[DOP-C01] AWS DevOps Engineer Professional : Part 25

 

1. Linux에서 실행되는 Docker 데몬에 원격으로 액세스하려면 무엇을 해야 합니까?
   • Docker API에 인증서 인증 추가
   • 암호화 수준을 TLS로 변경
   • TCP 소켓 활성화
   • Docker API를 유닉스 소켓에 바인딩
   설명:

   Docker 데몬은 세 가지 유형의 소켓(unix, tcp 및 fd)을 통해 Docker 원격 API 요청을 수신 대기할 수 있습니다. 기본적으로 유닉스 도메인 소켓(또는 IPC 소켓)은 /var/run/docker.sock에 생성되며 루트 권한 또는 도커 그룹 구성원이 필요합니다. Docker 데몬에 원격으로 액세스해야 하는 경우 tcp 소켓을 활성화해야 합니다. 기본 설정은 Docker 데몬에 대한 암호화 및 인증되지 않은 직접 액세스를 제공하며 내장된 HTTPS 암호화 소켓을 사용하거나 그 앞에 보안 웹 프록시를 배치하여 보호해야 합니다.
   
   

2. 다음 Dockerfile 명령 중 런타임에 재정의할 수 없는 것은 무엇입니까?
   • VOLUME
   • USER
   • ADD
   • CMD
   설명:
   개발자가 Dockerfile에서 이미지를 빌드하거나 커밋할 때 개발자는 이미지가 컨테이너로 시작될 때 적용되는 여러 기본 매개변수를 설정할 수 있습니다. FROM, MAINTAINER, RUN 및 ADD의 Dockerfile 명령 중 4개는 런타임에 재정의할 수 없습니다. 다른 모든 것에는 docker run에 해당하는 재정의가 있습니다. 개발자가 각 Dockerfile 명령에서 설정했을 수 있는 내용과 운영자가 해당 설정을 재정의할 수 있는 방법을 살펴보겠습니다.
   
   
3. Docker Swarm에 배포할 때 docker-compose 파일의 어느 섹션에서 서비스 배포 및 실행과 관련된 구성을 정의합니까?
   
   • services
   • build
   • deploy
   • args
   설명:
   서비스 배포 및 실행과 관련된 구성을 지정합니다. 이것은 docker 스택 배포를 사용하여 swarm에 배포할 때만 적용되며 docker-compose up 및 docker-compose 실행에서는 무시됩니다.
   
   
4. Linux 호스트에서 Docker 데몬을 실행 중이며 응답하지 않습니다. kill 명령과 함께 Docker 프로세스로 전송될 때 디버깅 목적으로 전체 스택 추적을 강제로 기록하는 신호는 무엇입니까?
   
   • –TRACE
   • –IOTRACE
   • -SIGUSER1
   • –KILLTRACE
   설명:

   데몬이 응답하지 않는 경우 데몬에 SIGUSR1 신호를 전송하여 전체 스택 추적을 강제로 기록할 수 있습니다.
   Linux:
   $ sudo kill -SIGUSR1 $(pidof dockerd)
   Windows Server:
   Download docker-signal.
   Run the executable with the flag –pid=<PID of daemon>
   
   

5. 다음 중 Docker의 콘텐츠 주소 지정 가능 저장소 모델의 장점이 아닌 것은 무엇입니까?
   • random UUID는 파일 시스템 성능을 향상시킵니다.
   • 향상된 보안
   • 푸시, 풀, 로드 및 저장 작업 후 데이터 무결성 보장
   • 콘텐츠 ID 충돌 방지
   설명:
   Docker 1.10은 새로운 컨텐츠 주소 지정 가능 스토리지 모델을 도입했습니다. 이것은 디스크의 이미지 및 계층 데이터를 처리하는 완전히 새로운 방법입니다. 이전에는 임의로 생성된 UUID를 사용하여 이미지 및 레이어 데이터를 참조하고 저장했습니다. 새 모델에서는 보안 콘텐츠 해시로 대체됩니다. 새 모델은 보안을 개선하고 ID 충돌을 방지하는 기본 제공 방법을 제공하며 풀, 푸시, 로드 및 저장 작업 후 데이터 무결성을 보장합니다. 또한 동일한 빌드에서 가져오지 않은 경우에도 많은 이미지가 레이어를 자유롭게 공유할 수 있도록 하여 레이어를 더 잘 공유할 수 있습니다.
    
6. Docker 컨테이너의 메모리 사용량을 128MB로 제한하려면 어떤 플래그를 사용하시겠습니까?
   • -memory 128m
   • -m 128m 
   • –memory-reservation 128m
   • -m 128MB
   설명:

   Docker는 컨테이너가 지정된 양의 사용자 또는 시스템 메모리만 사용하도록 허용하는 하드 메모리 제한 또는 다음과 같은 특정 조건이 충족되지 않는 한 컨테이너가 필요한 만큼의 메모리를 사용하도록 허용하는 소프트 제한을 적용할 수 있습니다. 커널은 호스트 시스템에서 메모리 부족 또는 경합을 감지합니다. 이러한 옵션 중 일부는 단독으로 사용하거나 둘 이상의 옵션을 설정할 때 다른 효과를 냅니다. 이러한 옵션의 대부분은 바이트, 킬로바이트, 메가바이트 또는 기가바이트를 나타내기 위해 양의 정수 뒤에 b, k, m, g 접미사가 붙습니다.
   Option -m or –memory=
   설명 컨테이너가 사용할 수 있는 최대 메모리 양. 이 옵션을 설정하면 최소 허용 값은 4m(4MB)입니다.
   
   

7. 읽기 전용이 아닌 Docker 이미지의 유일한 계층은 무엇입니까?
   • 그들은 모두 읽기 전용입니다
   • 아무도 읽기 전용이 아닙니다
   • 첫 번째 레이어
   • 마지막 층
   설명:

   Docker 이미지는 일련의 레이어로 구성됩니다. 각 계층은 이미지의 Dockerfile에 있는 지침을 나타냅니다. 맨 마지막 레이어를 제외한 각 레이어는 읽기 전용입니다.

8. Docker 이미지를 빌드할 때 영구 데이터 볼륨의 로그를 검색하여 다음 빌드에 대한 매개변수를 제공합니다. 다음 명령을 실행합니다. 어떤 작업으로 인해 Docker RUNcommand가 실패합니까? 
   RUN cat ./data/log/*.error | grep service_status | grep ERROR
   
   • they are all read-only
   • none are read-only
   • the first layer
   • the last layer
   설명:

   일부 RUN 명령은 다음 예제와 같이 파이프 문자(|)를 사용하여 한 명령의 출력을 다른 명령으로 파이프하는 기능에 따라 달라집니다.
   RUN wget -O – https://some.site | wc -l > /number
   Docker는 파이프에서 마지막 작업의 종료 코드만 평가하여 성공 여부를 결정하는 /bin/sh -c 인터프리터를 사용하여 이러한 명령을 실행합니다. 위의 예에서 이 빌드 단계는 wget 명령이 실패하더라도 wc -lcommand가 성공하는 한 성공하고 새 이미지를 생성합니다.
   
   

9. Docker 네트워크 docker_gwbridge는 무엇을 합니까?
   • 동일한 호스트의 컨테이너 간 통신 허용
   • 동일한 호스트의 컨테이너 간 통신 허용
   • 동일한 호스트에 있는 swarm 노드 간의 통신을 허용합니다.
   • 서로 다른 호스트의 컨테이너 간 통신 허용
   설명:

   docker_gwbridge는 두 가지 다른 상황에서 Docker에 의해 자동으로 생성되는 로컬 브리지 네트워크입니다. Swarm을 초기화하거나 가입할 때 Docker는 docker_gwbridge 네트워크를 생성하고 이를 다른 호스트의 Swarm 노드 간 통신에 사용합니다. 컨테이너의 네트워크 중 어느 것도 외부 연결을 제공할 수 없는 경우 Docker는 컨테이너를 컨테이너의 다른 네트워크와 함께 docker_gwbridge 네트워크에 연결하여 컨테이너가 외부 네트워크 또는 다른 스웜 노드에 연결할 수 있도록 합니다.

10. CloudTrail에서 새 추적을 설정하는 선택적 구성 요소로 사용할 수 있는 서비스는 무엇입니까?
    • KMS, SNS 및 SES
    • CloudWatch, S3 및 SNS
    • KMS, Cloudwatch 및 SNS
    • KMS, S3 및 CloudWatch
    설명:
    키 관리 서비스: AWS KMS의 사용은 CloudTrail의 선택적 요소이지만 S3 Simple Notification Service에 저장할 때 로그 파일에 추가 암호화를 추가할 수 있습니다. Amazon SNS도 CloudTrail의 선택적 구성 요소이지만 알림을 생성할 수 있습니다. 예를 들어 새 로그 파일이 S3에 전달될 때 SNS는 이메일을 통해 다른 사람이나 팀에 알릴 수 있습니다. 또는 지표 임계값에 도달했을 때 CloudWatch와 함께 사용할 수 있습니다. CloudWatch Logs: 다시 말하지만 이것은 또 다른 선택적 구성 요소이지만 AWS CloudTrail을 사용하면 특정 모니터링 메트릭이 발생하도록 로그를 AWS Cloudwatch Logs 및 S3에 전달할 수 있습니다.
    
    
11. AWS CloudTrail 처리 라이브러리란 무엇입니까?
    • 직접 실행 가능한 이동 가능한 형식 기계 코드의 CloudTrail 로그 파일이 포함된 정적 라이브러리
    • 일반적으로 직접 실행할 수 없는 이동 가능한 형식 기계 코드의 CloudTrail 로그 파일이 포함된 객체 라이브러리
    • CloudTrail 로그 파일을 읽고 처리하는 애플리케이션을 쉽게 구축할 수 있게 해주는 Java 라이브러리
    • CloudTrail 로그 파일에 필요한 다양한 일반 컨테이너를 렌더링하는 PHP 라이브러리
    설명: CloudTrail Processing Library 사용
    AWS CloudTrail Processing Library는 CloudTrail 로그 파일을 읽고 처리하는 애플리케이션을 쉽게 구축할 수 있게 해주는 Java 라이브러리입니다. GitHub에서 CloudTrail Processing Library를 다운로드할 수 있습니다.
    
    
12. AWS CLI를 사용하여 추적 자체의 상태를 포함하여 CloudTrail 추적 설정을 검색하는 명령은 무엇입니까?
    
    • aws cloudtrail return-trails
    • aws cloudtrail validate-settings
    • aws cloudtrail get-settings
    • aws cloudtrail describe-trails
    설명:
    cloudtrail describe-trails 명령을 사용하여 추적 설정 및 상태를 검색할 수 있습니다. 아래 예와 유사한 출력이 생성됩니다.
    

    

    DOP-C01 AWS DevOps 엔지니어 전문가 파트 25 Q12 014

13. Amazon S3 버킷에서 Amazon CloudTrail을 실행 중이고 가장 최근 로그를 확인합니다. 항목에 ListThings 및 CreateThings 작업이 포함되어 있고 장치가 해킹되었는지 궁금합니다. 이러한 항목을 기반으로 어떤 서비스가 해킹되었을 수 있다고 우려하십니까?
    
    • Amazon Inspector
    • AWS IoT
    • AWS CodePipeline
    • Amazon Glacier
    설명:

    AWS IoT(Internet of Things)는 CloudTrail과 통합되어 AWS IoT 콘솔 또는 코드에서 AWS IoT API로의 API 호출을 캡처합니다. AWS IoT는 인터넷에 연결된 사물(예: 센서, 액추에이터, 임베디드 장치 또는 스마트 어플라이언스)과 AWS 클라우드 간에 안전한 양방향 통신을 제공합니다. CloudTrail에서 수집한 정보를 사용하여 AWS IoT에 대한 요청, 요청이 이루어진 소스 IP 주소, 요청한 사람, 요청한 시기 등을 확인할 수 있습니다.
    
    

14. Amazon CloudTrail로 로깅할 때 지역 엔드포인트가 있는 서비스에 대한 API 호출 정보는 ____입니다.
    • API 호출이 이루어진 동일한 리전에서 캡처 및 처리되어 Amazon S3 버킷과 연결된 리전으로 전달됩니다.
    • Amazon S3 버킷과 연결된 지역으로 캡처, 처리 및 전달
    • API 호출이 이루어지고 처리되어 Amazon S3 버킷과 연결된 지역으로 전달되는 것과 동일한 지역에서 캡처됩니다.
    • 엔드포인트가 있는 리전에서 캡처되고, CloudTrail 추적이 구성된 리전에서 처리되며, Amazon S3 버킷과 연결된 리전으로 전달됩니다.
    설명:
    Amazon CloudTrail로 로깅할 때 지역 엔드 포인트(EC2, RDS 등)가 있는 서비스에 대한 API 호출 정보는 API 호출이 이루어진 동일한 지역에서 캡처 및 처리되어 Amazon S3와 연결된 지역으로 전달됩니다. 버킷. 단일 엔드포인트(IAM, STS 등)가 있는 서비스에 대한 API 호출 정보는 엔드포인트가 있는 리전에서 캡처되고 CloudTrail 트레일이 구성된 리전에서 처리되며 Amazon S3 버킷과 연결된 리전으로 전달됩니다.
    
    
15. Amazon CloudTrail로 로깅할 때 단일 엔드포인트가 있는 서비스에 대한 API 호출 정보는 ____입니다.
    • API 호출이 이루어진 동일한 리전에서 캡처 및 처리되어 Amazon S3 버킷과 연결된 리전으로 전달됩니다.
    • Amazon S3 버킷과 연결된 지역으로 캡처, 처리 및 전달
    • API 호출이 이루어지고 처리되어 Amazon S3 버킷과 연결된 지역으로 전달되는 것과 동일한 지역에서 캡처됩니다.
    • 엔드포인트가 있는 리전에서 캡처되고, CloudTrail 추적이 구성된 리전에서 처리되며, Amazon S3 버킷과 연결된 리전으로 전달됩니다.
    설명:

    Amazon CloudTrail로 로깅할 때 지역 엔드포인트(EC2, RDS 등)가 있는 서비스에 대한 API 호출 정보는 API 호출이 이루어진 동일한 지역에서 캡처 및 처리되어 Amazon S3 버킷과 연결된 지역으로 전달됩니다. 단일 엔드포인트(IAM, STS 등)가 있는 서비스에 대한 API 호출 정보는 엔드포인트가 있는 리전에서 캡처되고 CloudTrail 트레일이 구성된 리전에서 처리되며 Amazon S3 버킷과 연결된 리전으로 전달됩니다.
    
    

16. 단일 리전 트레일을 생성하기 위한 AWS 명령의 올바른 구문은 무엇입니까?
    
    • aws create-trail –name trailname –s3-object objectname
    • aws cloudtrail –s3-regionname IPaddress create-trail –name trailname
    • aws cloudtrail create-trail –name trailname –s3-bucket-name bucketname
    • aws cloudtrail create-trail –name trailname –s3-portnumber IPaddress
    설명:

    aws cloudtrail create-trail –name trailname –s3-bucket-name bucketname 명령은 단일 리전 트레일을 생성합니다. 명령을 실행하기 전에 적절한 CloudTrail 권한이 적용된 S3 버킷을 생성해야 합니다(그리고 시스템에 AWS 명령줄 도구(CLI)가 있어야 합니다).
    
    

17. 버킷 작업을 기록하도록 CloudTrail Processing Library를 설정하려고 합니다. CloudTrail Processing Library 소스 코드에서 .jar 파일을 빌드하는 명령은 무엇입니까?
    
    • mvn javac mvn -install processor
    • jar install processor
    • build jar -Dgpg.processor
    • mvn clean install -Dgpg.skip=true
    설명:

    CloudTrail Processing Library는 AWS CloudTrail 로그를 내결함성, 확장성 및 유연한 방식으로 쉽게 처리할 수 있는 방법을 제공하는 Java 라이브러리입니다. CloudTrail Processing Library를 설정하려면 먼저 GitHub에서 CloudTrail Processing Library 소스를 다운로드해야 합니다. 그런 다음 이 명령을 사용하여 .jar 파일을 만들 수 있습니다.
    
    

18. 기본적으로 Amazon CloudTrail은 CloudTrail ____ API에서 정의한 ____ 작업을 기록합니다.
    
    • bucket-level; RESTful
    • object-level; RESTful
    • object-level; SDK
    • bucket-level; SDK
    설명:
    기본적으로 CloudTrail은 버킷 수준 작업을 기록합니다. Amazon S3 레코드는 다른 AWS 서비스 레코드와 함께 로그 파일에 기록됩니다. CloudTrail에서 로깅을 지원하는 Amazon S3 버킷 수준 작업은 RESTful API에서 정의됩니다.
    
    
19. 분산된 구성 요소 전체에서 작업을 조정하는 애플리케이션을 구축하고 싶은데 Amazon Simple Workflow Service(Amazon SWF)가 이 작업을 쉽게 수행합니다. CloudTrail에서 로깅을 활성화했지만 지원되는 Amazon SWF 작업이 확실하지 않습니다.
    
    다음 중 지원되지 않는 작업은 무엇인가요?
    
    • RegisterDomain
    • RegisterWorkflowActivity
    • RegisterActivityType
    • RegisterActivityType
    설명:

    Amazon SWF는 Amazon SWF에 의해 또는 Amazon SWF를 대신하여 수행된 API 호출을 캡처하고 지정한 Amazon S3 버킷에 로그 파일을 전달하는 서비스인 AWS CloudTrail과 통합됩니다. API 호출은 Amazon SWF 콘솔을 사용하여 간접적으로 수행하거나 Amazon SWF API를 사용하여 직접 수행할 수 있습니다. CloudTrail 로깅이 활성화되면 Amazon SWF 작업에 대한 호출이 로그 파일에서 추적됩니다. Amazon SWF 레코드는 다른 AWS 서비스 레코드와 함께 로그 파일에 기록됩니다. CloudTrail은 지정된 기간 및 파일 크기에 따라 새 파일을 생성하고 쓸 시기를 결정합니다.
    지원되는 작업은 다음과 같습니다.
    DeprecateActivityType
    DeprecateDomain
    DeprecateWorkflowType
    RegisterActivityType
    RegisterDomain
    RegisterWorkflowType
    
    

20. 아래 CloudTrail 로그 파일의 일부를 고려하십시오. 어떤 유형의 이벤트가 캡처되고 있습니까?
    
    "eventTime":"2016-07-16T17:35:32Z",
    "eventSource":"signin.amazonaws.com",
    "eventName":"ConsoleLogin",
    "awsRegion":"us-west-1",
    "sourceIPAddress ”:”192.1.2.10″,
    …
    
    • AWS console sign-in
    • AWS log off
    • AWS error
    • AWS deployment
    설명:

    CloudTrail 레코드는 AWS Management Console, AWS 토론 포럼 및 AWS 지원 센터에 로그인을 시도합니다. 그러나 CloudTrail은 루트 로그인 실패를 기록하지 않습니다.