LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@JOINKO

AWS ANSに合格したので、直前で理解漏れていたポイントをまとめてみた

Posted at

AWS 合格しました

スクリーンショット 2025-03-04 200705.png

巷では最難関ともいわれていますが、個人的には難易度はDOP>SAPro>SCS>ANSという感じでした。
勉強時間は平日30分~1時間 休日2~3時間を1.5か月程度しました。

AWS ANS試験で躓きやすいポイント

注:あくまで試験用です。実際のサービスはアップデートあって今はできるよ!とかは普通にあります。

VPC

  • VPCピアリングはCIDR重複には使用できない。
  • CIDRが重複している場合は、AWS PrivateLinkを設定し、インターフェースエンドポイントで作成されたDNS名を使用して通信する。
  • BGPセッションの確立には、TCPポート179の通信が必要。
  • パブリックNATゲートウェイにはインターネットゲートウェイが必要。IGWがない場合は、プライベートNATゲートウェイを使用する。
  • S3ゲートウェイエンドポイントはVPC内のリソース向けに用意されており、オンプレミス環境からS3にアクセスする際はインターフェースエンドポイントを使用する。
  • VPC内のリソース間の到達性は、VPC Reachable Analyzerを使用して確認する。CloudTrailでNetwork ACL、ルートテーブル、セキュリティグループの変更を検知できる。

グローバルアクセラレータ

  • グローバルアクセラレータには2種類あり、複数のALBなどの宛先にルーティングしたい場合は、標準ではなくカスタムルーティングアクセラレータを使用する。
  • カスタムルーティングアクセラレータを使用する場合、Route53はレイテンシベースのルーティングを設定する必要がある。
  • Global AcceleratorのAnycast IPを利用することで、グローバルなユーザーが最小限のレイテンシでアクセスできるようになる。

PrivateLink

  • PrivateLinkはVPC間の通信をAWSの内部ネットワークを利用する仕組み。VPC間のきめ細やかなルーティングは、Transit GatewayよりもPrivateLinkを使用した方が良い。
  • PrivateLinkを利用する際はNLBが必要で、ALBを使用している場合は前段にNLBを挿入する。

Transit Gateway

  • Transit Gatewayはリージョナルサービスで、各トランジットゲートウェイをピアリングさせることができる。
  • 同じ仮想プライベートゲートウェイで終端する複数のVPN接続を作成でき、すべてのVPN接続を同時に使用するために等コストのマルチパス(ECMP)ルーティングを設定する。
  • マルチリージョン、マルチBUの場合は、Transit GatewayとVPCルートテーブルよりもAWS Cloud WANのセグメント機能を利用することで、BUごとにネットワークの論理区画を柔軟に作成できる。
  • トランジットゲートウェイとSD-WAN仮想ハブをネイティブに統合することで、複数のVPCを一元的に管理しやすくなる。

Route53

  • プライベートホストゾーンにはゾーン転送の概念はない。
  • DNSSECでは2種類のキーがあり、ZSKはゾーンを署名し、KSKはZSKを認証する。Route 53ではAWSがZSKを自動でローテーションし、KSKは手動で管理する必要がある。

Direct Connect

  • OSPFはサポートされておらず、BGPがサポートされている。
  • SiteLink機能を有効にすることで、Direct ConnectゲートウェイとトランジットVIFの既存の構成を利用しつつ、オンプレミス間のトラフィックをAWSバックボーン経由に切り替えられる。
  • Direct Connectそのものには暗号化の機能はないが、パブリックVIFを利用したSite to Site VPNで暗号化できる。

ネットワークファイアウォール

  • ステートフルルールグループのプレフィックスリストを参照することで、オートスケーリング時も常に最新の状態を保てる。

ELB

  • NLBでクロスゾーンロードバランシングをオフにすることで、同じアベイラビリティゾーン内に健康なターゲットが存在する限り、トラフィックをローカルに留めることができる。
  • GWLBを使用した構成では、ゲートウェイルートテーブルを適切に設定する必要がある。
  • ゲートウェイロードバランサー(GWLB)はレイヤー4のロードバランサーであり、ALBのようにヘッダーを見て処理することはできない。
  • Gateway Load BalancerはGeneveトンネル(ポート6081)を使用してトラフィックを転送し、ファイアウォールアプライアンスとの間でパケットをやり取りする。
  • ALBはIPアドレスを固定化できないため、固定化したい場合はプライベートNATゲートウェイを使用する。
  • ALB、CLB、CloudFrontはUDP処理ができない。
  • ALBにはCNAMEではなくエイリアスレコードを使用する。

その他

  • GuardDutyを使用して、過度に許可的なルールをモニタリングできる。
  • クライアントIPアドレスを伝えるヘッダーは「X-Forwarded-For」。

すごく参考になったサイト

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?