Diseño de Arquitecturas en AWS

Questions and Answers

¿En el contexto de arquitecturas de microservicios desplegadas en AWS, cuál de las siguientes estrategias representa el enfoque más resiliente y eficiente para la gestión de fallos en cascada, considerando la latencia variable de la red y la necesidad de una observabilidad granular?

• Implementar reintentos agresivos a nivel de cliente con un backoff exponencial sin telemetría detallada para evitar la sobrecarga del sistema.
• Utilizar disyuntores (circuit breakers) con umbrales dinámicos adaptados a la latencia observada, complementados con tracing distribuido y métricas de nivel de servicio (SLS) para una respuesta informada y adaptable. (correct)
• Limitar el número de peticiones concurrentes mediante colas SQS sin priorización, lo que proporciona un control de flujo básico pero carece de adaptabilidad a las prioridades del negocio.
• Confiar en la capacidad de auto-recuperación inherente de las instancias EC2 y en la redundancia geográfica proporcionada por las múltiples zonas de disponibilidad.

Un arquitecto está diseñando una solución de almacenamiento para una aplicación de genómica en AWS, que requiere almacenar grandes cantidades de datos de secuenciación. Dichos datos tienen un acceso inicial intensivo durante el procesamiento primario, seguido de accesos esporádicos para investigaciones posteriores. ¿Cuál es la estrategia óptima de almacenamiento en S3 que equilibra costo, rendimiento y disponibilidad para este escenario?

• Utilizar exclusivamente S3 Standard para todos los datos, garantizando así el rendimiento más alto posible en todo momento, asumiendo que el costo es secundario.
• Usar S3 One Zone-IA para todos los datos, dado el bajo costo y la tolerancia a la pérdida de disponibilidad en una sola zona, justificando que la replicación cruzada no es fundamental.
• Implementar una política de ciclo de vida de S3 que mueva los datos de S3 Standard a S3 Glacier Deep Archive inmediatamente después del procesamiento inicial para minimizar los costos a largo plazo.
• Implementar S3 Intelligent-Tiering con una configuración personalizada que ajuste automáticamente entre S3 Standard, S3 Standard-IA y S3 Glacier según patrones de acceso detectados, considerando la latencia aceptable para accesos esporádicos. (correct)

¿En un entorno de nube híbrida que utiliza AWS Storage Gateway, qué configuración optimizaría la latencia de acceso a archivos frecuentemente utilizados almacenados en un file share local, mientras se mantiene la durabilidad y la protección de datos a través de AWS?

• Usar File Gateway con una caché local dimensionada dinámicamente basada en el análisis predictivo de los patrones de acceso, replicando los datos a S3 Standard y utilizando políticas de ciclo de vida para archivar datos inactivos a S3 Glacier. (correct)
• Desplegar Tape Gateway para realizar copias de seguridad incrementales diarias de los archivos locales directamente a S3 Standard, minimizando la necesidad de caché local.
• Configurar File Gateway con una caché local dimensionada para el 10% del tamaño total del file share, replicando todos los datos de forma asíncrona a S3 Glacier Deep Archive.
• Implementar Volume Gateway en modo cached volumes, utilizando un volumen provisionado con IOPS optimizadas en el almacenamiento local, sincronizando los snapshots a S3 Infrequent Access.

En el contexto de la seguridad en la nube de AWS, ¿cuál de las siguientes estrategias representa la defensa más profunda y adaptativa contra amenazas persistentes avanzadas (APT) dirigidas a exfiltrar datos sensibles de una organización?

Implementar un modelo de confianza cero (Zero Trust) con microsegmentación estricta, autenticación continua y análisis de comportamiento basado en machine learning utilizando Amazon GuardDuty, AWS CloudTrail y AWS Config. (D)

En el contexto de la optimización de costos en AWS para una empresa de análisis de datos con cargas de trabajo variables, ¿cuál de las siguientes estrategias ofrece el mayor potencial de ahorro sin comprometer significativamente el rendimiento y la disponibilidad?

Implementar una estrategia híbrida utilizando Savings Plans para la carga de trabajo base predecible e Instancias de Spot (Spot Instances) para cargas de trabajo flexibles y tolerantes a interrupciones, complementado con Auto Scaling dinámico. (B)

¿Cuál de las siguientes estrategias de diseño de VPC proporciona la segmentación de red más segura y flexible para una aplicación multi-tier que cumple con los requisitos de cumplimiento normativo más estrictos?

Implementar múltiples VPCs interconectadas mediante peering, cada una dedicada a una tier específica de la aplicación, con Network ACLs y grupos de seguridad aplicando políticas de mínimo privilegio, complementado con AWS PrivateLink para acceso seguro a servicios gestionados. (B)

Al diseñar una arquitectura sin servidor (serverless) en AWS utilizando funciones Lambda, ¿cuál de las siguientes estrategias aborda de manera más efectiva el problema del 'cold start' y optimiza la latencia para aplicaciones sensibles al tiempo de respuesta?

Utilizar Provisioned Concurrency para inicializar un número específico de instancias de la función Lambda, minimizando la latencia del 'cold start' a costa de un aumento en los costos. (D)

En el contexto de la facturación de AWS, ¿cuál de las siguientes estrategias proporciona la visibilidad más granular y accionable para rastrear los costos asociados con una iniciativa específica de investigación y desarrollo (I+D) que involucra múltiples equipos y servicios de AWS?

Implementar AWS Cost Allocation Tags, aplicando etiquetas consistentes a todos los recursos relacionados con la iniciativa de I+D, y generar informes detallados utilizando AWS Cost Explorer y AWS Billing and Cost Management. (A)

¿Cuál de las siguientes estrategias de protección contra ataques DDoS (Distributed Denial of Service) ofrece la solución más completa y adaptable para una aplicación web crítica alojada en AWS, considerando tanto los ataques a la capa de red como a la capa de aplicación?

Combinar AWS Shield Advanced para protección mejorada a la capa de red con AWS WAF configurado con reglas personalizadas y gestión automatizada de amenazas, complementado con AWS Firewall Manager para gestión centralizada de políticas de seguridad en múltiples cuentas y aplicaciones. (C)

En un escenario donde se requiere implementar una solución de recuperación ante desastres (DR) para una base de datos MySQL gestionada por Amazon RDS, ¿cuál de las siguientes estrategias ofrece el RTO (Recovery Time Objective) más bajo y el RPO (Recovery Point Objective) más cercano a cero, minimizando así la pérdida de datos y el tiempo de inactividad en caso de un desastre regional?

Configurar Amazon RDS Cross-Region Read Replicas con promoción planificada o no planificada a una región secundaria en caso de desastre, utilizando Enhanced Monitoring y Performance Insights para una supervisión y gestión proactiva. (D)

Flashcards

¿Qué es la escalabilidad en AWS?

Capacidad de manejar incrementos en la carga de trabajo sin afectar el rendimiento.

¿Qué es la disponibilidad en AWS?

Asegura que tu aplicación esté accesible para los usuarios cuando la necesiten.

¿Qué es la fiabilidad en AWS?

Capacidad de recuperarse de fallos y prevenir interrupciones en la app.

¿Qué es un Virtual Private Cloud (VPC)?

Red privada aislada dentro de AWS, que permite configurar recursos en un espacio definido.

¿Qué son los balanceadores de carga?

Distribuyen el tráfico de red entrante entre múltiples instancias para asegurar que ninguna instancia se sobrecargue.

¿Qué es el modelo de precios 'Bajo demanda'?

Se paga por hora o segundo por los recursos que utilizas en AWS.

¿Qué es AWS Cost Explorer?

Permite visualizar y analizar los costos de AWS, identificando tendencias y áreas de optimización.

¿Qué es el modelo de responsabilidad compartida de AWS?

AWS es responsable de la seguridad de la infraestructura física y la nube en sí. Tú eres responsable de la seguridad de tus datos, aplicaciones y sistemas operativos.

¿Qué es Identity and Access Management (IAM)?

Controla el acceso a los recursos de AWS, permitiendo definir quién puede acceder a qué.

¿Qué es Amazon S3?

Almacenamiento de objetos escalable y duradero, ideal para guardar archivos, imágenes y copias de seguridad.

Study Notes

• Certificación AWS SAA (Solutions Architect Associate):
  • Valida la capacidad de diseñar e implementar sistemas distribuidos en AWS.
  • Demuestra conocimiento sobre los servicios de AWS, seguridad y mejores prácticas.
  • Cubre varios dominios, incluyendo diseño de arquitecturas, costos, seguridad y almacenamiento.

Diseño de Arquitecturas

• Consideraciones clave al diseñar arquitecturas en AWS:

  • Escalabilidad: Capacidad de manejar incrementos en la carga de trabajo.
  • Disponibilidad: Asegurar que la aplicación esté accesible cuando se necesita.
  • Fiabilidad: Capacidad de recuperarse de fallos y prevenir interrupciones.
  • Rendimiento: Optimizar la velocidad y capacidad de respuesta de la aplicación.
  • Seguridad: Proteger los datos y sistemas contra accesos no autorizados.
  • Optimización de costos: Utilizar eficientemente los recursos de AWS para minimizar los gastos.

• Componentes de una arquitectura típica de AWS:

  • Virtual Private Cloud (VPC): Red privada aislada dentro de AWS.
  • Subredes: Subdivisiones de la VPC para organizar recursos.
  • Grupos de seguridad: Firewalls virtuales que controlan el tráfico entrante y saliente.
  • Balanceadores de carga: Distribuyen el tráfico entre múltiples instancias para mejorar la disponibilidad y el rendimiento.
  • Instancias EC2: Servidores virtuales en la nube.
  • Bases de datos: Servicios de bases de datos administrados como RDS y DynamoDB.
  • Almacenamiento: Servicios de almacenamiento como S3 y EBS.

• Patrones de arquitectura comunes:

  • Arquitectura de tres niveles: Capa de presentación, capa de lógica de negocio y capa de datos.
  • Microservicios: Aplicación compuesta por pequeños servicios independientes.
  • Arquitectura sin servidor: Utiliza funciones Lambda para ejecutar código sin gestionar servidores.

Costos y Facturación

• AWS ofrece varias herramientas para gestionar costos:

  • AWS Cost Explorer: Permite visualizar y analizar los costos de AWS.
  • AWS Budgets: Permite establecer presupuestos y recibir alertas cuando se superan.
  • AWS Cost Allocation Tags: Permite etiquetar los recursos para rastrear los costos por proyecto, departamento, etc.

• Modelos de precios de AWS:

  • Bajo demanda: Se paga por hora o por segundo por los recursos utilizados.
  • Instancias reservadas: Se paga una tarifa por adelantado a cambio de un descuento significativo en el uso de instancias EC2.
  • Instancias de spot: Se puja por la capacidad no utilizada de EC2, lo que puede resultar en grandes descuentos, pero con riesgo de interrupción.
  • Savings Plans: Ofrecen precios más bajos en el uso de Compute (EC2, Lambda, Fargate) a cambio de un compromiso de uso consistente (medido en $/hora) durante 1 o 3 años.

• Optimización de costos:

  • Elegir el tipo de instancia EC2 adecuado para la carga de trabajo.
  • Utilizar Auto Scaling para ajustar la capacidad automáticamente.
  • Eliminar recursos no utilizados.
  • Utilizar almacenamiento en S3 para datos no críticos.
  • Implementar políticas de ciclo de vida de S3 para mover datos a almacenamiento de menor costo (ej. Glacier) con el tiempo.

Seguridad en la Nube

• Modelo de responsabilidad compartida de AWS:

  • AWS es responsable de la seguridad de la nube (la infraestructura).
  • El cliente es responsable de la seguridad en la nube (los datos y aplicaciones).

• Servicios de seguridad de AWS:

  • Identity and Access Management (IAM): Controla el acceso a los recursos de AWS.
  • AWS Shield: Protección contra ataques DDoS.
  • AWS WAF: Firewall de aplicaciones web que protege contra ataques comunes.
  • AWS Key Management Service (KMS): Permite crear y gestionar claves de cifrado.
  • AWS CloudTrail: Registra las llamadas a la API de AWS para fines de auditoría.
  • AWS Config: Supervisa la configuración de los recursos de AWS.
  • Amazon Inspector: Evalua automáticamente la exposición de las instancias EC2 a vulnerabilidades.
  • Amazon GuardDuty: Servicio de detección de amenazas que monitoriza la actividad maliciosa y el comportamiento no autorizado.

• Mejores prácticas de seguridad:

  • Utilizar autenticación multifactor (MFA) para todas las cuentas.
  • Conceder el mínimo privilegio necesario (principio de menor privilegio).
  • Cifrar los datos en reposo y en tránsito.
  • Supervisar y auditar la actividad de AWS.
  • Automatizar las tareas de seguridad.
  • Implementar una política de respuesta a incidentes.

Servicios de Almacenamiento

• Tipos de almacenamiento en AWS:

  • Amazon S3 (Simple Storage Service): Almacenamiento de objetos escalable y duradero.
    • Ideal para almacenar archivos, imágenes, videos y copias de seguridad.
    • Ofrece diferentes clases de almacenamiento (Standard, Intelligent-Tiering, Standard-IA, One Zone-IA, Glacier, Glacier Deep Archive) para optimizar los costos.
  • Amazon EBS (Elastic Block Storage): Almacenamiento de bloques para instancias EC2.
    • Similar a un disco duro virtual.
    • Ofrece diferentes tipos de volúmenes (SSD y HDD) para diferentes cargas de trabajo.
  • Amazon EFS (Elastic File System): Sistema de archivos compartido para instancias EC2.
    • Permite compartir archivos entre múltiples instancias EC2.
  • Amazon FSx: Proporciona sistemas de archivos totalmente administrados construidos sobre Windows File Server y Lustre.
  • AWS Storage Gateway: Permite integrar el almacenamiento local con AWS.

• Consideraciones al elegir un servicio de almacenamiento:

  • Tipo de datos: Objetos, bloques o archivos.
  • Frecuencia de acceso: Datos de acceso frecuente o infrecuente.
  • Rendimiento: Velocidad de lectura y escritura.
  • Durabilidad: Nivel de protección contra la pérdida de datos.
  • Costo: Optimización de costos según las necesidades.

• S3 Storage Classes:

  • S3 Standard: Para datos de acceso frecuente.
  • S3 Intelligent-Tiering: Mueve automáticamente los datos entre las clases de almacenamiento de acceso frecuente y acceso infrecuente según los patrones de acceso.
  • S3 Standard-IA (Infrequent Access): Para datos a los que se accede con menos frecuencia, pero que requieren acceso rápido cuando es necesario.
  • S3 One Zone-IA: Almacena datos en una sola zona de disponibilidad, lo que reduce los costos, pero también reduce la disponibilidad.
  • S3 Glacier: Para el archivo de datos a largo plazo con costos muy bajos y tiempos de recuperación más largos.
  • S3 Glacier Deep Archive: Para el archivo de datos a largo plazo con los costos más bajos y los tiempos de recuperación más largos (horas).