KUNGFU TECH

0
0
Lập trình
Admin Team
Admin Teamtechmely

Cách Đạt Chứng Chỉ AWS Solutions Architect Chuyên Nghiệp

Đăng vào 6 ngày trước

• 10 phút đọc

Chủ đề:

#awscertification#awsmigrationandscp#awssap#awscommunity

Cách Đạt Chứng Chỉ AWS Solutions Architect Chuyên Nghiệp Như Một Chuyên Gia

Chúc mừng bạn! Sau nhiều tháng học tập, làm bài kiểm tra thử và một vài khoảnh khắc nghi ngờ, bạn đã nhấn nút gửi và màn hình hiện lên dòng chữ mà bạn mong đợi:

“Chúc mừng, bạn đã vượt qua chứng chỉ AWS Certified Solutions Architect – Professional.” 🎉

Cảm giác này giống như bạn vừa hoàn thành một bữa ăn lớn sau nhiều giờ trong bếp. Thoải mái, tự hào và có lẽ cũng hơi mệt mỏi.

Chứng chỉ này không phải là điều nhỏ, nó liên quan đến việc làm chủ:

🌐 Thiết kế kiến trúc phức tạp trên AWS
🔒 An ninh, tuân thủ và quản lý ở quy mô lớn
⚙️ Tối ưu hóa chi phí, hiệu suất và độ bền
🛠️ Di chuyển và hiện đại hóa khối lượng công việc
📊 Cân bằng các yếu tố thương mại cho nhu cầu thực tế

Nhưng đây là điều quan trọng: vượt qua kỳ thi không chỉ là ghi nhớ câu hỏi. Đó là hiểu rõ cách AWS hoạt động ở quy mô lớn. Và đối với tôi, hai chủ đề nổi bật hơn tất cả:

✅ Chính sách kiểm soát dịch vụ (SCP) – những rào cản giúp bảo vệ tài khoản AWS của bạn.
✅ Di chuyển – các chiến lược giúp di chuyển khối lượng công việc sang AWS mà không làm hỏng doanh nghiệp.

Trong bài viết này, tôi sẽ chia sẻ những hiểu biết của mình về hai lĩnh vực này. Tôi sẽ giữ cho nó đơn giản, sử dụng các phép tương tự và ví dụ từ thực tế mà bạn có thể áp dụng. Bởi vì tôi biết nhiều bạn đang học AWS như một ngôn ngữ thứ hai, hoặc có thể chỉ mới bắt đầu với đám mây. Và nếu bạn đã là một chuyên gia, hãy coi đây là một chuyến đi mới mẻ với một góc nhìn khác.

Chính Sách Kiểm Soát Dịch Vụ (SCP) – Phần Kỹ Thuật

Hãy cùng phân tích những gì tài liệu AWS nói về Chính sách kiểm soát dịch vụ (SCP) theo cách dễ hiểu hơn:

Phần của AWS Organizations

  • SCP nằm trong AWS Organizations, dịch vụ bạn sử dụng để quản lý nhiều tài khoản AWS tại một nơi.
  • Quan trọng: SCP chỉ hoạt động nếu bạn bật “tất cả các tính năng”. Nếu bạn chỉ có tính năng thanh toán hợp nhất, SCP sẽ không khả dụng.

SCP Không Cấp Quyền

  • Điều quan trọng nhất: SCP không cấp quyền.
  • Chúng chỉ xác định quyền tối đa mà một tài khoản có thể có.
  • Ví dụ: nếu IAM nói “có” nhưng SCP nói “không,” kết quả là không.

Cấu Trúc và Kế Thừa

  • SCP có thể được gán ở gốc, đến Đơn vị Tổ chức (OU), hoặc đến các tài khoản cá nhân.
  • Các quy tắc chảy xuống: một SCP gốc ảnh hưởng đến tất cả; SCP OU ảnh hưởng đến tất cả các tài khoản trong OU đó.
  • Quyền hiệu quả = giao điểm của SCP + IAM. Để một hành động hoạt động, nó phải được phép ở mọi nơi.

Danh Sách Cho Phép vs Danh Sách Từ Chối

  • Danh sách cho phép (từ chối theo mặc định): Mọi thứ đều bị từ chối trừ khi bạn cho phép. Rất nghiêm ngặt, tốn nhiều công sức.
  • Danh sách từ chối (cho phép theo mặc định): Mọi thứ đều được phép trừ khi bạn từ chối. Dễ quản lý hơn và phổ biến nhất.

Tác Động Đến Quyền

  • SCP ảnh hưởng đến người dùng và vai trò IAM trong các tài khoản thành viên, bao gồm cả người dùng gốc.
  • Chúng không ảnh hưởng đến tài khoản quản lý hoặc vai trò liên kết dịch vụ.

Kiểm Soát Tập Trung

  • SCP giúp các tổ chức giữ tài khoản dưới sự kiểm soát bằng cách:
    • Chặn các dịch vụ cụ thể
    • Áp đặt các hạn chế khu vực
    • Đảm bảo tuân thủ

Thực Hành Tốt Nhất

  • Đừng bắt đầu ở gốc. Hãy thử nghiệm trong một OU trước để tránh chặn các dịch vụ quan trọng.
  • Sử dụng dữ liệu đã truy cập IAM hoặc CloudTrail để kiểm tra việc sử dụng trước khi áp đặt các hạn chế.

🏠 Phép Tương Tự Ngôi Nhà Gia Đình (Gốc, OUs, SCP)

  • Gốc = nhà của cha mẹ.
  • Mỗi OU = phòng ngủ của một đứa trẻ khác nhau.
  • Mỗi tài khoản = đứa trẻ sống trong phòng đó.

Kịch bản 1: Từ chối ở gốc (ý tưởng tồi)

  • Cha mẹ khóa tủ lạnh: “Không ai được ăn kem.”
  • Ngay cả khi một đứa trẻ có quy tắc nói rằng chúng có thể, quy tắc nhà áp dụng → không có kem cho ai cả.
  • Đó là những gì xảy ra nếu bạn từ chối ở gốc: không có ngoại lệ nào có thể xảy ra.

Kịch bản 2: Gốc Toàn Quyền + OU Từ Chối (thực hành tốt nhất)

  • Cha mẹ nói: “Mọi người có thể ăn bất cứ thứ gì.” (mặc định FullAWSAccess).
  • Mỗi phòng ngủ (OU) thêm quy tắc riêng của mình:
    • Đứa trẻ #1 → Không kem.
    • Đứa trẻ #2 → Không kẹo.
    • Đứa trẻ #3 → Toàn quyền truy cập.
  • Nếu đứa trẻ #1 cần kem đột xuất cho một dự án trường học, chỉ cần chuyển chúng vào phòng của đứa trẻ #3.
  • Đó là từ chối cấp OU: linh hoạt và dễ quản lý hơn.

Kịch bản 3: Danh sách cho phép ở gốc (quá nghiêm ngặt)

  • Cha mẹ viết lên bảng trắng lớn: “Chỉ cho phép pizza và táo.”
  • Mỗi thực phẩm mới = cập nhật bảng. Quá nhiều công việc.
  • Đó là danh sách cho phép ở gốc → quá tải.

Nói đơn giản:

  • Từ chối gốc = tủ lạnh bị khóa cho tất cả, không có ngoại lệ.
  • Từ chối OU = quy tắc phòng ngủ, có thể có ngoại lệ.
  • Danh sách cho phép = cơn ác mộng trên bảng trắng.

👉 Chiến lược chiến thắng: Gốc = để lại FullAWSAccess. OU = áp dụng danh sách từ chối. Ngoại lệ = di chuyển tài khoản.

Di Chuyển – Những Điều Bạn Cần Biết Cho Kỳ Thi AWS SAP

Lập Kế Hoạch Di Chuyển

Khi AWS nói về việc di chuyển, họ không chỉ có nghĩa là “di chuyển mọi thứ lên đám mây và hy vọng nó hoạt động.” Họ muốn bạn lập kế hoạch như một chuyên gia:

  • Khám phá những gì bạn có (máy chủ, cơ sở dữ liệu, ứng dụng).
  • Nhóm mọi thứ một cách hợp lý (ứng dụng, phụ thuộc).
  • Chọn chiến lược di chuyển phù hợp (các R nổi tiếng).

Giai đoạn lập kế hoạch này giống như chuẩn bị cho một cuộc di chuyển lớn của gia đình. Bạn không chỉ lấy hộp ngẫu nhiên. Bạn sẽ lập danh sách, quyết định cái gì đi, cái gì ở lại và cái gì cần nâng cấp. Đúng không?

Dịch Vụ Khám Phá Ứng Dụng AWS (ADS)

Công cụ này là quản lý hàng tồn kho của bạn trước ngày di chuyển. Nó tự động quét môi trường tại chỗ của bạn và thu thập thông tin về máy chủ, VM, cơ sở dữ liệu, và cả các kết nối mạng.

Nó có ba cách chính để khám phá dữ liệu:

  • Bộ thu thập không cần tác nhân:

    • Không cần cài đặt gì trên mỗi máy chủ.
    • Tuyệt vời cho môi trường VMware.
    • Thu thập thông tin cơ bản: tên máy chủ, IP, CPU, RAM, dung lượng ổ đĩa.
    • Hạn chế: không thể thấy các quy trình đang chạy hoặc phụ thuộc mạng.

  • Tác nhân Khám Phá Dựa Trên Tác Nhân:

    • Được cài đặt trực tiếp trên mỗi máy chủ.
    • Cung cấp cái nhìn sâu sắc: quy trình, lưu lượng mạng, dữ liệu hiệu suất.
    • Tốt nhất nếu bạn cần hiểu cách máy chủ giao tiếp với nhau.

  • Nhập Từ Tệp:

    • Khi bạn đã có một hàng tồn kho từ hệ thống khác.
    • Bạn có thể nhập dữ liệu đó trực tiếp vào Migration Hub.

📊 Điều gì xảy ra sau khi khám phá?

  • Dữ liệu được gửi đến Vùng Nhà của Migration Hub.
  • Bạn có thể nhóm các máy chủ thành ứng dụng.
  • Xuất dữ liệu vào S3, Athena hoặc QuickSight để phân tích chi phí.
  • Sử dụng thông tin để định kích thước các phiên bản EC2 và lập kế hoạch chi phí chính xác hơn.

Dịch vụ Di Chuyển: Di Chuyển từ VMware hoặc Tại Chỗ Sang AWS

Sau khi lập kế hoạch xong, đã đến lúc di chuyển các hộp. Đối với mục đích kỳ thi SAP, bạn cần biết các dịch vụ AWS chính:

  • Dịch vụ Di Chuyển Ứng Dụng AWS (MGN)

    • Hãy nghĩ về điều này như là nhà vô địch lift and shift.
    • Nó sao chép các máy chủ vào AWS và tự động chuyển đổi chúng thành các phiên bản EC2.
    • Tuyệt vời để giảm thiểu thời gian ngừng hoạt động.
    • Hoạt động với Migration Hub để bạn có thể theo dõi tiến trình.
    • Thêm điểm cộng: sau khi tái lưu trữ, bạn có thể dễ dàng tái tạo hoặc tái cấu trúc sau này.

  • Dịch vụ Di Chuyển Cơ sở Dữ liệu AWS (DMS)

    • Đặc biệt để di chuyển cơ sở dữ liệu.
    • Hỗ trợ di chuyển đồng nhất (Oracle → Oracle) và không đồng nhất (SQL Server → Aurora).
    • Cũng tích hợp với Fleet Advisor để khám phá và lập kế hoạch di chuyển DB.

  • Migration Hub AWS

    • Bảng điều khiển trung tâm cho tất cả các dự án di chuyển.
    • Hiển thị trạng thái của máy chủ và ứng dụng, bất kể công cụ nào bạn sử dụng.
    • Hãy nghĩ về nó như là người điều phối công ty di chuyển theo dõi mọi xe tải và hộp.

Chiến Lược Di Chuyển (6 R’s)

Bạn chắc chắn sẽ thấy những điều này trong kỳ thi:

  • Di Chuyển (Lift & Shift): Di chuyển như là. Ví dụ: VM → EC2.
  • Tái Nền Tảng: Thay đổi nhỏ. Ví dụ: Ứng dụng → Elastic Beanstalk, Cơ sở dữ liệu → RDS.
  • Tái Cấu Trúc: Thay đổi lớn. Ví dụ: Monolith → microservices với Lambda.
  • Thay Thế: Thay thế bằng SaaS. Ví dụ: CRM tại chỗ → Salesforce.
  • Giải Thể: Ngừng sử dụng các ứng dụng không cần thiết.
  • Giữ Lại: Giữ lại tại chỗ cho bây giờ.

Kết Luận

  • Chính sách kiểm soát dịch vụ (SCP): Chúng là những rào cản của AWS Organizations. SCP không cấp quyền nhưng xác định các giới hạn tối đa của quyền. Cách tiếp cận tốt nhất là để lại FullAWSAccess ở gốc và áp dụng danh sách từ chối ở cấp OU để linh hoạt và quản lý an toàn hơn.

  • Di chuyển: Một cuộc di chuyển thành công không chỉ là nâng và chuyển các máy chủ. Nó đòi hỏi lập kế hoạch, khám phá môi trường của bạn với ADS, di chuyển khối lượng công việc với MGN hoặc DMS, theo dõi với Migration Hub, và cuối cùng áp dụng chiến lược đúng từ 6 R’s. Với cách tiếp cận đúng, các cuộc di chuyển trở nên dễ dự đoán và tiết kiệm chi phí.

Đó là tất cả! 🎬 Bạn đã thấy hai trong số các chủ đề nặng ký nhất cho kỳ thi AWS SAP: SCPDi chuyển. Cả hai đều rất quan trọng không chỉ để vượt qua kỳ thi mà còn để làm việc như một Kiến trúc sư Giải pháp thực thụ trong ngành.

Nếu bài viết này giúp bạn, đây là những gì bạn có thể làm tiếp theo:

  • Theo dõi tôi trên X và YouTube để có thêm nội dung về AWS, DevOps, và Terraform thân thiện với người mới nhưng cũng phù hợp cho kỳ thi.
  • Để lại một bình luận với ý kiến của bạn, hành trình AWS SAP của riêng bạn hoặc các câu hỏi mà bạn muốn tôi đề cập tiếp theo.
  • Sắp tới, một kho lưu trữ GitHub nơi tôi sẽ chia sẻ các tài nguyên hỗ trợ và ví dụ để thực hành.

Chúc bạn may mắn với hành trình AWS SAP của mình, và hãy nhớ: chuẩn bị + thực hành = vượt qua như một chuyên gia!

Xem quảng cáo để đọc tiếpHoặc nâng cấp tài khoản để tắt quảng cáo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào