KUNGFU TECH

0
0
Lập trình
NM
Nguyen Minhtamdehmivor

Cách Để Đậu Kỳ Thi AWS Solutions Architect Professional

Đăng vào 5 ngày trước

• 10 phút đọc

Chủ đề:

#awssapcert#awsmigracion#estudiaaws#awsscp

Cách Để Đậu Kỳ Thi AWS Solutions Architect Professional Như Một Chuyên Gia Thực Thụ

Imagina rằng, sau nhiều tháng học tập, làm bài kiểm tra thực hành và một số khoảnh khắc nghi ngờ, bạn cuối cùng đã nhấn nút gửi. Màn hình hiển thị những từ bạn đã chờ đợi:

"Chúc mừng! Bạn đã đậu kỳ thi AWS Certified Solutions Architect – Professional." 🎉

Cảm giác của tôi giống như việc hoàn thành một bữa ăn lớn sau nhiều giờ nấu nướng — đầy sự nhẹ nhõm, tự hào và có lẽ hơi mệt mỏi.

Chứng chỉ này không phải là điều đơn giản — nó liên quan đến việc thành thạo:
🌐 Thiết kế kiến trúc phức tạp trên AWS
🔒 Bảo mật, tuân thủ và quản trị quy mô
⚙️ Tối ưu hóa chi phí, hiệu suất và khả năng phục hồi
🛠️ Di chuyển và hiện đại hóa khối lượng công việc
📊 Cân bằng quyết định với nhu cầu thực tế của doanh nghiệp

Nhưng đây là vấn đề: Đậu kỳ thi không chỉ đơn thuần là ghi nhớ câu hỏi. Nó là về việc thực sự hiểu cách thức hoạt động của AWS ở quy mô lớn. Đối với tôi, hai chủ đề nổi bật hơn bất kỳ chủ đề nào khác:

Service Control Policies (SCPs) – những thanh chắn giữ cho tài khoản AWS của bạn an toàn và đồng nhất.
Di chuyển – các chiến lược giúp chuyển khối lượng công việc đến AWS mà không làm gián đoạn hoạt động kinh doanh.

Trong bài viết này, tôi sẽ chia sẻ những hiểu biết của mình về hai lĩnh vực này. Tôi sẽ giữ cho nó đơn giản, với những phép ẩn dụ và ví dụ từ thế giới thực mà bạn thực sự có thể sử dụng — Tôi biết nhiều người trong số các bạn đang học AWS bằng tiếng Anh, nhưng sẽ dễ dàng hơn nhiều nếu chúng ta học bằng tiếng mẹ đẻ, hoặc có thể bạn chỉ mới bắt đầu với đám mây. Và nếu bạn đã là một chuyên gia, hãy coi đây như một buổi ôn tập thú vị với một góc nhìn mới.

Service Control Policies (SCPs) – Phần Kỹ Thuật

Rất tốt, hãy xem những gì tài liệu của AWS nói về Service Control Policies (SCPs) nhưng theo cách dễ hiểu hơn:

  1. Phần của AWS Organizations

    • Các SCPs tồn tại trong AWS Organizations, dịch vụ mà bạn sử dụng để quản lý nhiều tài khoản AWS tại một nơi.
    • Quan trọng: các SCPs chỉ hoạt động nếu bạn kích hoạt “tất cả các tính năng”. Nếu bạn chỉ có thanh toán hợp nhất, các SCPs sẽ không khả dụng.

  2. SCPs Không Cung Cấp Quyền

    • Đây là điều quan trọng nhất: các SCPs không cấp quyền.
    • Chúng chỉ định nghĩa giới hạn tối đa của quyền mà một tài khoản có thể có.
    • Ví dụ: nếu IAM nói “có” nhưng SCP nói “không”, kết quả là không.

  3. Hệ Thống Phân Cấp và Kế Thừa

    • Các SCPs có thể được áp dụng tại root, vào Đơn Vị Tổ Chức (OU) hoặc vào các tài khoản cá nhân.
    • Các quy tắc sẽ được kế thừa: một SCP ở root ảnh hưởng đến tất cả; một SCP trong một OU ảnh hưởng đến tất cả các tài khoản trong OU đó.
    • Quyền hiệu quả = giao điểm của SCPs + IAM. Để một hành động hoạt động, nó phải được phép trong toàn bộ chuỗi.

  4. Danh Sách Cho Phép vs Danh Sách Từ Chối

    • Danh Sách Cho Phép (từ chối mặc định): Mọi thứ đều bị từ chối trừ khi bạn cho phép. Rất nghiêm ngặt, tốn nhiều công sức.
    • Danh Sách Từ Chối (cho phép mặc định): Mọi thứ đều được phép trừ khi bạn từ chối. Dễ quản lý hơn và phổ biến hơn.

  5. Tác Động Đến Quyền

    • Các SCPs ảnh hưởng đến người dùng và vai trò IAM trong các tài khoản thành viên, kể cả người dùng root.
    • Chúng không ảnh hưởng đến tài khoản quản trị hoặc các vai trò liên quan đến dịch vụ.

  6. Kiểm Soát Tập Trung

    • Các SCPs giúp duy trì kiểm soát tài khoản:
      • Chặn các dịch vụ cụ thể
      • Hạn chế các vùng
      • Đảm bảo tuân thủ

🏠 Phép Ẩn Dụ Về Ngôi Nhà Gia Đình (Root, OUs, SCPs)

  • Root = ngôi nhà của cha mẹ.
  • Mỗi OU = một phòng ngủ khác nhau.
  • Mỗi tài khoản = đứa trẻ sống trong phòng đó.

Kịch bản 1: Từ chối ở Root (ý tưởng tồi)

  • Cha mẹ khóa tủ lạnh: “Không ai được ăn kem.”
  • Dù quy tắc của đứa trẻ nói rằng có, quy tắc của ngôi nhà áp dụng → không ai được ăn kem.
  • Điều này xảy ra nếu bạn từ chối ở root: không có ngoại lệ.

Kịch bản 2: Root Full Access + Từ chối ở OU (thực hành tốt hơn)

  • Cha mẹ nói: “Tất cả mọi người có thể ăn bất cứ thứ gì.” (FullAWSAccess theo mặc định).
  • Mỗi phòng ngủ (OU) đặt ra các quy tắc riêng của mình:
    • Đứa trẻ #1 → Không kem.
    • Đứa trẻ #2 → Không kẹo.
    • Đứa trẻ #3 → Quyền truy cập đầy đủ.
  • Nếu Đứa trẻ #1 đột nhiên cần kem cho dự án trường học, bạn chuyển nó đến phòng của Đứa trẻ #3.
  • Đó là từ chối ở cấp OU: linh hoạt và dễ quản lý hơn.

Kịch bản 3: Danh Sách Cho Phép ở Root (quá nghiêm ngặt)

  • Cha mẹ đặt một bảng lớn: “Chỉ cho phép pizza và táo.”
  • Mỗi bữa ăn mới = cập nhật bảng. Quá nhiều công việc.
  • Đó là một danh sách cho phép ở root → bảo trì cao.

Chiến lược thắng lợi: Root = để FullAWSAccess. OU = áp dụng danh sách từ chối. Ngoại lệ = chuyển tài khoản.

Di Chuyển – Những Điều Bạn Cần Biết Cho Kỳ Thi AWS SAP

1. Lập Kế Hoạch Di Chuyển

Khi AWS nói về di chuyển, không có nghĩa là chỉ “di chuyển mọi thứ lên đám mây và hy vọng nó hoạt động.” Họ muốn bạn thực hiện như một chuyên gia:

  • Khám phá những gì bạn có (máy chủ, cơ sở dữ liệu, ứng dụng).
  • Nhóm các thứ một cách hợp lý (ứng dụng, phụ thuộc).
  • Chọn chiến lược di chuyển đúng (các 6 R’s nổi tiếng).

Giai đoạn này giống như lập kế hoạch cho một cuộc chuyển nhà lớn. Bạn không chỉ lấy hộp một cách ngẫu nhiên — bạn làm một danh sách, quyết định những gì sẽ đi, những gì sẽ ở lại và những gì sẽ được nâng cấp.

2. AWS Application Discovery Service (ADS)

Công cụ này là hồ sơ của bạn trước khi di chuyển. Nó tự động quét môi trường on-premises của bạn và thu thập chi tiết về máy chủ, VM, cơ sở dữ liệu và thậm chí là kết nối mạng.

Nó có ba cách chính để thu thập dữ liệu:

  • Agentless Collector:

    • Không cần cài đặt gì trên mỗi máy chủ.
    • Lý tưởng cho các môi trường VMware.
    • Thu thập dữ liệu cơ bản: hostname, IP, CPU, RAM, sử dụng đĩa.
    • Giới hạn: không thấy quy trình hoặc phụ thuộc mạng.

  • Discovery Agent (dựa trên agent):

    • Được cài đặt trên mỗi máy chủ.
    • Cung cấp dữ liệu chi tiết: quy trình, luồng mạng, hiệu suất.
    • Hoàn hảo để hiểu cách mà các máy chủ giao tiếp.

  • Nhập khẩu dựa trên tệp:

    • Khi bạn đã có một hồ sơ từ hệ thống khác.
    • Bạn nhập trực tiếp vào Migration Hub.

📊 Điều gì xảy ra sau khi phát hiện?

  • Dữ liệu sẽ chuyển đến Migration Hub Home Region của bạn.
  • Bạn có thể nhóm các máy chủ thành ứng dụng.
  • Xuất dữ liệu sang S3, Athena hoặc QuickSight để phân tích chi phí.
  • Sử dụng thông tin để định hình chính xác EC2s và lập kế hoạch chi phí.

3. Dịch Vụ Di Chuyển: Từ VMware hoặc On-Prem tới AWS

Khi bạn đã có kế hoạch, đã đến lúc di chuyển các hộp. Đối với kỳ thi SAP, bạn cần biết những dịch vụ quan trọng này:

  • AWS Application Migration Service (MGN)

    • Vô địch trong việc lift-and-shift.
    • Sao chép máy chủ lên AWS và chuyển đổi chúng thành EC2s.
    • Giảm thiểu thời gian chết.
    • Hoạt động với Migration Hub để theo dõi.
    • Bonus: sau khi rehost, bạn có thể dễ dàng replatform hoặc refactor.

  • AWS Database Migration Service (DMS)

    • Đặc biệt cho cơ sở dữ liệu.
    • Hỗ trợ di chuyển đồng nhất (Oracle → Oracle) và không đồng nhất (SQL Server → Aurora).
    • Tích hợp với Fleet Advisor để lập kế hoạch di chuyển DB.

  • AWS Migration Hub

    • Bảng điều khiển trung tâm cho tất cả các dự án di chuyển.
    • Hiển thị trạng thái của máy chủ và ứng dụng, không quan trọng bạn sử dụng công cụ nào.
    • Hãy coi nó như người điều phối di chuyển theo dõi từng chiếc xe tải và hộp.

4. Chiến Lược Di Chuyển (6 R’s)

Chắc chắn rằng bạn sẽ gặp chúng trong kỳ thi:

  • Rehost (Lift & Shift): Di chuyển nguyên mẫu. Ví dụ: VM → EC2.
  • Replatform: Thay đổi nhỏ. Ví dụ: Ứng dụng → Elastic Beanstalk, DB → RDS.
  • Refactor (Tái cấu trúc): Thay đổi lớn. Ví dụ: Monolith → microservices với Lambda.
  • Repurchase: Thay thế bằng SaaS. Ví dụ: CRM on-prem → Salesforce.
  • Retire: Ngừng sử dụng ứng dụng không sử dụng.
  • Retain: Giữ lại on-prem tạm thời.

Kết Luận

  • Service Control Policies (SCPs): Là những thanh chắn của AWS Organizations. Chúng không cấp quyền, nhưng định nghĩa giới hạn tối đa của quyền. Thực hành tốt nhất: để FullAWSAccess ở root và áp dụng danh sách từ chối ở OUs để linh hoạt và an toàn.
  • Di chuyển: Không chỉ đơn thuần là nâng lên và di chuyển máy chủ. Nó yêu cầu lập kế hoạch, khám phá với ADS, di chuyển với MGN hoặc DMS, theo dõi với Migration Hub và cuối cùng áp dụng chiến lược phù hợp từ 6 R’s. Như vậy, việc di chuyển sẽ trở nên có thể dự đoán và tiết kiệm chi phí.

Đó là tất cả! 🎬 Bạn đã thấy hai trong số những chủ đề nặng nề nhất của kỳ thi AWS SAP: SCPsDi chuyển. Cả hai đều quan trọng không chỉ để đậu kỳ thi mà còn để làm việc như một Solutions Architect thực thụ trong thế giới thực.

Nếu bài viết này hữu ích với bạn, đây là những gì bạn có thể làm tiếp theo:

  • Theo dõi tôi trên X và YouTube để có thêm nội dung về AWS, DevOps và Terraform, thân thiện với người mới bắt đầu nhưng cũng hữu ích cho kỳ thi.
  • Để lại một bình luận với suy nghĩ của bạn, con đường của bạn trong AWS SAP hoặc câu hỏi mà bạn muốn tôi đề cập sau.
  • Sẽ sớm tạo một kho lưu trữ trên GitHub. nơi tôi sẽ chia sẻ tài nguyên và ví dụ thực hành.

Chúc bạn thành công trên con đường đến AWS SAP, và hãy nhớ: chuẩn bị + thực hành = đậu như một chuyên gia! 🚀

Xem quảng cáo để đọc tiếpHoặc nâng cấp tài khoản để tắt quảng cáo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào