16个实操练习，帮助准备 AWS Certified CloudOps Engineer - Associate 认证考试

Source: Dev.to

TL;DR

AWS Certified CloudOps Engineer – Associate 考试是一个实践性测试。将理论与动手经验相结合将显著提高通过的机会。

目录

• 1. 关于考试
• 2. 考虑因素和先决条件
  • 2.1. AWS Organizations
  • 2.2. 域名
  • 2.3. 成本考虑
  • 2.4. 本地环境
  • 2.5. 大批量练习
• 3. 免责声明
• 4. 练习内容
• 5. 总结
• 6. 进一步阅读与学习
• 7. CloudFront 与 Route 53
• 8. Lambda 函数
• 9. Route 53 故障转移路由
• 10. 私有托管区域
• 11. 集中式健康仪表板通知
• 12. EC2 终止邮件通知
• 13. 基于标签的资源组
• 14. 部署与配置 EC2 实例
• 15. 服务目录产品组合共享
• 16. 附加总结
• 17. 附加的进一步阅读与学习

1. 关于考试

流行的 AWS Certified SysOps Administrator – Associate 认证已更名为 AWS Certified CloudOps Engineer – Associate (SOA‑C03)。新名称反映了 AWS 服务的演进以及岗位角色的转变。

• 考试主题列表中新增了新服务。
• AWS 重新组织了若干任务陈述。

考试现在重点考查您在单账户和多账户环境中的 部署、运营和维护 能力。与之前的版本一样，重点仍然是 设置、配置 和 自动化。

结论： 仅靠理论是不够的。记住每一个 EC2 或 S3 的设置并不能让你成为更好的云专业人士。参加考试前，请通过动手练习来实践。本文列出了 16 项练习以激发灵感。

2. 考虑因素和先决条件

在开始练习之前，请牢记以下要点。

2.1. AWS Organizations

• 创建多个账户以模拟真实场景。
• 创建 AWS 账户是免费的，考试中包含许多 AWS Organizations 相关的问题。
• 如果只有一个账户，请设置一个组织（参见下方链接），并至少创建一个 第二个账户。

链接：

2.2. 域名

注册一个廉价的域名用于基于 DNS 的练习。任何低价域名都可以。

2.3. 成本考虑

• 注意可能产生的费用。大多数实验使用 t3.micro EC2 实例即可。
• 删除您创建的任何 CloudWatch 日志组，或将其保留期限设置为较短的值（例如 3 天）。

2.4. 本地环境

如果您无法访问本地网络，则无法直接测试 Direct Connect 或 Site‑to‑Site VPN。可以使用 VPC 对等连接来模拟这些连接。相关的考试题目数量有限，专注于核心服务即可保持安全。

链接：

• Direct Connect –
• Site‑to‑Site VPN –

2.5. 批量练习

某些实验可以在之前的基础上构建。例如，在创建 EC2 Auto Scaling 组 后，您可以为后续练习附加一个 Application Load Balancer。

3. Disclaimer

这些练习覆盖了考试中测试的大部分概念，但它们本身不足。你仍然需要一个全面的学习计划和额外的练习才能通过。

Source: …

4. 练习

以下是动手实验。可以自行调整或组合使用。

1. 私有子网 EC2 + Session Manager

   • 在私有子网中启动一台 EC2 实例。
   • 通过 Session Manager 连接。
   • 问题：
     • 实例配置文件角色需要哪些 IAM 权限？
     • 如果 VPC 具有 Internet Gateway，还需要哪个额外的 VPC 资源？

2. VPC 对等连接

   • 创建两个 VPC（VPC A 和 VPC B）并建立对等连接。
   • 在每个 VPC 中各启动一台 EC2 实例。
   • 使用 Session Manager 连接 VPC A 中的实例，并 ping VPC B 中的实例。
   • 观察： 成功 ping 所需的路由表和安全组规则。

3. 隔离子网 + Session Manager

   • 创建一个 没有 NAT Gateway 的私有子网。
   • 在该子网中部署一台 EC2 实例。
   • 通过 Session Manager 连接。
   • 问题： 为使 Session Manager 正常工作，需要创建哪些 VPC Interface Endpoints？

4. VPC Flow Logs 发送至 CloudWatch

   • 为一个 VPC 启用 VPC Flow Logs，并将日志发送到 CloudWatch Logs 组。
   • 问题： Flow Logs 可以配置多少个聚合层级？
   • ping 实例并确认日志出现在 CloudWatch 中。

5. 经典防火墙问题

   • 在不同子网（子网 A 与子网 B）中部署两台 EC2 实例。
   • 配置安全组以允许从 A → B 的 ICMP ping。
   • 启用 VPC Flow Logs。
   • 删除附加到子网 B 的网络 ACL 中的默认出站规则（规则 100）。
   • 观察： 流日志中出现了哪些变化？

6. Auto Scaling 组基础

   • 创建一个期望容量为 2 台 EC2 实例的 Auto Scaling 组。
   • 问题：
     • 启动模板中有哪些可配置的设置？
     • 可以应用哪些伸缩策略？

7. 自定义域名的 ACM 证书

   • 使用 AWS Certificate Manager 为你的域名请求证书。
   • 问题： 验证域所有权需要哪些步骤（DNS 验证 vs. 邮件验证）？

8. Auto Scaling + 应用负载均衡器 (ALB)

   • 启动一个 Auto Scaling 组（≥ 2 台实例）。
   • 将一个应用负载均衡器 (ALB) 附加到该组。
   • 验证健康检查集成和流量分配是否正常。

9. S3 静态网站托管 + CloudFront

   • 创建一个 S3 存储桶，启用静态网站托管，并上传一个简单站点。
   • 设置指向该存储桶的 CloudFront 分配。
   • 使用 ACM 证书实现 HTTPS。
   • 问题： 为了让 CloudFront 访问，需要哪些存储桶策略？

10. Lambda 的最小权限 IAM 角色

    • 编写一个简单的 Lambda 函数，读取 S3 存储桶并写入 DynamoDB 表。
    • 创建一个仅包含所需最小权限的 IAM 角色。
    • 测试函数并验证 CloudWatch 日志。

11. RDS Multi‑AZ 部署

    • 部署一个启用了 Multi‑AZ 的 Amazon RDS（MySQL 或 PostgreSQL）实例。
    • 启用自动备份并设置保留期限。
    • 问题： 故障转移的工作原理是什么，预期的 DNS 端点行为如何？

12. EFS 的 AWS Backup

    • 创建一个 Amazon EFS 文件系统。
    • 配置 AWS Backup 计划以每日进行快照。
    • 模拟将快照恢复到一个新文件系统。

13. GuardDuty 与 Security Hub 集成

    • 在某个区域启用 GuardDuty。
    • 启用 Security Hub 并将其链接到 GuardDuty 发现。
    • 生成一个模拟发现（例如端口扫描），并确认其出现在 Security Hub 中。

14. AWS Config 合规规则

    • 开启 AWS Config。
    • 添加一条托管规则（例如 “S3 存储桶版本控制已启用”）。
    • 创建一个不合规的资源并观察规则评估结果。

15. Cost Explorer 预算警报

    • 在 Cost Explorer 中设置每月预算。
    • 配置当预算使用达到 80 % 时触发的警报。
    • 验证 SNS 通知是否收到。

16. 跨账户 IAM 角色

assumption**

• 在账户 A 中，创建一个可以被账户 B 中用户承担的 IAM 角色。
• 为该角色授予列出账户 A 中 S3 桶的权限。
• 在账户 B 中，承担该角色并列出这些桶。

5. Summary

• 实践操作对 AWS Certified CloudOps Engineer – Associate 考试至关重要。
• 专注于多账户设置、自动化以及上述重点核心服务。
• 将这些实验与完善的学习计划（白皮书、考试指南、模拟考试）相结合，以最大化成功机会。

6. 进一步阅读与学习

• AWS Certified CloudOps Engineer – Associate Exam Guide – 官方 AWS PDF。
• AWS Well‑Architected Framework – 尤其是运营卓越（Operational Excellence）支柱。
• AWS Documentation – 尤其是各实验中使用的服务的“入门”章节。
• AWS Skill Builder – 免费的数字培训模块。
• Third‑party practice exams – 如 Whizlabs、A Cloud Guru、Udemy 等。

7. CloudFront 与 Route 53

• 任务: 将负载均衡器设为源配置 CloudFront 分配并添加证书。
  • 问题: 您需要在哪个区域创建证书？
• 任务: 配置具有简单路由的 Route 53 记录。
  • 问题: 您应该使用哪种记录类型？可以使用别名吗？

8. Lambda 函数

1. 使用默认设置创建一个 Lambda 函数。

2. 将 // TODO implement 行替换为以下代码：

   console.log('Hello world!')

3. 部署并调用该函数。

4. 在 CloudWatch 中，在函数的日志组中创建一个 metric filter：

   • Filter pattern: world

5. 为此自定义指标配置一个 alarm，当函数日志中出现单词 world 时发送电子邮件通知给你。

9. Route 53 故障转移路由

• 使用两个 Application Load Balancers (ALBs)，在两个不同地区的 EC2 实例作为目标。
• 在 Route 53 中配置 failover routing，使流量在主 ALB 不健康时自动切换到备用 ALB。

10. Private Hosted Zone

1. 在 VPC 中启动两个 EC2 实例。
2. 创建一个 private hosted zone 并将其关联到该 VPC。
3. 添加一个自定义私有域名（例如 app.internal）。
4. 使用该私有域名从一台实例 ping 另一台实例，以验证 DNS 解析。

11. 集中式 Health‑Dashboard 通知

• 为 AWS 组织中的所有账户设置 集中式通知，用于 AWS Health Dashboard。
• 这可防止 Amazon 为每个活跃区域发送单独的电子邮件（例如，当 Lambda 运行时达到生命周期结束时）。

12. EC2 终止邮件通知

• 使用 EventBridge 捕获实例被终止时的 EC2 Instance State-change Notification 事件。
• 触发 SNS 主题，将邮件发送给指定的收件人。

13. Tag‑Based Resource Group

• 创建一个 resource group，收集带有标签 Project: demo 的资源。
• 包含 EC2 instance 资源类型（以及可选的其他类型）。

14. 配置并设置 EC2 实例

1. 创建 三个 EC2 实例 并为每个实例添加标签 Project: demo。
2. 在所有三个实例上 同时 安装 Apache 服务器，方法如下：
   • 使用 Systems Manager Run Command 中基于标签的资源组，或
   • 应用在实例启动时运行的 user‑data 脚本。

15. Service Catalog 组合共享

• 创建 一个简单的组合，在 AWS Service Catalog 的 Account A 中。
• 共享 该组合给 Account B。

Account B 中的用户可以执行的操作：

16. 附加摘要

这些练习让您对 AWS Certified CloudOps Engineer – Associate 认证考试中涉及的任务和知识领域有实际的感受。

17. 附加的进一步阅读和学习

• AWS Certified CloudOps Engineer – Associate – 官方考试信息。
• AWS Certified CloudOps Engineer – Associate (SOA‑C03) – Exam preparation plan – 学习指南和资源。
• Tutorial: Creating and configuring an organization – 开始使用 AWS Organizations。