Allgemeinen setzt die Prüfung folgende Kenntnisse und Erfahrungen voraus:

mindestens ein Jahr Praxiserfahrung mit dem Entwurf von Systemen auf AWS

praktische Erfahrung mit der Nutzung von AWS-Services, die Datenverarbeitungs-, Netzwerk-, Speicher- und Datenbankressourcen bereitstellen

Fähigkeit zur Definition einer Lösung gemäß architekturbezogenen Designprinzipien basierend auf Kundenanforderungen

Fähigkeit zur kompetenten Beratung bei Implementierungen

Unterscheidung der Zweckdienlichkeit diverser AWS-Services bei gegebenen technischen Anforderungen

Vertrautheit mit den fünf Säulen des Well-Architected Frameworks

Verständnis der globalen AWS-Infrastruktur, einschließlich der zur Verbindung genutzten Netzwerktechnologien

Kenntnis der AWS-Sicherheitsdienste und ihrer Integration in klassische Sicherheitsinfrastrukturen vor Ort

Die Zertifizierungsprüfung testet Ihr Wissen in fünf Themenbereichen, in denen Sie verschiedene Kompetenzen nachweisen müssen.

Geforderte Kompetenzen

Die folgende Tabelle zeigt übersichtlich alle Themenbereiche, ihre Gewichtungen in der Prüfung sowie die jeweiligen Kapitel, in denen die geforderten Kompetenzen behandelt werden.

Themenbereich

Gewichtung in der Prüfung

Kapitel

Themenbereich 1: Entwurf ausfallsicherer Architekturen

34 %

1.1 Auswahl zuverlässiger/ausfallsicherer Speicher

2, 3, 5, 9, 10

1.2 Entwurf von Entkopplungsmechanismen mit AWS

5, 9, 10

1.3 Entwurf einer mehrstufigen Architekturlösung

3, 4, 5, 8, 9, 10

1.4 Entwurf von hochverfügbaren und/oder fehlertoleranten Architekturen

2, 3, 5, 7, 8, 9, 10

Themenbereich 2: Definition performanter Architekturen

24 %

2.1 Auswahl performanter Speicher und Datenbanken

2, 3, 5, 10

2.2 Verbesserung der Leistung durch Caching

8, 10

2.3 Entwurf von elastischen und skalierbaren Lösungen

2, 3, 5, 7, 8, 10

Themenbereich 3: Spezifikation sicherer Anwendungen und Architekturen

26 %

3.1 Sicherung von Anwendungsstufen

2, 3, 4, 6, 7, 11

3.2 Schutz von Daten

2, 3, 6, 7, 11

3.3 Definition der Netzwerkinfrastruktur für eine einzelne VPC-Anwendung

4, 11

Themenbereich 4: Entwurf kostenoptimierter Architekturen

10 %

4.1 Entwurf eines kostenoptimierten Speichers

2, 3, 12

4.2 Entwurf kostenoptimierter Datenverarbeitungssysteme

2, 12

Themenbereich 5: Definition betrieblich exzellenter Architekturen

6 %

5.1 Auswahl geeigneter Designoptionen zugunsten betrieblicher Exzellenz

7, 10, 13

Einstufungstest

Antworten auf die Fragen des Einstufungstests

B. Die Support-Stufe »Business« umfasst Zugriff auf eine Support-API, die »Developer«-Stufe jedoch nicht. (Mehr dazu in

Kapitel 1

.)

B. Kunden sind verantwortlich für die Verwaltung der Netzwerkkonfiguration von EC2-Instanzen. AWS ist für die physische Netzwerkinfrastruktur verantwortlich. (Mehr dazu in

Kapitel 1

.)

C. Simple Queue Service (SQS) ermöglicht ereignisgesteuertes Messaging in verteilten Systemen und somit die Entkopplung bei gleichzeitiger Koordination der einzelnen Schritte eines umfangreicheren Prozesses. (Mehr dazu in

Kapitel 1

.)

A. Bei dedizierten Hosts sehen Sie die Anzahl der physischen CPU-Sockets und -Kerne eines Hosts. (Mehr dazu in

Kapitel 2

.)

B. Eine elastische IP-Adresse ändert sich nicht. Eine öffentliche IP-Adresse, die an eine Instanz angefügt ist, ändert sich, wenn die Instanz angehalten wird, was bei einer Änderung des Instanztyps der Fall wäre. (Mehr dazu in

Kapitel 2

.)

A. Ein Quick Start AMI ist unabhängig vom Instanztyp. (Mehr dazu in

Kapitel 2

.)

D. Mit SSE-C stellen Sie Ihre eigenen Schlüssel bereit, die dann von Amazon zum Verschlüsseln und Entschlüsseln Ihrer Daten genutzt werden. Die Schlüssel werden von AWS nicht persistent gespeichert. (Mehr dazu in

Kapitel 3

.)

A. Die Beständigkeit gibt an, wie viele der auf S3 gespeicherten Objekte erwartungsgemäß pro Jahr verloren gehen könnten; nicht eingerechnet sind dabei Objekte, die Sie selbst löschen. Die Verfügbarkeit entspricht dem prozentualen Anteil der Zeit, in der S3 verfügbar ist und Sie Ihre Datenobjekte abrufen können. (Mehr dazu in

Kapitel 3

.)

B. S3 nutzt ein Lesen-nach-Schreiben-Konsistenzmodell für neue Objekte, sodass ein auf S3 hochgeladenes Objekt sofort verfügbar ist. (Mehr dazu in

Kapitel 3

.)

C. Sie können den primären CIDR-Bereich für eine VPC nicht ändern und müssen folglich eine neue erstellen, um die Verbindung mit Ihrem internen Netzwerk herzustellen. (Mehr dazu in

Kapitel 4

.)

B. Eine EC2-Instanz kann auf das Internet über ein privates Subnetz zugreifen, sofern ein NAT-Gateway oder eine NAT-Instanz genutzt wird. (Mehr dazu in

Kapitel 4

.)

A. Laut Definition ist ein öffentliches Subnetz ein Subnetz mit einer Standardroute, die auf ein Internet-Gateway als Ziel verweist. Andernfalls wäre es ein privates Subnetz. (Mehr dazu in

Kapitel 4

.)

C. DynamoDB ist eine Schlüssel-Werte-Datenbank, die Objekte mit einer Größe von bis zu 400 KB speichern kann. (Mehr dazu in

Kapitel 5

.)

A. Einen globalen sekundären Index können Sie jederzeit für eine vorhandene Tabelle erstellen. Einen lokalen sekundären Index können Sie hingegen nur beim Erzeugen der Tabelle erstellen. (Mehr dazu in

Kapitel 5

.)

A. Durch Aktivierung der zeitpunktbezogenen Wiederherstellung erreichen Sie eine RPO von etwa 5 Minuten. Die Recovery Time Objective (RTO) hängt von der Menge der wiederherzustellenden Daten ab. (Mehr dazu in

Kapitel 5

.)

B. Der Entzug unnötiger Zugriffsrechte von IAM-Benutzern ist von den genannten Optionen am wirkungsvollsten, um Ihr AWS-Konto zu schützen. (Mehr dazu in

Kapitel 6

.)

C. Mit KMS können EBS-Volumes (Elastic Block Store) verschlüsselt werden, die das Betriebssystem einer Instanz speichern. (Mehr dazu in

Kapitel 6

.)

D. Ein STS-Token hat ein Ablaufdatum, ein IAM-Zugriffsschlüssel hingegen nicht. Ein STS-Token kann mehr als einmal verwendet werden. Sowohl IAM-Zugriffsschlüssel als auch STS-Token sind eindeutig. Ein IAM-Prinzipal kann ein STS-Token nutzen. (Mehr dazu in

Kapitel 6

.)

B. Die Arbeitsspeicherauslastung von Instanzen wird durch EC2 nicht nachverfolgt. (Mehr dazu in

Kapitel 7

.)

C. Der Übergang in einen

ALARM

-Zustand zeigt lediglich an, dass die Metrik einen Schwellenwert überschritten hat; der genaue Schwellenwert ist daraus nicht ersichtlich. Neu erstellte Alarme haben zu Beginn den Zustand

INSUFFICIENT_DATA

. (Mehr dazu in

Kapitel 7

.)

A. Bei beiden werden die Protokolldateien in S3-Buckets gespeichert. (Mehr dazu in

Kapitel 7

.)

A. Eine EC2-Instanz in einem privaten Subnetz hat immer noch Zugriff auf die privaten DNS-Server von Amazon, die Datensätze in öffentlichen gehosteten Zonen auflösen können. (Mehr dazu in

Kapitel 8

.)

C. Beim Routing basierend auf geografischer Nähe werden Benutzer zum nächstgelegenen Balancer geleitet. Beim standortbasierten Routing müssen Sie Datensätze für spezifische Standorte oder einen Standarddatensatz erstellen. (Mehr dazu in

Kapitel 8

.)

A. Route 53 ist ein echter DNS-Service, der Zonen für beliebige Domainnamen hosten kann. Sie können auch Domainnamen mit Route 53 registrieren oder an Route 53 übertragen. (Mehr dazu in

Kapitel 8

.)

B. Lambda ist ein hochverfügbarer, zuverlässiger und »serverloser« Datenverarbeitungsdienst, der Funktionen nach Bedarf ausführt und sich elastisch und bedarfsgerecht skalieren lässt. EC2-Spot-Instanzen können kurzfristig heruntergefahren werden. (Mehr dazu in

Kapitel 9

.)

A. Bei einer einfachen Skalierungsrichtlinie wird die Gruppengröße geändert und dann eine Ruhephase eingehalten, bevor weitere Skalierungen initiiert werden. Richtlinien mit schrittweiser Skalierung haben keine Ruhephasen. Richtlinien zur Ziel-Nachverfolgung versuchen, für eine Metrik einen bestimmten Wert zu erhalten. PercentChangeInCapacity ist ein Anpassungstyp für eine einfache Skalierung, keine Skalierungsrichtlinie. (Mehr dazu in

Kapitel 9

.)

A. Auto Scaling versucht immer, die Mindestgröße der Gruppe oder, sofern angegeben, die gewünschte Kapazität zu erhalten. (Mehr dazu in

Kapitel 9

.)

D. ElastiCache unterstützt Memcached und Redis, aber nur Redis kann Daten persistent speichern. (Mehr dazu in

Kapitel 10

.)

B. Puppet ist eine Konfigurationsverwaltungslösung, die von AWS via OpsWorks unterstützt wird, aber kein AWS-Service an sich ist. (Mehr dazu in

Kapitel 10

.)

B. Bei der regionsübergreifenden Replikation von S3 werden Objekte zwischen verschiedenen Buckets übertragen. Transfer Acceleration nutzt einen Edge-Standort von CloudFront für beschleunigte Übertragungen zwischen S3 und dem Internet. (Mehr dazu in

Kapitel 10

.)

A. Sie können STS für alle Regionen außer USA Ost deaktivieren. (Mehr dazu in

Kapitel 11

.)

A. GuardDuty sucht nach potenziell schädlichen Aktivitäten. Inspector sucht nach Schwachstellen, die unbefugte Zugriffe ermöglichen könnten. Shield und Web Application Firewall schützen Anwendungen vor Angriffen. (Mehr dazu in

Kapitel 11

.)

A. Wenn ein unverschlüsseltes Objekt verschlüsselt wird, erzeugt dies eine neue, verschlüsselte Version des Objekts. Vorherige Versionen bleiben unverschlüsselt. (Mehr dazu in

Kapitel 11

.)

C. On-Demand-Instanzen laufen weiter und verursachen dadurch Kosten. Die Kosten für Reserved Instances sind gleich, egal ob die Instanzen laufen oder nicht. Spot-Instanzen werden beendet, sobald der Spot-Preis Ihren gebotenen Preis überschreitet. (Mehr dazu in

Kapitel 12

.)

A. Lifecycle Manager für EBS kann gemäß einem Zeitplan Snapshots beliebiger EBS-Volumes erstellen, unabhängig vom Anfügungsstatus. (Mehr dazu in

Kapitel 12

.)

C. Mit Elastic Container Service können Sie Container ausführen, die sich in wenigen Sekunden starten lassen. EC2-Instanzen benötigen mehr Zeit. Lambda ist ein »serverloser« Dienst, mit dem Sie folglich keine Webserver bereitstellen können. CloudFront bietet Caching, ist aber kein Webserver. (Mehr dazu in

Kapitel 12

.)

A. Bei fast allen Bezeichnungen in CloudFormation wird zwischen Groß- und Kleinschreibung unterschieden. (Mehr dazu in

Kapitel 13

.)

A, C. CodeDeploy sucht nach der Datei

appspec.yml

bei den bereitzustellenden Anwendungsdateien, die in S3 oder auf GitHub gespeichert sein können. (Mehr dazu in

Kapitel 13

.)

B. Mit CodeDeploy können Sie eine Anwendung für Lambda oder EC2-Instanzen bereitstellen. Ein Befehlsdokument von AWS Systems Manager funktioniert nur für EC2-Instanzen. (Mehr dazu in

Kapitel 13

.)

TEIL IZentrale AWS-Services

Kapitel 1Einführung in Cloud-Computing und AWS

Wichtige technologische Innovationen und Entwicklungen spielen sich heute zumeist in der Cloud ab. Bei der Auswahl einer Plattform für geschäftliche und institutionelle Workloads entscheiden sich dabei viele Unternehmen und Einrichtungen für Amazon Web Services (AWS). Ein erfolgreicher AWS Solutions Architect benötigt ein klares Verständnis der Cloud und der Funktionsweise von AWS.

Um Ihnen diese allgemeineren Zusammenhänge zu verdeutlichen, widmet sich dieses Kapitel zunächst sehr grundlegenden Fragestellungen:

Wie unterscheidet sich Cloud-Computing von anderen Anwendungen und Client-Server-Modellen?

Auf welche Weise stellt die AWS-Plattform sichere und flexible virtuelle vernetzte Umgebungen für Ihre Ressourcen bereit?

Wie gewährleistet AWS eine so hohe Servicezuverlässigkeit?

Wie können Sie Ihre AWS-Ressourcen in Anspruch nehmen und verwalten?

Wo finden Sie Handbücher und Hilfe für Ihre AWS-Bereitstellungen?

Cloud-Computing und Virtualisierung

Das technologische Fundament aller Cloud-Lösungen ist die Virtualisierung. Wie in Abbildung 1.1 dargestellt, können mittels Virtualisierung die Hardwareressourcen eines einzelnen physischen Servers in kleinere Einheiten aufgeteilt werden. Dieser physische Server könnte also mehrere virtuelle Maschinen hosten, die jeweils ihr komplett eigenes Betriebssystem ausführen, einschließlich eigenem Arbeitsspeicher, Massenspeicher und Netzwerkzugang.

Die Virtualisierung sorgt für deutlich mehr Flexibilität: Ein virtueller Server kann in wenigen Sekunden bereitgestellt, für eine exakt bestimmbare Zeitspanne ausgeführt und dann wieder heruntergefahren werden. Die freigegebenen Ressourcen stehen sofort wieder für andere Workloads zur Verfügung. Ein so dichtes Verfahren sorgt für eine optimale Ausnutzung Ihrer Hardware und erleichtert die Erzeugung von Test- und Sandbox-Umgebungen.

ABBILDUNG 1.1: Ein physischer Server dient als Host für mehrere virtuelle Maschinen.

Cloud-Computing-Architektur

Bekannte Cloud-Computing-Anbieter wie AWS verfügen über riesige Serverfarmen mit Hunderttausenden Servern, Datenlaufwerken und der nötigen Netzwerkverkabelung. In einer sorgfältig eingerichteten virtualisierten Umgebung kann ein virtueller Server sich aus den verfügbaren Ressourcen Arbeits- und Massenspeicher, Rechenzyklen und Netzwerkbandbreite so effizient wie möglich zusammensuchen.

Eine Cloud-Computing-Plattform bietet bedarfsgerechten Self-Service-Zugriff auf zusammengelegte Datenverarbeitungsressourcen, deren Nutzung gemessen und nach Verbrauch abgerechnet wird. Cloud-Computing-Systeme erlauben präzise Abrechnungsmodelle – nicht selten wird der stündliche Verbrauch bis auf den Bruchteil eines Cents genau beziffert.

Cloud-Computing-Optimierung

Die Cloud eignet sich so hervorragend für viele wichtige Workloads, weil sie nicht nur skalierbar und flexibel, sondern oft auch deutlich kostengünstiger ist als herkömmliche Alternativen. Um eine effektive Implementierung und Bereitstellung zu gewährleisten, sind drei Aspekte zu beachten, die nachfolgend erläutert werden.

Skalierbarkeit

Eine skalierbare Infrastruktur kann eine unerwartet hohe Inanspruchnahme Ihrer Anwendung effizient bewältigen, indem sie automatisch weitere Ressourcen hinzufügt. Zumeist bedeutet dies, dass die Anzahl Ihrer laufenden virtuellen Maschinen (bei AWS auch Instanzen bzw. Instances genannt) dynamisch erhöht wird (siehe Abbildung 1.2).

AWS bietet einen Skalierungsdienst (AWS Auto Scaling), mit dem Sie ein Systemabbild definieren, das dann bei steigendem Ressourcenbedarf sofort und automatisch repliziert und zum Starten mehrerer Instanzen genutzt werden kann.

ABBILDUNG 1.2: Kopien eines Systemabbilds werden neuen virtuellen Maschinen bei ihrem Start zugewiesen.

Elastizität

Ähnlich wie die Skalierbarkeit ermöglicht es auch die Elastizität einer Infrastruktur, besser auf einen wechselhaften Ressourcenbedarf zu reagieren. Doch während die Systemabbilder in einer skalierbaren Umgebung bei steigender Nachfrage zur Erhöhung der Kapazität genutzt werden, sorgt eine elastische Infrastruktur für eine automatische Verringerung der Kapazität, sobald die Nachfrage wieder sinkt. So lassen sich die Kosten im Zaum halten, weil Ressourcen nur bei tatsächlichem Bedarf genutzt werden.

Kostenmanagement

Die bessere Kontrolle über das IT-Budget beim Cloud-Computing ergibt sich aus der präziseren Verwaltung Ihrer verwendeten Ressourcen, aber auch aus der Umstellung Ihres Kostenmodells, das nun nicht mehr die Investitionskosten (CapEx), sondern die Betriebskosten (OpEx) in den Mittelpunkt rückt.

In der Praxis heißt dies, dass Sie nicht länger mehrere tausend Euro für jeden neuen Server vorstrecken müssen, von den zugehörigen Kosten für Strom, Kühlung, Sicherheit und Rack-Einheiten ganz zu schweigen. Stattdessen werden Ihnen kleinere inkrementelle Beträge in Rechnung gestellt, solange Sie Ihre Anwendung betreiben.

Auf lange Sicht sind die Cloud-Betriebskosten zwar nicht unbedingt niedriger als die Kosten während der gesamten Nutzungsdauer einer vergleichbaren Implementierung im Rechenzentrum, aber das Risiko durch hohe Investitionen bei ungewissen Zukunftsaussichten fällt weg. Falls sich ändernde Bedürfnisse später einmal neue Hardware erforderlich machen, stellt AWS die neue Lösung in Minutenschnelle bereit.

Mit dem AWS-Gesamtbetriebskostenrechner können Sie sich einen besseren Eindruck von den zu erwartenden Kosten und Einsparungen verschaffen: https://aws.amazon.com/de/tco-calculator/. Das Tool ermöglicht einen sinnvollen Vergleich der Kosten Ihres derzeitigen Rechenzentrums mit denen der Cloud-Computing-Umgebung von AWS.

Die AWS-Cloud

In der AWS-Konsole tauchen regelmäßig neue, innovative Services auf. Der Versuch, mit diesem Angebot Schritt zu halten, führt nicht selten zu Frust. Als Solutions Architect sollte Ihre Aufmerksamkeit aber ohnehin lieber den zentralen Servicekategorien gelten. Dieser Abschnitt stellt daher die Kategorien kurz vor (Tabelle 1.1) und liefert dann einen ebenso kurzen Überblick der wichtigsten Services (Tabelle 1.2). Im weiteren Verlauf des Buches lernen Sie diese (und andere) Services natürlich noch genauer kennen. Für den Moment sollen Ihnen die folgenden kurzen Definitionen aber erst einmal den Einstieg erleichtern.

Kategorie

Funktion

Datenverarbeitung

Diese Services übernehmen in der Cloud quasi die Rolle lokaler physischer Server. Sie bieten erweiterte Konfigurationen, einschließlich automatischer Skalierung, Lastverteilung und sogar serverlose Architekturen (eine Methode zur Bereitstellung von Serverfunktionalität mit sehr geringen Infrastrukturanforderungen).

Netzwerk

Die Services dieser Kategorie sorgen für die Vernetzung Ihrer Anwendungen, die Zugriffssteuerung und erweiterte Remote-Verbindungen.

Speicherung

Diverse Arten von Speicherplattformen erfüllen ein breites Spektrum an Anforderungen – von der sofortigen Zugänglichkeit bis hin zur langfristigen Archivierung.

Datenbanken

Verwaltete Lösungen stehen für Anwendungsszenarien mit verschiedenen Datenformaten bereit: relationale Datenbanken, NoSQL oder Caching.

Anwendungsverwaltung

Überwachen, prüfen und konfigurieren Sie Services und laufende Ressourcen in Ihrem AWS-Konto.

Sicherheit und Identität

Mit diesen Services verwalten Sie die Authentifizierung und Autorisierung, die Verschlüsselung von Daten und Verbindungen sowie die Integration mit Systemen zur Authentifizierungsverwaltung von Drittanbietern.

Anwendungsintegration

In dieser Kategorie finden sich Tools für den Entwurf von entkoppelten, integrierten und API-freundlichen Prozessen zur Anwendungsentwicklung.

TABELLE 1.1: AWS-Servicekategorien

Tabelle 1.2 beschreibt die Funktionen einiger zentraler AWS-Services nach Kategorien sortiert.

Kategorie

Service

Funktion

Datenverarbeitung

Elastic Compute Cloud (EC2)

EC2-Serverinstanzen fungieren als virtuelle Versionen der Server, die Sie sonst in Ihrem Rechenzentrum vor Ort ausführen würden. EC2-Instanzen können mit einem geeigneten Profil (CPU, Arbeitsspeicher, Massenspeicher und Netzwerkschnittstelle) für beliebige Anwendungsanforderungen bereitgestellt werden, sei es als einfacher Webserver oder als Teil eines Clusters aus Instanzen, die zusammen eine integrierte mehrstufige Flottenarchitektur bilden. Da EC2-Instanzen nur virtuell existieren, sind sie deutlich ressourcenschonender und quasi sofort implementierbar.

Lambda

Serverlose Anwendungsarchitekturen wie die von Amazon Lambda ermöglichen es, reaktionsschnelle öffentliche Services bereitzustellen, ohne dafür rund um die Uhr einen Server laufen lassen zu müssen. Stattdessen lösen bestimmte Netzwerkereignisse (wie Anfragen von anderen Services) die Ausführung einer vordefinierten, codebasierten Funktion aus. Wenn diese Ausführung beendet ist (derzeit nach maximal 15 Minuten), ist auch das Lambda-Ereignis beendet und alle Ressourcen werden automatisch heruntergefahren.

Auto Scaling

Kopien laufender EC2-Instanzen können als Konfigurationsvorlagen dienen und automatisch gestartet (oder hochskaliert) werden, sobald vorhandene Instanzen den Ressourcenbedarf nicht mehr decken. Sinkt der Bedarf wieder, können ungenutzte Instanzen beendet (oder

herunterskaliert

) werden.

Elastic Load Balancing

Eingehender Datenverkehr kann zwischen mehreren Webservern verteilt werden, um zu vermeiden, dass Daten an ausgefallene Server geleitet werden oder einzelne Server überlastet sind, während andere Server ungenutzt bleiben.

Elastic Beanstalk

Beanstalk ist ein verwalteter Service zur abstrahierten Bereitstellung einer Datenverarbeitungs- und Netzwerkinfrastruktur von AWS. Sie müssen einfach nur Ihren Anwendungscode hochladen und Beanstalk startet und verwaltet automatisch alle nötigen Services im Hintergrund.

Netzwerk

Virtual Private Cloud (VPC)

Eine VPC ist eine umfangreich konfigurierbare Netzwerkumgebung, die als Host für Ihre EC2-Instanzen (und RDS-Instanzen) dient. Mit VPC-basierten Tools behalten Sie ein- und ausgehende Netzwerkzugriffe von und zu den Instanzen stets im Blick.

Direct Connect

Wenn Sie schnelle und sichere Netzwerkverbindungen zu AWS über einen Drittanbieter erwerben, können Sie mit Direct Connect eine dedizierte Verbindung zwischen Ihrem lokalen Rechenzentrum oder Geschäftsstandort und Ihrer AWS-basierten VPC herstellen.

Route 53

Route 53 ist der DNS-Service von AWS, mit dem Sie die Registrierung von Domains, die Resource-Record-Administration, Routing-Protokolle und Zustandsprüfungen verwalten; die vollständige Integration mit Ihren anderen AWS-Ressourcen ist gewährleistet.

CloudFront

Amazon CloudFront ist ein verteiltes globales Netzwerk für die Bereitstellung von Inhalten (Content Delivery Network, CDN). Bei ordnungsgemäßer Konfiguration der CloudFront-Distribution werden die Inhalte Ihrer Website an Edge-Standorten rund um die Welt zwischengespeichert, damit Kunden diese Inhalte effizienter und mit möglichst niedriger Latenz abrufen können.

Speicherung

Simple Storage Service (S3)

S3 bietet äußerst vielseitigen, zuverlässigen und kostengünstigen Objektspeicher, der sich hervorragend für die Datenspeicherung und Backups eignet. Der Service wird üblicherweise auch als Teil größerer AWS-Produktionsprozesse genutzt, beispielsweise zum Speichern von Skripten, Vorlagen und Protokolldateien.

Glacier

Glacier ist eine gute Wahl, wenn Sie riesige Datenarchive langfristig zu niedrigen Kosten speichern möchten und mit Verzögerungen beim Datenabruf von einigen Stunden leben können. Das Lebenszyklusmanagement von Glacier ist eng mit S3 verzahnt.

Elastic Block Store (EBS)

EBS bietet virtuelle Datenlaufwerke zum Hosting des Betriebssystems und der Arbeitsdaten einer EC2-Instanz. Die Laufwerke sind den mit physischen Servern verbundenen Speicherlaufwerken und Partitionen nachempfunden.

Storage Gateway

Storage Gateway ist ein hybrides Speichersystem, das den Cloud-Speicher von AWS über eine lokale Appliance verfügbar macht. Mit Storage Gateway werden Migrationen, Backups und Prozesse im Rahmen der Notfallwiederherstellung deutlich erleichtert.

Datenbanken

Relational Database Service (RDS)

RDS ist ein verwalteter Dienst, der für Sie eine stabile, sichere und zuverlässige Datenbankinstanz aufbaut. Sie können eine Vielzahl an SQL-Datenbank-Engines auf RDS ausführen, einschließlich MySQL, Microsoft SQL Server, Oracle und Amazon Aurora.

DynamoDB

DynamoDB kann für schnelle, flexible, hochskalierbare und verwaltete nicht relationale Datenbank-Workloads (NoSQL) eingesetzt werden.

Anwendungsverwaltung

CloudWatch

Keine Implementierung ist komplett ohne irgendeine Form der Überwachung. Und die Erstellung endloser Protokolldateien hat nur dann einen Sinn, wenn auch mal jemand einen Blick auf sie wirft. CloudWatch kann die Leistung von Prozessen und die Auslastung von Ressourcen mithilfe von Ereignismeldungen überwachen. Wenn vorgegebene Schwellenwerte erreicht werden, wird entweder eine Nachricht an Sie gesendet oder eine automatisierte Reaktion ausgelöst.

CloudFormation

Dieser Service ermöglicht es, mithilfe von Vorlagendateien vollständige und komplexe AWS-Implementierungen zu definieren. Dank der Option, Ihre Nutzung von AWS-Ressourcen durch Skripte zu steuern, fällt es auch leichter, den Startprozess der Anwendungen zu automatisieren, zu standardisieren und zu beschleunigen.

CloudTrail

CloudTrail erfasst Daten zu allen API-Ereignissen in Ihrem Konto. Dieses Protokoll ist nützlich für die Rechnungsprüfung und Fehlersuche.

Config