Advanced Networking - Specialty (ANS-C01) 合格 学習レポート
前提
Advanced Networking - Specialtyに合格したので、学習した内容を記録します。
Direct Connect
オンプレとAWS間を専用線で繋ぐサービス
基本的な機能
ASが少ない方が優先
MED利用不可
LP属性 大きい方が優先
BFD 障害検知する機能
プレフィックス 多い方が優先
Local Pref より具体的なプレフィックスが優先される
BGPコミュニティ
7224:9100 DirectConnectと同じリージョンから送信されるトラフィック
7224:9200 DirectConnectと同じ大陸から送信されるトラフィック
7224:7300 7224:7200 7224:7100 フェイルオーバーの優先順位をつける時に使用する。数字が大きいほど優先順位が高いBGPセッションを確立する為、TCP179、エフェメラルポートが許可されている必要がある
制限
プライベート仮想インタフェースのプレフィックス数が100未満である必要がある
お客様ネットワークは、以下である必要がある
1Gbpsシングルモードファイバーインタフェース
802.1QVPN
BGP MD5認証
MacSecを利用する場合
接続関連付けキー(CAK)と接続関連付けキー(CKN)の設定が必要
オンプレのルーターにMACSecシークレットキーを設定する
CKN/CAKペア関連付け後、暗号化モードを設定する
暗号化モードは以下が存在する
shoud_encrypt:暗号化できない時も通信できる
Must_encrypt:暗号化必須
no_encrrypt:暗号化しない
LAGを利用する場合
DirectConnetが同じ帯域幅であり、同じAWSエンドポイントで終了する必要がある
DirectConnect SiteLink
DirectConnect Gatewayをハブとして、オンプレ間通信を可能とする
フェイルオーバー優先順位について
リージョンに複数パスがある時:AS_PASH
別リージョン、アクティブ/パブリッシュの場合:BGPコミュニティタグで制限
Direct Connect Gateway
複数リージョンのVPCへの接続が、1つのDirect Connectで可能
Site to Site VPN
AWSが提供するVPNサービス
基本的な機能
アクセラレーションを有効:Transite Gatewayを利用して転送速度を向上させる。既存のVPNに対して有効にできない為、有効にする場合は、Site to Site VPNを再作成する必要がある
IGMP:マルチトラフィックを管理する
JumboMTU:ネットワークパフォーマンス向上
Transit Gateway
オンプレとAWSをつなぐ中継ハブ的な役割をする
基本的な機能
アプライアンスモード:トラフィックの検査を精密にする
ピアリングにより、リージョン間のルーティングが可能
VPCピアリング
異なるリージョン:設定可能
異なるアカウント:設定可能
Cloud WAN
VPCアタッチメント:アタッチメントポリシーでマッピングを制御。100と200の時、100が優先
Global Accelerator
単一のアクセレーターで複数のエンドポイントを設定
静的IPを提供
ALBと統合し、クライアントのIPを保持できる
CloudFront
ウェブコンテンツの配信を高速化するサービス
CloudFront経由の通信をHTTPS通信する場合
ビューア→CloudFront
CloudFrontにCA証明書または、デフォルト証明書を適用CloudFront→オリジン
オリジンがELB:ACM発行の証明書適応化
オリジンがEC2:CAが提供する証明書が必須
オリジンのS3アクセスを制限する場合
OAIを使ってS3アクセスし、ビューアーのアクセス制限より署名付きURLを作成する
Route53
AWSが提供するDNSサービス
Route53 Resolver DNS Firewall
フェールオープンを有効にするとDNS Firewallから応答されない時にクエリ通過する
VPC内からアウトバウンドのDNSリクエストを保護する
キー署名キー (KSK)
作成する為にカスタマーマネージドキーのアクセス権が必要
カスタマーマネージドキーは、非対称である必要がある
HwalthCheck
CloudWatchAlarmに基づきヘルスチェックを作成できる。例えば、EC2に異常が発生した場合、ヘルスチェックを検知する際は、EC2のメトリクス(statuscheckfailed)を監視するCloudWatchAlarmを作成し、Alarm状態になった場合にヘルスチェックをFalseにすることができる
ELB
AWSが提供するロードバランサー
制限
エンドツーエンドで暗号化する場合、NLBのリスナーをTCPにする必要がある
アクセスログはS3のみ出力可能
gRPCプロトコルはALBのみ対応
トラフィックミラーリングのミラーリング先はNLBはサポート。ALBは非対称
NLBで送信元のクライアントIPを保持する場合
IP指定:Proxy Protocolを有効にする必要がある
ID指定:保持される
ALB Forward Secrety(FS)
セッションごとにランダムなキーを生成し、暗号化されたデータを保護する
EC2
AWSが提供するサーバ
基本的な機能
シングルルート I/O 仮想化
低レイテンシーとネットワークパフォーマンスを向上ジャンボフレーム
VPC内の通信のみ可能メタデータを取得する場合、アウトバウンドに169.254.169.254 80ポートを許可する
EC2から特定のURLのみS3にアクセスする場合
VPCエンドポイントもしくは、NATインスタンスでSquidプロキシを実行する
WAF
コンテンツのアクセスを制御するサービス
基本的な機能
CloudFrontとALBに適用する事が可能
VPC
セカンダリサブネットは、以下のCIDR範囲は追加できない
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 198.19.0.0/16 100.64.0.0/10
VPC Reachablity Analyzer
ネットワーク診断を提供するサービス
VPC内またはVPC間での到達性を調査する際に役立つ
Amazon Inspector
ソフトウェアやネットワークの露出の脆弱性を管理する
AWS Netwark Manager Rute Analyzer
Transit Gateway間の通信問題を診断するのに役立つ
VPCフローログ
pkt-srcaddr、pkt-dasaddrフィールドにより、送信元と送信先の情報がログから確認できる
ネットワークトラフィックのメッセージ本文やより具体的なネットワークトラフィックを確認する際は、トラフィックミラーリングを利用する
S3、CloudWatchロググループに出力可能
その他機能別
ジャンボフレームMTU
IGW、VPN、VPCピアリングは最大1500バイトに制限される
マルチトラフィック
VPCピアリング:非対応
Transit Gateway:対応
トラフィックの優先順位
最長プレフィックス
DirectConnect BGPルート
スタティックルート
VPN BGPルート
DNSルックアップ
ポート53 TCPとUDPを許可する必要がある
SD-WANとAWSを統合
GREやBGPプロトコルを使用してSD-WANに拡張する事ができる
監視サービスの選択
リソース間の接続性を確認する場合:VPC Reach Analyzer
Transit Gateway自体のルーティングを確認する場合:Transit Gateway Netwak Manager