SAA-291-300

カテゴリ: SAP-分野1-組織の複雑さに対応する設計

1
2
3

【SAP-291】モバイルゲームの開発・配信を手がけるある会社では、対戦型タイトルをグローバル同時運営している。
現在、ゲームサーバーは us-east-1 にのみ配置され、プレイヤーのクライアントアプリは UDP で接続する設計のため、企業ネットワークや学校のファイアウォールに登録しやすいよう一連の固定 IP で公開している。
海外ユーザーの急増に伴い、①世界各地へ迅速にサーバーを水平展開して遅延を抑えること（ビジネス狙い）、②リージョン障害時もサービスを停止させないこと（可用性要件）、③運用負荷を増やさず固定 IP を維持すること（技術制約）が経営会議で決定した。
インフラ運用チームは、トラフィックを自動的に最寄りリージョンへ転送し、UDP を終端でき、エッジネットワーク経由で高速化を図れる AWS ネイティブサービスを条件に選定を求められている。
ソリューションアーキテクトは、どのサービスと構成を採用すべきか？

AWS Global Accelerator にアクセラレーターを作成し、各リージョンのネットワークロードバランサー（NLB）をエンドポイントグループとして登録する。ゲームクライアントは Global Accelerator の固定 IP に UDP で接続し、最寄りかつヘルシーなリージョンのゲームサーバーへルーティングされる。
us-east-1 のゲームサーバーの前にアプリケーションロードバランサー（ALB）を配置し、地理制約なしの CloudFront ディストリビューションを作成して ALB をオリジンに設定し、CloudFront ドメイン名の解決結果 IP をクライアントアプリの接続先として用いる。
各 AWS リージョンにゲームサーバーと ALB をデプロイし、Route 53 のレイテンシーベースルーティングでクライアントの DNS クエリを最寄りリージョンの ALB に向ける。クライアントアプリは ALB の DNS 名を参照して接続する。
各リージョンにゲームサーバーと NLB を配置し、単一の CloudFront ディストリビューションを作成して NLB 群をオリジンとして登録し、CloudFront ドメイン名の解決結果 IP をゲームクライアントの UDP 接続先として利用する。

カテゴリ: SAP-分野4-ワークロードの移行とモダナイゼーション

1
2
3

【SAP-292】ある大手教育企業は、複数大学の教職員・学生が時間割作成や成績入力を行う社内 Web アプリを Amazon WorkSpaces 上で提供している。
ユーザープロファイルは DNS エイリアスを付与した Amazon FSx for Windows File Server に保存され、自己管理 Active Directory に参加している。
新学期の同時ログイン急増により WorkSpaces のサインイン時間が許容範囲を超過し、調査の結果、スループット 16 MBps の HDD ストレージで構築した FSx ファイルシステムの I/O が性能低下の主因と判明した。
経営層は授業開始前のメンテナンスウィンドウ内で応答速度を回復し、SLA を順守するよう求めている一方、運用チームにはデータ移行や新規サーバー管理に割ける工数がない。
既存の DNS 名や AD 参加設定を維持したまま、最小限の管理作業でスケーラブルに性能を改善する必要があるとソリューションアーキテクトは判断している。
ソリューションアーキテクトは何を行うべきか？

AWS Backup で既存 FSx for Windows File Server のポイントインタイムバックアップを取得し、同一構成の FSx ファイルシステムとして復元する。復元処理が完了した後に HDD ファイルシステム側でバックアップからの復元を実施し、スループット容量を 32 MBps に拡張した新しい SSD ベースの FSx ファイルシステムを別途作成してデータをコピーし、DNS エイリアスを切り替える。
ファイルシステムから利用者を一時的に切断し、FSx コンソール上で既存ファイルシステムのスループット容量を 32 MBps に変更しつつ、ストレージタイプも HDD から SSD に更新する。その後ユーザーを再接続する。
新しい EC2 インスタンスに AWS DataSync エージェントをデプロイし、ソースとして既存 FSx ファイルシステム、ターゲットとして SSD＋32 MBps 構成の新規 FSx ファイルシステムを指定してデータコピータスクを実行する。完了後に DNS エイリアスを切り替え、旧ファイルシステムを削除する。
Windows PowerShell で既存ファイルシステムのシャドーコピーを有効化し、定期的にポイントインタイムコピーを取得する。必要に応じて過去バージョンにロールバックしたうえで、別途 SSD＋32 MBps の FSx ファイルシステムを新規作成し、手動でデータをコピーして DNS エイリアスを切り替える。

カテゴリ: SAP-分野2-新しいソリューションの設計

1
2
3

【SAP-293】あるオンラインチケット販売サービスを展開する企業では、購入ピーク時の急激なリクエスト増加に備え、AWS 上に Web アプリケーション層を構築し、複数の Amazon EC2 インスタンスで処理を分散させている。
ユーザーはブラウザから https://www.example.com にアクセスし、座席選択から決済までを完了するため、通信にはクレジットカード情報など機微データが含まれる。
PCI-DSS 準拠を維持するため、クライアントと各 EC2 ウェブサーバー間の経路はすべて TLS で暗号化された状態を保つことが必須要件となっている。
少人数の運用チームでもピーク時の自動スケールに追従できるよう、負荷分散と証明書管理は極力マネージドサービスで完結させたいというビジネス上の背景もある。
さらに、ロードバランサーは増減するインスタンスを自動認識し、アプリケーション設定の変更を最小限に抑えることが求められている。
これらの技術的・運用的要件を踏まえ、ソリューションアーキテクトは、トラフィックを EC2 インスタンス群へ効率的に分散しつつエンドツーエンド暗号化を確保するために、どの AWS サービス構成を採用すべきか判断する必要がある。

Application Load Balancer (ALB) をインターネット向けのエントリポイントとして配置し、その背後に複数の EC2 インスタンスをターゲットグループとして登録する。フロントエンドの TLS 証明書は AWS Certificate Manager (ACM) で発行した証明書を ALB に関連付け、各 EC2 インスタンスにはサードパーティのサーバー証明書をインストールしてポート 443 で待ち受けるよう構成する。ALB のリスナーはポート 443 で受け付けた TLS 通信を、そのままインスタンス側のポート 443 へフォワードし、クライアントから EC2 までの経路を終端まで暗号化する。
Application Load Balancer (ALB) をインターネット向けのロードバランサーとして配置し、その背後に EC2 インスタンスをターゲットグループとして関連付ける。ALB には AWS Certificate Manager (ACM) で発行した TLS 証明書を割り当ててクライアント〜ALB 間の HTTPS を終端し、ALB から EC2 インスタンスへの通信は HTTP (ポート 80) を使用するターゲットグループとして構成する。EC2 インスタンス側はポート 80 でアプリケーションをリッスンするように設定し、VPC 内でのトラフィックは暗号化しない構成とする。
Application Load Balancer (ALB) をオリジンとする Amazon CloudFront ディストリビューションを作成し、ユーザーは CloudFront のドメイン名に対して HTTPS でアクセスする構成とする。CloudFront には ACM 管理の証明書を関連付け、クライアント〜CloudFront 間の TLS を終端する。一方で、CloudFront から ALB へのオリジントラフィックは HTTP (ポート 80) を利用し、ALB から背後の EC2 インスタンスへの通信も HTTP で処理するターゲットグループとして構成する。これによりインターネット側は暗号化される一方で、CloudFront〜ALB〜EC2 の区間は平文通信となる。
Network Load Balancer (NLB) をインターネット向けロードバランサーとして使用し、その背後に EC2 インスタンスをターゲットとして登録する。NLB のリスナーはポート 443/TCP を受け付けるように設定し、受信したトラフィックをそのまま各インスタンスのポート 443 に転送する。TLS の終端処理は EC2 インスタンス側で行う構成とし、各インスタンスにはサードパーティのサーバー証明書を OS レベルでインストールして Web サーバーに設定する。証明書の発行・更新・配布のライフサイクル管理は運用チームがインスタンス単位で行う運用設計とする。

カテゴリ: SAP-分野4-ワークロードの移行とモダナイゼーション

1
2
3

【SAP-294】オンライン小売業を営むある企業では、商品検索と購入フローをユーザーに24時間提供しているウェブアプリケーションを、従来の単一 Amazon EC2 からマイクロサービス化し、コンテナで再構築する計画を進めている。
短期キャンペーンや深夜帯の閲覧増など需要変動が大きいため、リリースの迅速化とインフラ運用負荷の低減が経営課題となり、開発部門から「サーバーレス指向でコストを使った分だけに抑えたい」との要望が上がっている。
同一の AWS アカウントおよび同一の VPC 内に本番環境とテスト環境の2つを構築しており、それぞれ異なるアプリケーションバージョンを保持する。
負荷の上下限は把握しているため、最小稼働数を確保しつつピーク時だけ自動で拡張できる仕組みが欠かせない。
さらに、環境ごとに分離されたデプロイとバージョン管理、そしてコンテナイメージ単位での段階的な更新が求められている。
制約条件として、運用チームはインスタンス管理やパッチ適用を極力行わず、ネットワークや IAM ポリシー設定に集中したいと考えている。
これらの前提のもと、ソリューションアーキテクトはインフラ設計レベルで、コンテナ実行基盤とデプロイ方式を選定し、可変負荷に応じた自動スケーリングを実装する必要がある。
ビジネス上の狙い（迅速な機能追加とコスト最適化）と技術的要件（環境ごとのバージョン分離、サーバーレス運用、明確な最小・最大キャパシティ）の双方を満たし、最もコスト効率の高い AWS 構成はどれか？

コンテナイメージを Amazon ECR に保存し、1つの Amazon ECS クラスター上に本番用とテスト用それぞれの Fargate サービスを作成する。各サービスを別々の Application Load Balancer ターゲットグループに関連付け、サービスオートスケーリングで最小タスク数と最大タスク数を定義して負荷に応じて自動でスケールさせる。Fargate によりサーバーのプロビジョニングやパッチ適用は不要とする。
コンテナイメージを AWS Lambda 関数として登録し、本番用とテスト用の 2 つの関数バージョンにエイリアスを割り当てる。予測されるトラフィックに合わせて関数の同時実行数上限を設定し、フロントエンドは Amazon API Gateway から各 Lambda 関数を直接呼び出す構成とする。
コンテナイメージを Amazon ECR に登録し、本番用とテスト用に 2 つの Amazon EKS クラスターを作成する。各クラスターにマネージドノードグループを構成し、Kubernetes のオートスケーリング機能で Pod とノード数を調整する。トラフィックは 2 つの Application Load Balancer でそれぞれのクラスターに分散させる。
コンテナイメージを Amazon ECR に保存し、本番用とテスト用それぞれに Amazon ECS（EC2 起動タイプ）のサービスを構成する。各サービスの背後に Auto Scaling グループで EC2 インスタンス群を用意し、CPU 使用率に応じてインスタンス数を増減させる。アプリケーションは 2 つの Application Load Balancer から ECS サービスに分散させる。

カテゴリ: SAP-分野2-新しいソリューションの設計

1
2
3

【SAP-295】あるオンライン小売企業は新製品紹介用のシングルページアプリを JavaScript で開発し、us-east-1 の S3 に保存、CloudFront で世界へ配信している。
顧客はこのサイトで商品の閲覧と購入を行っている。
マーケティング部門は購入率を高めるデザインを見極めるため告知なしの A/B テストを希望し、従来版と新デザイン版を別々の S3 バケットに置いて効果を比較したいと考えている。
ビジネス上の狙いは、EU 圏顧客に新デザインを先行投入し、米国顧客には現行デザインを維持して地域別の反応を測定することにある。
さらに SNS キャンペーンなどで指定したユーザーについては、所在地に関係なく新デザインへ誘導する必要がある。
運用チームは既存の S3＋CloudFront 構成を踏襲し、サーバーレスで自動スケールする仕組みを維持しつつ追加運用コストを最小化したい。
技術要件として、リクエスト時に国コードと Cookie などのテスト参加フラグを判定し、レイテンシを増やさずエッジ側で動的に適切なバケットへルーティングできる機能が求められる。
これらの条件を満たすため、ソリューションアーキテクトはどの AWS サービス構成を採用すべきか？

単一の CloudFront ディストリビューションのオリジンとして 2 つの S3 バケットを登録し、Lambda@Edge 関数で国コードヘッダーや Cookie を判定して、同じディストリビューション内でリクエストを適切なオリジンに振り分ける。
旧版と新版それぞれに CloudFront ディストリビューションを 2 つ作成し、Route 53 の地理的近接性ルーティングを使ってクライアントの位置に応じてどちらかのディストリビューションへトラフィックを送る。
単一の CloudFront ディストリビューションで、それぞれのサイトバージョンに対応するパス別ビヘイビアを作成し、デフォルトビヘイビアに Lambda@Edge を紐づけて `/` アクセス時に適切なパスへ 302 リダイレクトを返す。
CloudFront ディストリビューションを 1 つ作成して複数の代替ドメイン名を設定し、Host ヘッダー（利用ドメイン）に応じて異なる S3 オリジンへルーティングする 2 つのビヘイビアを構成する。

カテゴリ: SAP-分野2-新しいソリューションの設計

1
2
3

【SAP-296】北米で動画配信事業を営むある会社では、視聴者にオンデマンドで映画やドラマを提供する新しい Web アプリケーションを Amazon EC2 上に構築し、us-east-1 を主要リージョンとして本番運用を開始する計画です。
ピーク時にはトラフィックが数倍に跳ね上がるため、自動でインスタンス数を増減させつつ、AZ 障害が発生しても継続提供できる冗長性が求められています。
また、取引先との SLA で「大規模障害時は 1 時間以内に復旧する」ことが義務付けられたため、us-west-1 に待機系を置くアクティブ–パッシブのディザスタリカバリ構成を同時に用意する方針です。
運用チームは少数で 24 時間体制を取れないことから、日常の監視とスケーリングは AWS マネージドサービスに極力任せる必要があります。
ソリューションアーキテクトは、まず us-east-1 に VPC を作成し終えたところです。
動的スケーリングと高可用性の土台を整えたうえで、将来のリージョン間フェイルオーバーにも備えるために、次に実施すべき構成変更はどれでしょうか。

us-east-1 の VPC に複数 AZ にまたがる ALB と Auto Scaling グループを構成し、同一構成を us-west-1 にも用意する。両リージョンの ALB を対象に Route 53 のフェイルオーバールーティングとヘルスチェックを設定し、プライマリ障害時のみセカンダリに切り替わるようにする。
us-west-1 に VPC を作成して us-east-1 と VPC ピアリングし、両 VPC にまたがる 1 つの ALB と Auto Scaling グループを構成してトラフィックを分散させる。
us-west-1 に VPC を作成して us-east-1 と VPC ピアリングし、両 VPC にまたがる ALB を配置して各 VPC 内の Auto Scaling グループへトラフィックを送る。
各リージョンに ALB と Auto Scaling グループを用意し、それぞれに別々の Route 53 レコードを紐づけてラウンドロビンでトラフィックを分散させることで疑似的な高可用性を実現する。

カテゴリ: SAP-分野3-既存ソリューションの改善

1
2
3

【SAP-297】あるSaaS 企業は、クラウド上のプロジェクト管理サービスを世界中の法人ユーザーに提供しており、高い稼働率と迅速な機能更新を売りにしている。
基盤は Windows ベースのアプリケーションサーバーと Linux ベースのバックエンドサーバーが数千台規模で混在し、複数のアベイラビリティゾーンにまたがって自動スケールしている。
最近、SOC 2 監査および ISO 27001 更新審査に備え、各インスタンスのパッチ適用と変更履歴を一元的に追跡できる仕組みを 30 日以内に整備するようガバナンス部門から要請があった。
ビジネス上は「セキュリティパッチ公開から 24 時間以内の適用」と「7 年間の証跡保管」が新たに必須となり、運用チームの人員は増やさずに達成したいと考えている。
技術的には、①OS によるパッチ管理の差異を吸収し、②インスタンスへの inbound SSH／RDP を開放せずに自動適用を実行し、③適用状況と操作履歴を改ざん困難な形で保存することが条件となる。
これらを最小限の運用負荷で満たすため、ソリューションアーキテクトはどのサービス構成を採用すべきか？

全 Windows／Linux インスタンスを AWS Systems Manager に登録し、Patch Manager で OS 種別ごとのパッチベースラインとメンテナンスウィンドウを定義して自動適用する。適用結果と変更履歴は Systems Manager と AWS CloudTrail で集中管理する。
各 OS ベンダー提供のネイティブパッチツールをインストールし、パッチ適用スケジュールと承認フローをそれぞれ管理する。パッチ適用状況の可視化には AWS Config のマネージドルールだけを使用する。
AWS OpsWorks for Chef Automate を導入し、Chef レシピで全インスタンスにパッチコマンドを配布する。パッチ適用のログは Chef サーバーに保存し、必要に応じてレポートをエクスポートする。
すべてのアプリケーションを AWS OpsWorks に再デプロイし、OpsWorks の自動パッチ適用機能だけで OS を最新に保つ。設定変更や適用履歴の監査には AWS Config の履歴を用いる。

カテゴリ: SAP-分野4-ワークロードの移行とモダナイゼーション

1
2
3

【SAP-298】ある小売 EC プラットフォームを運営する企業では、在庫検索や注文状況を社内部門に提供するリアルタイム API をサーバーレスで構築し、Amazon API Gateway、AWS Lambda、Amazon DynamoDB を用いて社内 VPC へデプロイしている。
API は毎週の機能追加に伴い頻繁に更新されるため、手作業でのコンソール操作がリリース工程のボトルネックとなり、開発速度と品質の確保が課題となっている。
経営層は新規マーケットへの早期進出を見据え、迅速かつ一貫性のあるデリバリーパイプラインを要求しており、運用チームは少人数でもインフラの状態をコードとして管理し、変更履歴を監査できるようにしたいと考えている。
さらに、将来的なスケールアウトや複数リージョン展開の際に、同一テンプレートで環境を容易に複製できることが必須条件となる。
これらの背景を踏まえ、ソリューションアーキテクトはインフラレベルの自動化を実現し、レビュー済みの定義ファイルから再現可能にスタックを作成・更新できる仕組みを選定する必要がある。
ソリューションアーキテクトはどのアプローチを採用すべきか？

AWS SAM（AWS Serverless Application Model）で API Gateway／Lambda／DynamoDB を YAML テンプレートに定義し、テンプレートとコードをリポジトリで管理する。CI/CD パイプラインから `sam deploy` を呼び出して自動デプロイする。
CloudFormation テンプレート内で Lambda 製カスタムリソースを使って API Gateway を動的に作成し、DynamoDB テーブルと Lambda 関数は別途 CI/CD パイプラインからシェルスクリプトでデプロイする。
通常の CloudFormation テンプレートでサーバーレススタックを定義し、CodePipeline から CloudFormation を実行して API Gateway／Lambda／DynamoDB をまとめてデプロイする。Lambda の段階的リリース設定はテンプレート内で詳細に記述する。
CodeCommit にアプリコードを登録し、CodePipeline＋CodeDeploy（Lambda タイプ）で関数バージョンを更新する。API Gateway や DynamoDB を含むインフラ定義は CloudFormation テンプレートに書かず、従来どおりコンソール操作で管理する。

カテゴリ: SAP-分野4-ワークロードの移行とモダナイゼーション

1
2
3

【SAP-299】ある映像制作会社は、顧客がウェブポータルから素材動画をアップロードし、社内エンコーダで変換した後にダウンロードリンクを提供する SaaS 型サービスを展開している。
現行環境では Web サーバが受け取ったファイルを NAS に格納し、メッセージキュー経由で処理サーバへジョブを送付する。
各ファイルの処理時間は最大 1 時間で、昼間にキューが急増し夜間に急減する。
設備投資を抑えつつピークに追従したいという CFO の方針から、従量課金型クラウドへ移行し運用負荷も削減することが求められている。
運用チームは少人数のため、ストレージ冗長化・スケールイン／アウトはマネージドサービスに任せ、既存ワークフロー（アップロード→保存→キュー通知→長時間バッチ）はそのまま残すことが技術的な前提条件である。
ソリューションアーキテクトは、インフラ設計レベルでどの AWS サービス構成を採用し、最も費用対効果の高いクラウド移行を実現すべきか？

アップロード要求を Amazon SQS キューに送信し、キュー長に応じてスケールする EC2 Auto Scaling グループのワーカーインスタンスが動画ファイルを処理する。処理済みファイルは Amazon S3 に保存する。
SQS キューにメッセージが到着したタイミングで AWS Lambda 関数を起動し、キューからリクエストを取得して動画ファイルを変換する。変換結果は Amazon S3 に保存し、長時間処理が必要なファイルも Lambda 関数で処理する。
既存のメッセージング基盤を置き換えるために Amazon MQ ブローカーを構築し、Web サーバーからは新しいキューにジョブを送信する。キューにメッセージが届くたびに新しい EC2 インスタンスを 1 台起動してファイルを処理し、完了後にインスタンスを手動で停止する。処理済みファイルは Amazon EFS に保存する。
キューサービスとして Amazon MQ を採用し、Web サーバーからは MQ のキューにメッセージを送信する。キューにメッセージが届いたことをトリガーに AWS Lambda 関数を起動し、動画ファイルを処理して Amazon EFS に保存する。Lambda 関数の実行時間制限内で長時間の動画変換も行うことを想定する。

SAA-291-300

採点する

インフォメーション

結果

結果

カテゴリー

1. 質問

ヒントボタン

2. 質問

ヒントボタン

3. 質問

ヒントボタン

4. 質問

ヒントボタン

5. 質問

ヒントボタン

6. 質問

ヒントボタン

7. 質問

ヒントボタン

8. 質問

ヒントボタン

9. 質問

ヒントボタン

SAA-291-300

SAA-291-300

採点する

インフォメーション

結果

結果

カテゴリー

1. 質問

ヒントボタン

2. 質問

ヒントボタン

3. 質問

ヒントボタン

4. 質問

ヒントボタン

5. 質問

ヒントボタン

6. 質問

ヒントボタン

7. 質問

ヒントボタン

8. 質問

ヒントボタン

9. 質問

ヒントボタン

改善リクエスト