AWS Certified DevOps Engineer - Professional
1.6 DOP-C02
• 领域1: SDLC自动化(计分内容的22%)
• 领域2:配置管理和IaC(计分内容的17%)
• 领域3:弹性云解决方案(计分内容的15%)
• 领域4:监控和日志记录(计分内容的15%)
• 领域5:事件和事件响应(计分内容的14%)
• 领域6:安全性与合规性(计分内容的17%)
任务表述1.1:实施CI/CD管道。
掌握以下知识:
.软件开发生命周期(SDLC) 概念、阶段和模型.单账户和多账户环境的管道部署模式
具备以下技能: .配置代码、映像和构件存储库.使用版本控制将管道与应用程序环境集成在一起
.设置构建流程(例如AWS CodeBuild)
.管理构建和部署密钥(例如AWS Secrets Manager、AWS Systems Manager Parameter Store)
.确定相应的部署策略(例如AWS CodeDeploy)
任务表述1.2:将自动化测试集成到CI/CD管道中。
掌握以下知识: .不同类型的测试(例如,单元测试、集成测试、验收测试、用户界面测试、安全扫描)
.在CI/CD管道的不同阶段合理地使用不同类型的测试
具备以下技能:
.在生成提取请求或代码合并时运行构建或测试(例如CodeBuild)
.批量运行负载/压力测试、性能基准测试和应用程序测试.根据应用程序退出代码测量应用程序运行状况.自动执行单元测试和代码覆盖
.在管道中调用AWS服务以进行测试
任务表述 1.3: 构建和管理构件。
掌握以下知识: .构件使用案例和安全管理.创建和生成构件的方法.构件生命周期注意事项
具备以下技能:
.创建和配置构件存储库(例如AWS CodeArtifact、Amazon S3、Amazon Elastic Container Registry [Amazon ECR])
.配置构建工具以生成构件(例如CodeBuild、AWS Lambda)
.自动执行Amazon EC2实例和容器映像生成过程(例如EC2 Image Builder)
任务表述1.4:为实例、容器和无服务器环境实施部署策略。
掌握以下知识:
.各种平台的部署方法(例如Amazon EC2、Amazon Elastic Container Service [Amazon ECS]、Amazon Elastic Kubernetes Service [Amazon EKS]、Lambda)
.应用程序存储模式(例如Amazon Elastic File System [Amazon EFS]、
Amazon S3、Amazon Elastic Block Store [Amazon EBS]) .可变部署模式与不可变部署模式的对比
.可用于分发代码的工具和服务(例如CodeDeploy、EC2 Image Builder)
具备以下技能:
.配置安全权限以允许访问构件存储库(例如AWS Identity and Access Management [IAM]、CodeArtifact)
.配置部署代理(例如CodeDeploy代理) .排查部署问题
.使用不同的部署方法(例如,蓝/绿、Canary)
.使用不同的部署方法(例如,蓝/绿、Canary)
任务表述2.1:定义云基础设施和可重用组件以在整个生命周期内预置和管理系统。
掌握以下知识:
.适用于AWS的基础设施即代码(IaC) 选项和工具
.基于IaC 的平台的更改管理流程.配置管理服务和策略
具备以下技能:
.编写和部署IaC 模板(例如AWS Serverless Application Model [AWS SAM]、AWS CloudFormation、AWS Cloud Development Kit [AWS CDK])
.跨多个账户和AWS区域应用CloudFormation StackSets
.确定最佳的配置管理服务(例如AWS OpsWorks、AWS Systems Manager、AWS Config、AWS AppConfig)
.将基础设施模式、监管控制和安全标准实施到可重用IaC 模板中(例如AWS Service Catalog、CloudFormation模块、AWS CDK)
任务表述2.2:部署自动化功能,在多账户或多区域环境中创建、加入和保护AWS账户。
掌握以下知识:
. AWS账户结构、最佳实践和相关的AWS服务
具备以下技能: .标准化和自动化账户预置和配置
.创建、整合和集中管理账户(例如AWS Organizations、AWS Control Tower)
.针对多账户和复杂组织结构应用IAM解决方案(例如SCP、担任角色)
.批量实施和开发监管和安全控制(AWS Config、AWS Control Tower、AWS Security Hub、Amazon Detective、Amazon GuardDuty、AWS Service Catalog、SCP)
任务表述2.3:针对复杂任务和大型环境设计和构建自动化解决方案。
掌握以下知识:
.自动执行任务和流程的AWS服务和解决方案
.与AWS软件定义的基础设施交互的方法和策略
具备以下技能:
.自动执行系统清点、配置和补丁管理(例如Systems Manager、AWS Config)
.针对复杂场景开发Lambda 函数自动化功能(例如AWS SDK、Lambda、AWS Step Functions)
.自动将软件应用程序配置为所需的状态(例如OpsWorks、Systems Manager State Manager)
.保持软件合规性(例如Systems Manager)
任务表述3.1:实施高度可用的解决方案以满足弹性和业务要求。
掌握以下知识: .多可用区和多区域部署(例如,计算层、数据层)
. SLA .有状态服务的复制和故障转移方法.实现高可用性的技术(例如,多可用区、多区域)
具备以下技能: .将业务要求转化为技术弹性需求.找出并修复现有工作负载中的单点故障
.在可用的情况下启用跨区域解决方案(例如Amazon DynamoDB、Amazon
RDS、Amazon Route 53、Amazon S3、Amazon CloudFront) .配置负载均衡以支持跨可用区服务.配置应用程序和相关服务以支持多个可用区和区域,同时最大限度减少停机
任务表述 3.2: 实施可扩展以满足业务要求的解决方案。
掌握以下知识: .用于扩展服务的相应指标.松散耦合的分布式架构.无服务器架构.容器平台
具备以下技能: .找出并修复扩展问题.确定并实施相应的弹性伸缩、负载均衡和缓存解决方案
.部署基于容器的应用程序(例如Amazon ECS、Amazon EKS) .在多个区域部署工作负载以实现全球可扩展性
.配置无服务器应用程序(例如Amazon API Gateway、Lambda、AWS Fargate)
任务表述3.3:实施自动化恢复流程,满足RTO和RPO要求。
掌握以下知识:
.灾难恢复概念(例如RTO、RPO)
.备份和恢复策略(例如Pilot Light、温备用) .恢复过程
具备以下技能:
.测试多可用区和多区域工作负载(例如Amazon RDS、Amazon Aurora、Route 53、CloudFront)的故障转移
.确定并实施相应的跨区域备份和恢复策略(例如AWS Backup、Amazon S3、
Systems Manager) .配置负载均衡器以从后端故障中恢复
任务表述4.1:配置日志和指标收集、聚合和存储。
掌握以下知识: .如何监控应用程序和基础设施
. Amazon CloudWatch指标(例如,命名空间、指标、维度和精度) .实时摄取日志.静态和传输中的日志和指标的加密选项(例如,客户端和服务器端、
AWS Key Management Service [AWS KMS])
.安全配置(例如,允许收集日志的IAM角色和权限)
具备以下技能: .安全地存储和管理日志
.使用指标筛选条件从日志事件中创建CloudWatch指标
.创建CloudWatch指标流(例如Amazon S3或Amazon Kinesis Data Firehose选项)
.收集自定义指标(例如,使用CloudWatch代理) .管理日志存储生命周期(例如S3生命周期、CloudWatch日志组保留)
.使用CloudWatch日志订阅处理日志数据(例如Kinesis、Lambda、Amazon OpenSearch Service)
.使用筛选条件和模式语法或CloudWatch Logs Insights搜索日志数据
.配置日志数据加密(例如AWS KMS)
任务表述4.2:审核、监控和分析日志及指标以检测问题。
掌握以下知识:
.异常检测警报(例如CloudWatch异常检测)
.常见的CloudWatch指标和日志(例如Amazon EC2的CPU使用率、Amazon RDS 的队列长度、Application Load Balancer [ALB]的5xx 错误)
. Amazon Inspector 和常见的评估模板
. AWS Config 规则
. AWS CloudTrail录入事件
具备以下技能:
.构建CloudWatch控制面板和Amazon QuickSight可视化内容
.将CloudWatch警报与CloudWatch指标(标准和自定义)相关联
.为不同的服务配置AWS X-Ray(例如,容器、API Gateway、Lambda)
.分析实时日志流(例如,使用Kinesis Data Streams)
.使用AWS服务分析日志(例如Amazon Athena、CloudWatch Logs Insights)
任务表述4.3:为复杂环境自动执行监控和事件管理。
掌握以下知识:
.事件驱动的异步设计模式(例如,发送到Amazon Simple Notification Service [Amazon SNS]或Lambda 的S3事件通知或Amazon EventBridge事件)
.各种AWS服务的弹性伸缩功能(例如,EC2 Auto Scaling 组、RDS 存储弹性伸缩、DynamoDB、ECS容量提供程序、EKS弹性伸缩程序)
.警报通知和操作功能(例如,发送到Amazon SNS 或Lambda 的CloudWatch警报、EC2自动恢复)
. AWS 服务中的运行状况检查功能(例如ALB目标组、Route 53)
具备以下技能:
.配置弹性伸缩解决方案(例如DynamoDB、EC2 Auto Scaling 组、RDS 存储弹性伸缩、ECS容量提供程序)
.创建CloudWatch自定义指标和指标筛选条件、警报和通知(例如Amazon SNS、Lambda)
.配置S3事件以处理日志文件(例如,使用Lambda),并将日志文件传送到另一个目的地(例如OpenSearch Service、CloudWatch Logs)
.配置EventBridge以根据特定事件模式发送通知
.在EC2实例上安装和配置代理(例如AWS Systems Manager Agent [SSM Agent]、CloudWatch代理)
.配置AWS Config 规则以修复问题
.配置运行状况检查(例如Route 53、ALB)
任务表述5.1:管理事件源以处理事件,发出通知以及采取措施来响应事件。
掌握以下知识:
.生成、捕获和处理事件的AWS服务(例如AWS Health、EventBridge、
CloudTrail)
.事件驱动的架构(例如,扇出、事件流、排队)
具备以下技能:
.集成AWS事件源(例如AWS Health、EventBridge、CloudTrail)
.构建事件处理工作流(例如Amazon Simple Queue Service [Amazon SQS]、Kinesis、Amazon SNS、Lambda、Step Functions)
任务表述5.2:实施配置更改以响应事件。
掌握以下知识:
.实例集管理服务(例如Systems Manager、AWS Auto Scaling)
.配置管理服务(例如AWS Config)
具备以下技能:
.将配置更改应用于系统.修改基础设施配置以响应事件
.修复非所需的系统状态
任务表述5.3:排除系统和应用程序故障。
掌握以下知识:
. AWS指标和日志记录服务(例如CloudWatch、X-Ray)
. AWS服务运行状况服务(例如AWS Health、CloudWatch、Systems
Manager OpsCenter)
.根本原因分析
具备以下技能:
.分析失败的部署(例如AWS CodePipeline、CodeBuild、CodeDeploy、CloudFormation、CloudWatch综合监控)
.分析有关失败进程的事件(例如Auto Scaling、Amazon ECS、Amazon EKS)
任务表述6.1:批量实施身份和访问管理技术。
掌握以下知识:
.相应地使用不同的IAM实体以进行人和机器访问(例如,用户、组、角色、身份提供程序、基于身份的策略、基于资源的策略、会话策略)
.联合身份技术(例如,使用IAM身份提供程序和AWS IAM Identity Center)
.使用IAM权限边界进行权限管理委派
.组织SCP
具备以下技能:
.设计策略以实施最低权限访问
.实施基于角色和基于属性的访问控制模式
.自动为机器身份执行凭证轮换(例如Secrets Manager)
.管理权限以控制对人和机器身份的访问(例如,启用多重身份验证[MFA]、AWS Security Token Service [AWS STS]、IAM 配置文件)
任务表述6.2:应用自动化功能以进行安全控制和数据保护。
掌握以下知识:
.网络安全组件(例如,安全组、网络ACL、路由、AWS Network Firewall、AWS WAF、AWS Shield)
.证书和公有密钥基础设施(PKI) .数据管理(例如,数据分类、加密、密钥管理、访问控制)
具备以下技能:
.在多账户和多区域环境(例如Security Hub、Organizations、AWS Control Tower、Systems Manager)中自动应用安全控制
.组合使用安全控制以应用纵深防御(例如AWS Certificate Manager [ACM]、AWS WAF、AWS Config、AWS Config 规则、Security Hub、GuardDuty、安全组、网络ACL、Amazon Detective、Network Firewall)
.自动批量查找敏感数据(例如Amazon Macie)
.加密传输中的数据和静态数据(例如AWS KMS、AWS CloudHSM、ACM)
任务表述6.3:实施安全监控和审核解决方案。
掌握以下知识:
.安全审核服务和功能(例如CloudTrail、AWS Config、VPC流日志、CloudFormation偏差检测)
.用于查找安全漏洞和事件的AWS服务(例如GuardDuty、Amazon Inspector、IAM Access Analyzer、AWS Config)
.常见的云安全威胁(例如,不安全的Web流量、泄露的AWS访问密钥、启用了公有访问或禁用了加密的S3存储桶)
具备以下技能:
.实施强大的安全审核.
配置基于意外或异常安全事件的警报
.配置服务和应用程序日志记录(例如CloudTrail、CloudWatch Logs)
.分析日志、指标和安全检查结果