CC
📚 更多学习材料:
📋认证概述📝速查表📚复习练习测试

官方 DOP-C02 考试指南

考试格式、领域和准备技巧

AWS 认证 DevOps 工程师 - 专业版 (DOP-C02) 考试指南

简介

AWS 认证 DevOps 工程师 - 专业版 (DOP-C02) 考试面向在 AWS 上承担 DevOps 工程师角色的个人。此考试验证了考生在 AWS 上配置、运营和管理分布式系统和服务等方面的技术专业知识。

此考试还验证了考生完成以下任务的能力:

  • 在 AWS 上实施和管理持续交付系统和方法论。
  • 实施和自动化安全控制、治理流程和合规性验证。
  • 在 AWS 上定义和部署监控、指标和日志记录系统。
  • 在 AWS 上实施高可用、可扩展和自愈的系统。
  • 设计、管理和维护用于自动化运维流程的工具。

目标考生描述

目标考生应具有 2 年或以上在 AWS 环境中配置、运营和管理的经验。目标考生还有软件开发生命周期、编程和/或脚本编写方面的经验。

推荐的一般 IT 知识和经验

目标考生应具有以下经验:

  • 构建高度自动化基础设施的经验
  • 操作系统管理的经验
  • 现代开发和运维流程及方法论的经验

推荐的 AWS 知识和经验

目标考生应具有保护 AWS 基础设施的经验。

不在目标考生范围的工作任务

以下列表包含目标考生预计无法执行的工作任务。此列表不详尽。这些任务不在考试范围内:

  • 具有高级网络知识(例如,高级路由算法、故障转移技术)。
  • 向开发人员提供深层次的安全性建议。
  • 设计、查询和优化数据库性能。
  • 开发全栈应用程序代码。

请参阅附录了解可能出现在考试中的技术和概念以及考试涵盖的 AWS 服务和功能的列表。

考试内容

答题类型

考试包含两种类型的题目:

  • 单选题: 有一个正确答案和三个错误答案(干扰项)
  • 多选题: 从五个或更多个选项中有两个或更多个正确答案

选择一个或多个最能完成陈述或回答问题的响应。干扰项是可能被知识或技能有限的考生选择的错误答案。干扰项通常是与内容领域相符的合理选项。

未作答的题目将被评为错误;猜测不会受到惩罚。考试包括 65 个影响成绩的题目。

非计分内容

考试还包括 10 个不影响成绩的非计分题目。AWS 收集有关这些非计分题目表现的信息,以便将它们评估为未来的计分题目。这些非计分题目在考试中不会被标识。

考试结果

AWS 认证 DevOps 工程师 - 专业版 (DOP-C02) 考试采用通过或不通过的评分方式。此考试的评分是根据 AWS 专业人员遵循认证行业最佳实践和指南而建立的最低标准进行的。

您的考试成绩以 100-1,000 的标准化分数形式报告。最低及格分数为 750 分。您的分数反映了您整体考试的表现,以及您是否通过了考试。标准化评分模型有助于在可能具有略微不同难度水平的多个考试形式之间进行成绩等同。

您的成绩报告可能包含每个部分的评分分类。此考试采用综合评分模式,这意味着您无需在每个部分都及格。您只需要通过整个考试即可。

考试的每个部分都有特定的权重,因此某些部分的题目数量比其他部分多。评分分类表包含突出您优势和劣势的一般信息。在解释部分级反馈时请谨慎。

内容大纲

本考试指南包括考试的权重、内容域和任务陈述。本指南并未提供考试内容的全面列表。但是,每个任务陈述都有附加的上下文信息,可帮助您为考试做准备。

考试包括以下内容域和权重:

  • 域 1: SDLC 自动化 (占得分内容的 22%)
  • 域 2: 配置管理和 IaC (占得分内容的 17%)
  • 域 3: 弹性云解决方案 (占得分内容的 15%)
  • 域 4: 监控和日志记录 (占得分内容的 15%)
  • 域 5: 事件和事故响应 (占得分内容的 14%)
  • 域 6: 安全性和合规性 (占得分内容的 17%)

域 1: SDLC 自动化

任务陈述 1.1: 实施 CI/CD 管道。

知识:

  • 软件开发生命周期 (SDLC) 概念、阶段和模型
  • 单账户和多账户环境的管道部署模式

技能:

  • 配置代码、镜像和构件存储库
  • 使用版本控制将管道与应用程序环境集成
  • 设置构建流程(例如,AWS CodeBuild)
  • 管理构建和部署密钥(例如,AWS Secrets Manager、AWS Systems Manager Parameter Store)
  • 确定适当的部署策略(例如,AWS CodeDeploy)

任务陈述 1.2: 将自动化测试集成到 CI/CD 管道中。

知识:

  • 不同类型的测试(例如,单元测试、集成测试、验收测试、用户界面测试、安全扫描)
  • 在 CI/CD 管道的不同阶段合理使用不同类型的测试

技能:

  • 在生成拉取请求或代码合并时运行构建或测试(例如,CodeBuild)
  • 在大规模运行负载/压力测试、性能基准测试和应用程序测试
  • 基于应用程序退出代码测量应用程序健康状况
  • 自动化单元测试和代码覆盖率
  • 在管道中调用 AWS 服务进行测试

任务陈述 1.3: 构建和管理构件。

知识:

  • 构件的使用案例和安全管理
  • 创建和生成构件的方法
  • 构件生命周期的考虑因素

技能:

  • 创建和配置构件存储库(例如,AWS CodeArtifact、Amazon S3、Amazon Elastic Container Registry [Amazon ECR])
  • 配置构建工具以生成构件(例如,CodeBuild、AWS Lambda)
  • 自动化 Amazon EC2 实例和容器镜像构建流程(例如,EC2 Image Builder)

任务陈述 1.4: 为实例、容器和无服务器环境实施部署策略。

知识:

  • 各种平台(例如,Amazon EC2、Amazon Elastic Container Service [Amazon ECS]、Amazon Elastic Kubernetes Service [Amazon EKS]、Lambda)的部署方法
  • 应用程序存储模式(例如,Amazon Elastic File System [Amazon EFS]、Amazon S3、Amazon Elastic Block Store [Amazon EBS])
  • 可变部署模式与不可变部署模式的对比
  • 用于分发代码的可用工具和服务(例如,CodeDeploy、EC2 Image Builder)

技能:

  • 配置安全权限以允许访问构件存储库(例如,IAM、CodeArtifact)
  • 配置部署代理(例如,CodeDeploy 代理)
  • 排查部署问题
  • 使用不同的部署方法(例如,蓝/绿、金丝雀)

域 2: 配置管理和 IaC

任务陈述 2.1: 定义云基础设施和可重复使用的组件,以在整个生命周期中配置和管理系统。

知识:

  • AWS 的基础设施即代码 (IaC) 选项和工具
  • IaC 平台的变更管理流程
  • 配置管理服务和策略

技能:

  • 编写和部署 IaC 模板(例如,AWS 无服务器应用程序模型 [AWS SAM]、AWS CloudFormation、AWS Cloud Development Kit [AWS CDK])
  • 跨多个账户和 AWS 区域应用 CloudFormation StackSets
  • 确定最佳配置管理服务(例如,AWS OpsWorks、AWS Systems Manager、AWS Config、AWS AppConfig)
  • 将基础设施模式、治理控制和安全标准纳入可重复使用的 IaC 模板(例如,AWS Service Catalog、CloudFormation 模块、AWS CDK)

任务陈述 2.2: 部署自动化以在多账户或多区域环境中创建、接纳和保护 AWS 账户。

知识:

  • AWS 账户结构、最佳实践和相关 AWS 服务

技能:

  • 标准化和自动化账户供应和配置
  • 创建、合并和集中管理账户(例如,AWS Organizations、AWS Control Tower)
  • 为多账户和复杂组织结构实施 IAM 解决方案(例如,SCPs、假定角色)
  • 在大规模实施和开发治理和安全控制(AWS Config、AWS Control Tower、AWS Security Hub、Amazon Detective、Amazon GuardDuty、AWS Service Catalog、SCPs)

任务陈述 2.3: 设计和构建复杂任务和大规模环境的自动化解决方案。

知识:

  • 用于自动化任务和流程的 AWS 服务和解决方案
  • 与 AWS 软件定义基础设施交互的方法和策略

技能:

  • 自动化系统库存、配置和补丁管理(例如,Systems Manager、AWS Config)
  • 针对复杂场景开发 Lambda 函数自动化(例如,AWS SDK、Lambda、AWS Step Functions)
  • 自动化软件应用程序配置到所需状态(例如,OpsWorks、Systems Manager State Manager)
  • 维护软件合规性(例如,Systems Manager)

域 3: 弹性云解决方案

任务陈述 3.1: 实施高可用性解决方案,以满足弹性和业务需求。

知识:

  • 多可用区和多区域部署(例如,计算层、数据层)
  • SLA
  • 有状态服务的复制和故障转移方法
  • 实现高可用性的技术(例如,多可用区、多区域)

技能:

  • 将业务需求转化为技术弹性需求
  • 识别和修复现有工作负载中的单点故障
  • 启用跨区域解决方案(例如,Amazon DynamoDB、Amazon RDS、Amazon Route 53、Amazon S3、Amazon CloudFront)
  • 配置负载均衡以支持跨可用区服务
  • 配置应用程序及相关服务,以支持多个可用区和区域,同时最小化停机时间

任务陈述 3.2: 实施可扩展解决方案,以满足业务需求。

知识:

  • 适用于扩展服务的适当指标
  • 松耦合和分布式架构
  • 无服务器架构
  • 容器平台

技能:

  • 识别和修复扩展问题
  • 识别和实施适当的自动扩展、负载均衡和缓存解决方案
  • 部署基于容器的应用程序(例如,Amazon ECS、Amazon EKS)
  • 在多个区域部署工作负载以实现全球可扩展性
  • 配置无服务器应用程序(例如,Amazon API Gateway、Lambda、AWS Fargate)

任务陈述 3.3: 实施自动化恢复流程,以满足 RTO 和 RPO 需求。

知识:

  • 灾难恢复概念(例如,RTO、RPO)
  • 备份和恢复策略(例如,试运行、温备用)
  • 恢复流程

技能:

  • 测试多可用区和多区域工作负载的故障转移(例如,Amazon RDS、Amazon Aurora、Route 53、CloudFront)
  • 识别和实施适当的跨区域备份和恢复策略(例如,AWS Backup、Amazon S3、Systems Manager)
  • 配置负载均衡器以从后端故障中恢复

域 4: 监控和日志记录

任务陈述 4.1: 配置日志和指标的收集、聚合和存储。

知识:

  • 如何监控应用程序和基础设施
  • Amazon CloudWatch 指标(例如,名称空间、指标、维度和分辨率)
  • 实时日志摄取
  • 静态和传输日志及指标的加密选项(例如,客户端和服务器端、AWS Key Management Service [AWS KMS])
  • 安全配置(例如,允许日志收集的 IAM 角色和权限)

技能:

  • 安全存储和管理日志
  • 通过使用指标过滤器从日志事件创建 CloudWatch 指标
  • 创建 CloudWatch 指标流(例如,Amazon S3 或 Amazon Kinesis Data Firehose 选项)
  • 收集自定义指标(例如,使用 CloudWatch 代理)
  • 管理日志存储生命周期(例如,S3 生命周期、CloudWatch 日志组保留)
  • 通过使用 CloudWatch 日志订阅处理日志数据(例如,Kinesis、Lambda、Amazon OpenSearch Service)
  • 使用过滤器和模式语法或 CloudWatch Logs Insights 搜索日志数据
  • 配置日志数据的加密(例如,AWS KMS)

任务陈述 4.2: 审计、监控和分析日志和指标以检测问题。

知识:

  • 异常检测警报(例如,CloudWatch 异常检测)
  • 常见的 CloudWatch 指标和日志(例如,Amazon EC2 的 CPU 利用率、Amazon RDS 的队列长度、Application Load Balancer [ALB] 的 5xx 错误)
  • Amazon Inspector 和常见的评估模板
  • AWS Config 规则
  • AWS CloudTrail 日志事件

技能:

  • 构建 CloudWatch 仪表盘和 Amazon QuickSight 可视化
  • 将 CloudWatch 警报与 CloudWatch 指标(标准和自定义)关联
  • 为不同服务(例如,容器、API Gateway、Lambda)配置 AWS X-Ray
  • 分析实时日志流(例如,使用 Kinesis Data Streams)
  • 使用 AWS 服务分析日志(例如,Amazon Athena、CloudWatch Logs Insights)

任务陈述 4.3: 自动化复杂环境的监控和事件管理。

知识:

  • 事件驱动、异步设计模式(例如,S3 事件通知或 Amazon EventBridge 事件到 Amazon Simple Notification Service [Amazon SNS] 或 Lambda)
  • 各种 AWS 服务的自动扩展功能(例如,EC2 Auto Scaling 组、RDS 存储自动扩展、DynamoDB、ECS 容量提供程序、EKS 自动缩放器)
  • 警报通知和操作功能(例如,CloudWatch 警报到 Amazon SNS、Lambda、EC2 自动恢复)
  • AWS 服务中的健康检查功能(例如,ALB 目标组、Route 53)

技能:

  • 配置自动扩展解决方案(例如,DynamoDB、EC2 Auto Scaling 组、RDS 存储自动扩展、ECS 容量提供程序)
  • 创建 CloudWatch 自定义指标和指标过滤器、警报和通知(例如,Amazon SNS、Lambda)
  • 配置 S3 事件以处理日志文件(例如,使用 Lambda)并将日志文件传送到另一个目的地(例如,OpenSearch Service、CloudWatch Logs)
  • 配置 EventBridge 以基于特定事件模式发送通知
  • 在 EC2 实例上安装和配置代理(例如,AWS Systems Manager Agent [SSM Agent]、CloudWatch 代理)
  • 配置 AWS Config 规则以修正问题
  • 配置健康检查(例如,Route 53、ALB)

域 5: 事件和事故响应

任务陈述 5.1: 管理事件源以处理、通知和采取响应事件的行动。

知识:

  • 生成、捕获和处理事件的 AWS 服务(例如,AWS Health、EventBridge、CloudTrail)
  • 事件驱动架构(例如,扇出、事件流、队列)

技能:

  • 集成 AWS 事件源(例如,AWS Health、EventBridge、CloudTrail)
  • 构建事件处理工作流(例如,Amazon Simple Queue Service [Amazon SQS]、Kinesis、Amazon SNS、Lambda、Step Functions)

任务陈述 5.2: 根据事件实施配置变更。

知识:

  • 设备管理服务(例如,Systems Manager、AWS Auto Scaling)
  • 配置管理服务(例如,AWS Config)

技能:

  • 对系统应用配置变更
  • 根据事件修改基础设施配置
  • 修正非预期系统状态

任务陈述 5.3: 排查系统和应用程序故障。

知识:

  • AWS 指标和日志记录服务(例如,CloudWatch、X-Ray)
  • AWS 服务健康服务(例如,AWS Health、CloudWatch、Systems Manager OpsCenter)
  • 根源分析

技能:

  • 分析失败的部署(例如,AWS CodePipeline、CodeBuild、CodeDeploy、CloudFormation、CloudWatch 综合监控)
  • 分析涉及失败进程的事件(例如,自动扩展、Amazon ECS、Amazon EKS)

域 6: 安全性和合规性

任务陈述 6.1: 大规模实施身份和访问管理技术。

知识:

  • 为人类和机器访问使用不同 IAM 实体的适当用法(例如,用户、组、角色、身份提供商、基于身份的策略、基于资源的策略、会话策略)
  • 身份联合技术(例如,使用 IAM 身份提供商和 AWS IAM Identity Center)
  • 通过使用 IAM 权限边界委托权限管理
  • 组织 SCPs

技能:

  • 设计执行最小权限访问的策略
  • 实施基于角色和基于属性的访问控制模式
  • 自动化机器身份的凭证轮换(例如,Secrets Manager)
  • 管理权限以控制人类和机械身份的访问(例如,启用多重身份验证 [MFA]、AWS Security Token Service [AWS STS]、IAM 配置文件)

任务陈述 6.2: 自动化安全控制和数据保护。

知识:

  • 网络安全组件(例如,安全组、网络 ACL、路由、AWS Network Firewall、AWS WAF、AWS Shield)
  • 证书和公钥基础设施 (PKI)
  • 数据管理(例如,数据分类、加密、密钥管理、访问控制)

技能:

  • 自动化在多账户和多区域环境中应用安全控制(例如,Security Hub、Organizations、AWS Control Tower、Systems Manager)
  • 组合安全控制以实施纵深防御(例如,AWS Certificate Manager [ACM]、AWS WAF、AWS Config、AWS Config 规则、Security Hub、GuardDuty、安全组、网络 ACL、Amazon Detective、Network Firewall)
  • 自动化大规模发现敏感数据(例如,Amazon Macie)
  • 加密传输中和静态数据(例如,AWS KMS、AWS CloudHSM、ACM)

任务陈述 6.3: 实施安全监控和审计解决方案。

知识:

  • 安全审计服务和功能(例如,CloudTrail、AWS Config、VPC 流日志、CloudFormation 漂移检测)
  • 识别安全漏洞和事件的 AWS 服务(例如,GuardDuty、Amazon Inspector、IAM Access Analyzer、AWS Config)
  • 常见的云安全威胁(例如,不安全的 Web 流量、暴露的 AWS 访问密钥、未加密或公共访问启用的 S3 存储桶)

技能:

  • 实施健壮的安全审计
  • 根据意外或异常的安全事件配置警报
  • 配置服务和应用程序日志记录(例如,CloudTrail、CloudWatch Logs)
  • 分析日志、指标和安全发现

附录

可能出现在考试中的技术和概念

以下列表包含可能出现在考试中的技术和概念。此列表不详尽,并可能发生变化。此列表中项目的顺序和位置并非其在考试中的相对权重或重要性的指示:

  • 应用程序部署
  • 应用程序集成
  • 应用程序管道
  • 自动化
  • 代码存储库最佳实践
  • 成本优化
  • 部署要求
  • 混合部署
  • IAM 策略
  • 指标、监控、警报和日志记录
  • 网络 ACL 和安全组设计及实施
  • 操作最佳实践
  • 回滚流程

考试涵盖的 AWS 服务和功能

以下列表包含 DOP-C02 考试涵盖的 AWS 服务和功能。此列表不详尽,并可能发生变化。AWS 产品按其主要功能进行分类:

分析

  • Amazon Athena
  • Amazon EMR
  • Amazon Kinesis Data Firehose
  • Amazon Kinesis Data Streams
  • Amazon OpenSearch Service
  • Amazon QuickSight

应用程序集成

  • Amazon AppFlow
  • Amazon EventBridge

计算

  • AWS App Runner
  • Amazon EC2
  • Amazon EC2 Auto Scaling
  • EC2 Image Builder
  • AWS Elastic Beanstalk
  • AWS Serverless Application Repository

容器

  • AWS App2Container
  • AWS Copilot
  • Amazon Elastic Container Registry (Amazon ECR)
  • Amazon Elastic Container Service (Amazon ECS)
  • Amazon Elastic Kubernetes Service (Amazon EKS)
  • Amazon EKS Distro
  • AWS Fargate
  • Red Hat OpenShift Service on AWS (ROSA)

数据库

  • Amazon Aurora
  • Amazon Aurora Serverless v2
  • AWS Database Migration Service (AWS DMS)
  • Amazon DocumentDB (与 MongoDB 兼容)
  • Amazon DynamoDB
  • Amazon ElastiCache
  • Amazon MemoryDB for Redis
  • Amazon RDS
  • Amazon Redshift

开发者工具

  • AWS CLI
  • AWS Cloud Development Kit (AWS CDK)
  • AWS CloudShell
  • AWS CodeArtifact
  • AWS CodeBuild
  • AWS CodeDeploy
  • Amazon CodeGuru
  • AWS CodePipeline
  • AWS CodeStar
  • AWS Fault Injection Simulator (AWS FIS)
  • AWS SDK 和工具
  • AWS X-Ray

管理和治理

  • AWS Auto Scaling
  • AWS CloudFormation
  • AWS CloudTrail
  • Amazon CloudWatch
  • Amazon CloudWatch Logs
  • AWS Compute Optimizer
  • AWS Config
  • AWS Control Tower
  • AWS Health
  • AWS License Manager
  • Amazon Managed Grafana
  • Amazon Managed Service for Prometheus
  • AWS OpsWorks
  • AWS Organizations
  • AWS Proton
  • AWS Resilience Hub
  • AWS Service Catalog
  • AWS Systems Manager
  • AWS Trusted Advisor

网络和内容传递

  • Amazon API Gateway
  • AWS Client VPN
  • Amazon CloudFront
  • Elastic Load Balancing (ELB)
  • AWS PrivateLink
  • Amazon Route 53
  • AWS Site-to-Site VPN
  • AWS Transit Gateway
  • Amazon VPC

安全性、身份和合规性

  • AWS Certificate Manager (ACM)
  • AWS CloudHSM
  • Amazon Cognito
  • Amazon Detective
  • AWS Directory Service
  • Amazon GuardDuty
  • AWS IAM Identity Center
  • AWS Identity and Access Management (IAM)
  • Amazon Inspector
  • AWS Key Management Service (AWS KMS)
  • Amazon Macie
  • AWS Network Firewall
  • AWS Resource Access Manager (AWS RAM)
  • AWS Secrets Manager
  • AWS Security Hub
  • AWS Security Token Service (AWS STS)
  • AWS Shield
  • AWS WAF

无服务器

  • AWS Lambda
  • AWS Serverless Application Model (AWS SAM)
  • Amazon Simple Notification Service (Amazon SNS)
  • Amazon Simple Queue Service (Amazon SQS)
  • AWS Step Functions

存储

  • AWS Backup
  • Amazon Elastic Block Store (Amazon EBS)
  • AWS Elastic Disaster Recovery
  • Amazon Elastic File System (Amazon EFS)
  • Amazon FSx for Lustre
  • Amazon FSx for NetApp ONTAP
  • Amazon FSx for OpenZFS
  • Amazon FSx for Windows File Server
  • Amazon S3
  • Amazon S3 Glacier
  • AWS Storage Gateway

版本 1.6 DOP-C02