Temas de entrevistas de Cloud Architect

Habiendo entrevistado a docenas de candidatos, esta es una lista de temas que normalmente espero que cualquier arquitecto de la nube pueda responder. La atención se centra en la experiencia práctica, no en los diagramas y las preguntas del examen. Con ese fin, la mayoría de estas preguntas pueden revelar el alcance de la experiencia práctica de un candidato (publicado originalmente aquí en medium: https://medium.com/public-cloud-security/everyone-is-a-cloud-architect- f20328e1153e )

En los últimos años, he estado más involucrado en entrevistar a candidatos (así como también en entrevistas para puestos).

Con ese fin, esta publicación captura algunos de los temas que un verdadero arquitecto de la nube debería poder explicar en detalle.

Nota: puede usarlos en sus sesiones de entrevista, pero recuerde, esta publicación solo contiene ideas de temas, es decir, preguntas, sin las respuestas …

Temas de infraestructura en la nube, preguntas de la entrevista

Infraestructura intermedia: un túnel VPN se debe compartir entre varias cuentas (AWS), varios proyectos (GCP) o varias suscripciones (Azure). Dé dos formas diferentes de lograr esto con los pros y los contras de cada enfoque.

Infraestructura básica: describa un enfoque que solo permita a los usuarios autorizados de máquinas virtuales autorizadas acceder a los recursos de una suscripción.

Infraestructura básica: plantillas de lanzamiento, imágenes de máquina virtual personalizadas. Describir el caso de uso y las ventajas de crear plantillas de lanzamiento personalizadas a través de «imágenes doradas» personalizadas

Infraestructura básica: ¿el tráfico de Direct Connect (o Express Route o Cloud Interconnect) está encriptado? ¿Por qué o por qué no?

Infraestructura intermedia: grupos de Auto Scaling: necesito agregar diferentes tipos de instancias a mi grupo de AWS Auto Scaling. es posible? ¿Si es así, cómo?

Infraestructura avanzada: ¿cómo movería una máquina virtual de producción en vivo de una subred a otra? ¿Sin tiempo de inactividad?

Infraestructura avanzada: instancias de autoescalado basadas en el tamaño de la cola de SQS: supongamos que quiero generar instancias EC2 en función de la cantidad de mensajes en una cola de SQS… Para 10 000 mensajes, generar 2 instancias, 20 000 mensajes, generar 4 instancias… etc. . Una vez que la cola se haya procesado por completo, será necesario terminar las instancias. Describa cómo se podría lograr esto.

Temas de monitoreo en la nube, preguntas de la entrevista

Básico: determine rápidamente la última persona que inició sesión en la suscripción/cuenta.

Básico: ¿cómo crearía alertas vinculadas a un inicio de sesión de usuario específico?

Intermedio: ¿Qué servicios se podrían usar para verificar los recursos que no cumplen? ¿Y qué servicios podrían ayudarlo a remediar automáticamente esos recursos?

Temas de Cloud IAM, preguntas de la entrevista

Describa qué roles son necesarios para:

a) Básico: administre TODO, incluidos los usuarios de IAM y los recursos de la nube

b) Básico: acceso de lectura (auditoría) a todos los recursos de la nube

c) Intermedio — Auditar TODOS los eventos y recursos relacionados con la seguridad

d) Intermedio: realizar la remediación en los recursos

e) Intermedio: permite que un servicio PaaS (p. ej., RDS) escriba en un registro (p. ej., registro de Cloudwatch)

Cloud IAM Intermediate: describa cómo se puede otorgar acceso a los recursos alojados en la nube a un usuario FUERA de su organización.

Cloud IAM Intermediate: suponga que las claves de acceso a los recursos (por ejemplo, las claves de acceso EC2) NO pueden almacenarse en su computadora (ni en ningún recurso local). ¿Cómo se le puede proporcionar a un usuario acceso a los recursos de la nube que necesita?

Cloud IAM Intermediate: acceso entre cuentas. Los recursos de una cuenta A de AWS necesitan acceso a la cuenta B. (La misma pregunta para el acceso entre proyectos en GCP y el acceso entre suscripciones en Azure). ¿Cómo lograrías esto?

Cloud IAM Advanced: tokens a corto plazo. ¿Qué son los tokens a corto plazo? Diseñe una estrategia utilizando tokens a corto plazo que impida que cualquier ‘usuario humano’ realice una acción DIRECTA en un recurso de la nube (es decir, la acción tendría que ser realizada por otra identidad… ¿cuál sería?). ¿Cómo podría restringir aún más a ese ‘usuario humano’ para que solo solicite tokens de acceso desde una dirección IP local?

Alojamiento de aplicaciones de 3 niveles en la nube pública

¿Cómo asignaría cada nivel a AWS (o GCP/Azure)? Analice la escalabilidad horizontal y vertical de cada nivel.

El DNS dinámico le permite dirigir su dominio o un subdominio a un recurso que está detrás de una puerta de enlace que tiene una dirección IP asignada dinámicamente.

Describa el flujo de tráfico de una aplicación orientada a Internet alojada en AWS (o Azure, GCP). Cada capa puede ser un componente IaaS (por ejemplo, un dispositivo de firewall en una VM) O un servicio PaaS (por ejemplo, un servicio de firewall)

Servicios RDS (DBaaS)

RDS básico: ¿Qué NO puede hacer un DBA local en una instancia de RDS (o Cloud SQL o SQL Azure)?

Copia de seguridad y restauración de RDS: ¿puede restaurar bases de datos individuales en RDS?

Copia de seguridad y restauración de RDS: ¿las restauraciones de RDS son ‘punto en el tiempo’ o solo hasta la última instantánea?

RDS intermedio: proporcione al menos dos formas diferentes de mover datos a una instancia RDS/Cloud SQL/Azure SQL

RDS intermedio: ¿qué es una réplica de lectura? ¿Qué es una implementación multi-AZ? ¿Cuándo necesitas cuál?

Sin servidor (Azure Functions, AWS Lambda, GCP Cloud Functions)

Avanzado: depuración de funciones de Lambda: ¿es esto posible? ¿Si es así, cómo?

Avanzado: Lambda y tareas de ejecución prolongada: actualmente, Lambda tiene un límite de tiempo de ejecución de X minutos. Digamos que tiene una función de ejecución prolongada que requiere más de X minutos para ejecutarse. ¿Cómo diseñaría su Lambda + cualquier servicio de AWS para ejecutar esta función?

Seguridad de Infraestructura y Protección de Datos

Básico: ¿Qué servicio usaría para la detección de amenazas? ¿Para el escaneo de vulnerabilidades? ¿Para el inventario de activos en la nube?

Básico: describa cómo podría recibir una alerta sobre una amenaza a la infraestructura y cómo podría tener una solución automática (p. ej., una regla de firewall demasiado laxa)

Avanzado: los extremos de PaaS son públicos. ¿Cómo «bloquearía» un servicio PaaS, de modo que solo se pueda acceder a él mediante direcciones IP locales?

Intermedio: ¿Qué servicio usaría para la administración de certificados en AWS? GCP? ¿Azur?

Avanzado: describa cómo se puede aprovisionar y renovar un certificado para a) un servicio PaaS (p. ej., ELB, CDN, API Gateways) yb) un servidor (por ejemplo, una instancia EC2).

Intermedio: ¿Cuál es la diferencia entre una DEK (clave de cifrado de datos), una KEK (clave de cifrado de clave) y una CMEK (clave de cifrado administrada por el cliente)?

Avanzado: ¿Cómo usaría un servicio de cifrado en la nube para cifrar cargas de trabajo locales?

Resumen

De ninguna manera esta publicación tiene la intención de elegir el conjunto de habilidades específicas de la nube de nadie (cada uno de nosotros siempre está aprendiendo…). Y no pretende servir como una lista autorizada de preguntas de entrevista.

En mi opinión, cubre las bases. IAM, monitoreo, infraestructura básica, seguridad básica, alojamiento de aplicaciones de 3 niveles: estos son elementos esenciales.

Ciertos temas avanzados, como la creación de canalizaciones de datos, los clústeres de Kubernetes o las soluciones de mensajería avanzada que utilizan servicios nativos en la nube, no se incluyen intencionalmente en esta lista (aunque me encantaría escuchar su lista de preguntas en los comentarios a continuación).

Si bien la lista cubre temas «esenciales», solo algunas de las preguntas anteriores pueden responderse sin la experiencia práctica.

¿Pensamientos? ¿Comentarios? ¿Tiene un método favorito para medir el conjunto de habilidades de un arquitecto?