AWS Certified DevOps Engineer - Professional
1.6 DOP-C02
•领域 1:SDLC自动化(计分内容的 22%)
•领域 2:配置管理和 IaC(计分内容的 17%)
•领域 3:弹性云解决方案(计分内容的 15%)
•领域 4:监控和日志记录(计分内容的 15%)
•领域 5:事件和事件响应(计分内容的 14%)
•领域 6:安全性与合规性(计分内容的 17%)
任务表述 1.1:实施 CI/CD管道。
掌握以下知识:
•软件开发生命周期 (SDLC) 概念、阶段和模型
•单账户和多账户环境的管道部署模式
具备以下技能:
•配置代码、映像和构件存储库
•使用版本控制将管道与应用程序环境集成在一起
•设置构建流程(例如 AWS CodeBuild)
•管理构建和部署密钥(例如 AWS Secrets Manager、AWS Systems Manager
Parameter Store)
•确定相应的部署策略(例如 AWS CodeDeploy)
任务表述 1.2:将自动化测试集成到 CI/CD管道中。
掌握以下知识:
•不同类型的测试(例如,单元测试、集成测试、验收测试、用户界面测试、
安全扫描)
•在 CI/CD管道的不同阶段合理地使用不同类型的测试
具备以下技能:
•在生成提取请求或代码合并时运行构建或测试(例如 CodeBuild)
•批量运行负载/压力测试、性能基准测试和应用程序测试
•根据应用程序退出代码测量应用程序运行状况
•自动执行单元测试和代码覆盖
•在管道中调用 AWS服务以进行测试
任务表述 1.3:构建和管理构件。
掌握以下知识:
•构件使用案例和安全管理
•创建和生成构件的方法
•构件生命周期注意事项
具备以下技能:
•创建和配置构件存储库(例如 AWS CodeArtifact、Amazon S3、Amazon
Elastic Container Registry [Amazon ECR])
•配置构建工具以生成构件(例如 CodeBuild、AWS Lambda)
•自动执行 Amazon EC2实例和容器映像生成过程(例如 EC2 Image Builder)
任务表述 1.4:为实例、容器和无服务器环境实施部署策略。
掌握以下知识:
•各种平台的部署方法(例如 Amazon EC2、Amazon Elastic Container Service
[Amazon ECS]、Amazon Elastic Kubernetes Service [Amazon EKS]、
Lambda)
•应用程序存储模式(例如 Amazon Elastic File System [Amazon EFS]、
Amazon S3、Amazon Elastic Block Store [Amazon EBS])
•可变部署模式与不可变部署模式的对比
•可用于分发代码的工具和服务(例如 CodeDeploy、EC2 Image Builder)
具备以下技能:
•配置安全权限以允许访问构件存储库(例如 AWS Identity and Access
Management [IAM]、CodeArtifact)
•配置部署代理(例如 CodeDeploy代理)
•排查部署问题
•使用不同的部署方法(例如,蓝/绿、Canary)
任务表述 2.1:定义云基础设施和可重用组件以在整个生命周期内预置和管理系统。
掌握以下知识:
•适用于 AWS的基础设施即代码 (IaC) 选项和工具
•基于 IaC 的平台的更改管理流程
•配置管理服务和策略
具备以下技能:
•编写和部署 IaC 模板(例如 AWS Serverless Application Model [AWS SAM]、
AWS CloudFormation、AWS Cloud Development Kit [AWS CDK])
•跨多个账户和 AWS区域应用 CloudFormation StackSets
•确定最佳的配置管理服务(例如 AWS OpsWorks、AWS Systems Manager、
AWS Config、AWS AppConfig)
•将基础设施模式、监管控制和安全标准实施到可重用 IaC 模板中(例如 AWS
Service Catalog、CloudFormation模块、AWS CDK)
任务表述 2.2:部署自动化功能,在多账户或多区域环境中创建、加入和保护 AWS账户。
掌握以下知识:
• AWS账户结构、最佳实践和相关的 AWS服务
具备以下技能:
•标准化和自动化账户预置和配置
•创建、整合和集中管理账户(例如 AWS Organizations、AWS Control
Tower)
•针对多账户和复杂组织结构应用 IAM解决方案(例如 SCP、担任角色)
•批量实施和开发监管和安全控制( AWS Config、AWS Control Tower、AWS
Security Hub、Amazon Detective、Amazon GuardDuty、AWS Service
Catalog、SCP)
任务表述 2.3:针对复杂任务和大型环境设计和构建自动化解决方案。
掌握以下知识:
•自动执行任务和流程的 AWS服务和解决方案
•与 AWS软件定义的基础设施交互的方法和策略
具备以下技能:
•自动执行系统清点、配置和补丁管理(例如 Systems Manager、AWS
Config)
•针对复杂场景开发 Lambda 函数自动化功能(例如 AWS SDK、Lambda、
AWS Step Functions)
•自动将软件应用程序配置为所需的状态(例如 OpsWorks、Systems Manager
State Manager)
•保持软件合规性(例如 Systems Manager)
任务表述 3.1:实施高度可用的解决方案以满足弹性和业务要求。
掌握以下知识:
•多可用区和多区域部署(例如,计算层、数据层)
• SLA
•有状态服务的复制和故障转移方法
•实现高可用性的技术(例如,多可用区、多区域)
具备以下技能:
•将业务要求转化为技术弹性需求
•找出并修复现有工作负载中的单点故障
•在可用的情况下启用跨区域解决方案(例如 Amazon DynamoDB、Amazon
RDS、Amazon Route 53、Amazon S3、Amazon CloudFront)
•配置负载均衡以支持跨可用区服务
•配置应用程序和相关服务以支持多个可用区和区域,同时最大限度减少停机
任务表述 3.2:实施可扩展以满足业务要求的解决方案。
掌握以下知识:
•用于扩展服务的相应指标
•松散耦合的分布式架构
•无服务器架构
•容器平台
具备以下技能:
•找出并修复扩展问题
•确定并实施相应的弹性伸缩、负载均衡和缓存解决方案
•部署基于容器的应用程序(例如 Amazon ECS、Amazon EKS)
•在多个区域部署工作负载以实现全球可扩展性
•配置无服务器应用程序(例如 Amazon API Gateway、Lambda、AWS
Fargate)
任务表述 3.3:实施自动化恢复流程,满足 RTO和 RPO要求。
掌握以下知识:
•灾难恢复概念(例如 RTO、RPO)
•备份和恢复策略(例如 Pilot Light、温备用)
•恢复过程
具备以下技能:
•测试多可用区和多区域工作负载(例如 Amazon RDS、Amazon Aurora、
Route 53、CloudFront)的故障转移
•确定并实施相应的跨区域备份和恢复策略(例如 AWS Backup、Amazon S3、
Systems Manager)
•配置负载均衡器以从后端故障中恢复
任务表述 4.1:配置日志和指标收集、聚合和存储。
掌握以下知识:
•如何监控应用程序和基础设施
• Amazon CloudWatch指标(例如,命名空间、指标、维度和精度)
•实时摄取日志
•静态和传输中的日志和指标的加密选项(例如,客户端和服务器端、
AWS Key Management Service [AWS KMS])
•安全配置(例如,允许收集日志的 IAM角色和权限)
具备以下技能:
•安全地存储和管理日志
•使用指标筛选条件从日志事件中创建 CloudWatch指标
•创建 CloudWatch指标流(例如 Amazon S3或 Amazon Kinesis Data Firehose
选项)
•收集自定义指标(例如,使用 CloudWatch代理)
•管理日志存储生命周期(例如 S3生命周期、CloudWatch日志组保留)
•使用 CloudWatch日志订阅处理日志数据(例如 Kinesis、Lambda、
Amazon OpenSearch Service)
•使用筛选条件和模式语法或 CloudWatch Logs Insights搜索日志数据
•配置日志数据加密(例如 AWS KMS)
任务表述 4.2:审核、监控和分析日志及指标以检测问题。
掌握以下知识:
•异常检测警报(例如 CloudWatch异常检测)
•常见的 CloudWatch指标和日志(例如 Amazon EC2的 CPU使用率、
Amazon RDS 的队列长度、Application Load Balancer [ALB]的 5xx 错误)
• Amazon Inspector 和常见的评估模板
• AWS Config 规则
• AWS CloudTrail录入事件
具备以下技能:
•构建 CloudWatch控制面板和 Amazon QuickSight可视化内容
•将 CloudWatch警报与 CloudWatch指标(标准和自定义)相关联
•为不同的服务配置 AWS X-Ray(例如,容器、 API Gateway、Lambda)
•分析实时日志流(例如,使用 Kinesis Data Streams)
•使用 AWS服务分析日志(例如 Amazon Athena、CloudWatch Logs Insights)
任务表述 4.3:为复杂环境自动执行监控和事件管理。
掌握以下知识:
•事件驱动的异步设计模式(例如,发送到 Amazon Simple Notification Service
[Amazon SNS]或 Lambda 的 S3事件通知或 Amazon EventBridge事件)
•各种 AWS服务的弹性伸缩功能(例如, EC2 Auto Scaling 组、RDS 存储弹性
伸缩、DynamoDB、ECS容量提供程序、EKS弹性伸缩程序)
•警报通知和操作功能(例如,发送到 Amazon SNS 或 Lambda 的 CloudWatch
警报、EC2自动恢复)
• AWS 服务中的运行状况检查功能(例如 ALB目标组、Route 53)
具备以下技能:
•配置弹性伸缩解决方案(例如 DynamoDB、EC2 Auto Scaling 组、RDS 存储
弹性伸缩、ECS容量提供程序)
•创建 CloudWatch自定义指标和指标筛选条件、警报和通知(例如 Amazon
SNS、Lambda)
•配置 S3事件以处理日志文件(例如,使用 Lambda),并将日志文件传送到
另一个目的地(例如 OpenSearch Service、CloudWatch Logs)
•配置 EventBridge以根据特定事件模式发送通知
•在 EC2实例上安装和配置代理(例如 AWS Systems Manager Agent [SSM
Agent]、CloudWatch代理)
•配置 AWS Config 规则以修复问题
•配置运行状况检查(例如 Route 53、ALB)
任务表述 5.1:管理事件源以处理事件,发出通知以及采取措施来响应事件。
掌握以下知识:
•生成、捕获和处理事件的 AWS服务(例如 AWS Health、EventBridge、
CloudTrail)
•事件驱动的架构(例如,扇出、事件流、排队)
具备以下技能:
•集成 AWS事件源(例如 AWS Health、EventBridge、CloudTrail)
•构建事件处理工作流(例如 Amazon Simple Queue Service [Amazon SQS]、
Kinesis、Amazon SNS、Lambda、Step Functions)
任务表述 5.2:实施配置更改以响应事件。
掌握以下知识:
•实例集管理服务(例如 Systems Manager、AWS Auto Scaling)
•配置管理服务(例如 AWS Config)
具备以下技能:
•将配置更改应用于系统
•修改基础设施配置以响应事件
•修复非所需的系统状态
任务表述 5.3:排除系统和应用程序故障。
掌握以下知识:
• AWS指标和日志记录服务(例如 CloudWatch、X-Ray)
• AWS服务运行状况服务(例如 AWS Health、CloudWatch、Systems
Manager OpsCenter)
•根本原因分析
具备以下技能:
•分析失败的部署(例如 AWS CodePipeline、CodeBuild、CodeDeploy、
CloudFormation、CloudWatch综合监控)
•分析有关失败进程的事件(例如 Auto Scaling、Amazon ECS、Amazon EKS)
任务表述 6.1:批量实施身份和访问管理技术。
掌握以下知识:
•相应地使用不同的 IAM实体以进行人和机器访问(例如,用户、组、角色、
身份提供程序、基于身份的策略、基于资源的策略、会话策略)
•联合身份技术(例如,使用 IAM身份提供程序和 AWS IAM Identity Center)
•使用 IAM权限边界进行权限管理委派
•组织 SCP
具备以下技能:
•设计策略以实施最低权限访问
•实施基于角色和基于属性的访问控制模式
•自动为机器身份执行凭证轮换(例如 Secrets Manager)
•管理权限以控制对人和机器身份的访问(例如,启用多重身份验证 [MFA]、
AWS Security Token Service [AWS STS]、IAM 配置文件)
任务表述 6.2:应用自动化功能以进行安全控制和数据保护。
掌握以下知识:
•网络安全组件(例如,安全组、网络 ACL、路由、 AWS Network Firewall、
AWS WAF、AWS Shield)
•证书和公有密钥基础设施 (PKI)
•数据管理(例如,数据分类、加密、密钥管理、访问控制)
具备以下技能:
•在多账户和多区域环境
(例如 Security Hub、Organizations、AWS Control Tower、Systems
Manager)中自动应用安全控制
•组合使用安全控制以应用纵深防御(例如 AWS Certificate Manager [ACM]、
AWS WAF、AWS Config、AWS Config 规则、 Security Hub、GuardDuty、
安全组、网络 ACL、Amazon Detective、Network Firewall)
•自动批量查找敏感数据(例如 Amazon Macie)
•加密传输中的数据和静态数据(例如 AWS KMS、AWS CloudHSM、ACM)
任务表述 6.3:实施安全监控和审核解决方案。
掌握以下知识:
• 安全审核服务和功能(例如 CloudTrail、AWS Config、VPC流日志、
CloudFormation 偏差检测)
• 用于查找安全漏洞和事件的 AWS服务(例如 GuardDuty、Amazon
Inspector、IAM Access Analyzer、AWS Config)
• 常见的云安全威胁(例如,不安全的 Web流量、泄露的 AWS访问密钥、
启用了公有访问或禁用了加密的 S3存储桶)
具备以下技能:
• 实施强大的安全审核
• 配置基于意外或异常安全事件的警报
• 配置服务和应用程序日志记录(例如 CloudTrail、CloudWatch Logs)
• 分析日志、指标和安全检查结果