月初考完 SAA-C01 後，繼續來奮戰第二張 SysOps SOA-C01，大部分的資訊和前篇「AWS Certified Solutions Architect – Associate(SAA-C01) 考試準備」差不多，直接進入考試準備的項目。

概述 & 考試範圍

SysOps SOA-C01 是以「系統管理者」的角度思考，比起 SAA 廣度會再延伸一些，深度也再多一點，考試的分佈範圍是算是 Associate 最廣也最散

整體比起來考試難度是 SOA > SDA >SAA，但有幾個差異可以分享：

• 廣度專注在「管理方法」，考試強度在於幾個管理服務：
  • CloudWatch Metrics, Dashboard
  • System Manager
  • VPC、Direct Connect
  • CloudTrail、AWS Config
  • Inspector
  • Personal/Service Health Dashboard
  • CloudFormation
  • Auto Scaling
  • Organization
• 思考邏輯開始有 CROSS-Region / Account 的概念，所以 Organization 變重要了。
• 選項開始變成是「必須要看過文件」才知道怎麼選，不然會陷入「好像都可以」的窘境。
• 題目會有 Debug 的題型出現，很多選項都可以，但會有最適當的答案。

• 考試時間：140 分鐘 (如需更多時間可延長 30 分鐘)
• 考試題數：65 題
• 考試題型：選擇題、複選題 (最多選 3 個)

考前必備基本知識

大概簡單整理 SysOps 會遇到的基本知識，這樣會比較容易速讀記憶。

• Monitor and Management Tools
  • CloudWatch
    • EC2 metrics 內建支援基本的 DiskRead/Write, NetworkIn/Out, CPUUtilization, CPU Credit, Status check，除此之外必須自定義 metrics (ex. Memory, Disk swap, Disk storage … etc.)
    • Classic Load Balancer 特有的 metrics
      • SurgeQueueLength：通常是 ELB 太忙無法建立連線，該連線會 Queue waiting，預設最大 1024 個，當超過時會被 reject。
      • SpilloverCount：當 SurgeQueueLength 已滿時，被 reject 的數量。
      • HTTPCode_ELB_4XX, HTTPCode_ELB_5XX：是由 ELB 產生的 error code
      • HTTPCode_Backend_2XX, HTTPCode_Backend_3XX, HTTPCode_Backend_4XX, HTTPCode_Backend_5XX：是由 Backend instances 產生的 HTTP status code。
  • CloudTrail
    • 記錄 AWS Account 內的 API 和 Event history
    • 範圍包括 Management Console, SDK, CLI, CloudFormation, CDK 等基於 API 實現的功能。
    • 當開啟 S3 儲存時預設開啟 SSE 加密。
    • 通常在 API 觸發後 15 分鐘內會記錄到 CloudTrail，大約每 5 分鐘傳送 Log 到 S3 存放。
  • AWS Config
    • Config vs CloudTrail：
      • Config 是於「變更」的動作，CloudTrail 則是「紀錄」誰在何時做了什麼動作。
      • Config 專注在 Resource Configuration 層級，CloudTrail 則是 API 所有紀錄的調閱。
  • AWS System Manager
    • 跨服務的特性管理 instance、CloudWatch (現在可以 CROSS-Account/Region)
    • Trusted Advisor 基於 Best Practices 所做的分析
    • 簡單的管理 Script / Command 大量執行。
  • VPC
    • Route Table 出現 blackhole 代表 Target 的 ENI, NAT Gateway, Internet Gateway 被砍掉或消失了。
    • DirectConnect 是利用 AWS 專線把 Data Center 和 Virtual interface 串接起來，Virtual interface 分為兩種：
      • Private Virtual interface (Private VIF)：路由表包含 VPC, Direct Connect 和 Data Center 網段，使用 BGP 學習新增的路由。
      • Public Virtual interface (Public VIF)：與 Private VIF 相同，但會將 AWS 骨幹網路加進 Route table。參考 JSON 格式的 AWS IP 地址，骨幹網路不含 Route 53、部分 CloudFront 位置。
  • Auto Scaling
    • Scheduled Action 用於已知大量/減少使用的時段
    • Scaling Policy 用於未知的使用情境，搭配 CloudWatch Alarm 觸發 Scale-Out/In。
    • EC2 instance 會需要 Warmup 時間，這個時間內不會在 CloudWatch metrics 看到。
  • Organizations
    • Multi-Account 必備，用於整合 Billing、合規、安全性使用。
    • Organizations 可以直接建立 AWS Account 並加入 Organizations。
    • Service Control Policies(SCP) 用於限制 Organization 內的使用限制，確保整個 Organization 內的權限受控。 (AWS Organizations Service Control Policies – Certification)
    • Service Control Policies(SCP) 是介於 IAM 之上，ROOT 之下的服務。(即 ROOT 權限不受管轄)
  • Billing
    • Billing Alert 透過 CloudWatch。
    • Multi-Account 可以從 Organization 統一出帳。
    • Cost Explorer 是已發生的出帳明細。
    • Budget 是用來預測當月可能發生的費用。
    • 預設 IAM 不能訪問 Billing，但是可以從 ROOT 身分開啟 IAM 訪問。

考試心得

整體而言難度在 Associate 考試算是較難等級，原因是很多服務像是 Direct Connect、Organization 在中小企業中都不容易使用到，這張 Associate 準備過程是以 SAA 為基礎後大約花 4 小時內左右。

延伸閱讀

• CloudWatch metics
  • Classic Load Balancer 的 HTTPCode metics 與 ALB 不同
    • CloudWatch metics for ALB
      • HTTPCode_ELB_3XX_Count
      • HTTPCode_ELB_4XX_Count
      • HTTPCode_ELB_5XX_Count
      • HTTPCode_ELB_500_Count
      • HTTPCode_ELB_502_Count
      • HTTPCode_ELB_503_Count
      • HTTPCode_ELB_504_Count
      • HTTPCode_Target_2XX_Count
      • HTTPCode_Target_3XX_Count
      • HTTPCode_Target_4XX_Count
      • HTTPCode_Target_5XX_Count
  • Network Load Balancer 是基於 Layer 4 實作，所以沒有 HTTPCode metics。

最後，應考拿認證啦！！

Reference

• AWS Certified Solutions Architect – Associate(SAA-C01) 考試準備
• AWS Certified Developer – Associate(SDA-C01) 考試準備
• AWS Certified DevOps Engineer – Professional(DOP-C01) 考試準備
• AWS Certified Solution Architect – Professional(SAP-C01) 考試準備
• AWS Certified SysOps Administrator – Associate (SOA-C01) Exam Learning Path