出題範囲
第 1 分野: ハイブリッド IT ネットワークアーキテクチャの大規な設計お
よび実装 24%
第 2 分野: AWS ネットワークの設計と実装 28%
第 3 分野: AWS タスクのオートメーション 8%
第 4 分野: アプリケーションサービスとのネットワーク統合の構成 14%
第 5 分野: セキュリティとコンプライアンスの設計と実装 12%
第 6 分野: ネットワークの管理、最適化、トラブルシューティング 14%
出題範囲
試験ガイド
出題サービス
Direct Connect
- Direct Connectを利用するために満たすべき要件
- 敷設の手続きや申請
- ①AWS Direct Connectコンソールから、新しい物理接続ごとに承認書と接続機能の割り当て(LOA-CFA)を個別にダウンロード可能。
- ②接続をリクエストすると、AWSは承認書と接続機能の割り当て(LOA-CFA)をダウンロードできるようにするか、詳細情報のリクエストをメールで送信
- ③接続を注文する時にAPNパートナーに注文
- APNパートナーのルータを使って接続
- 占有型
- VIFは自由に設定可能
- 帯域は1G、10Gを占有
- 共有型
- パートナーがVIFを設定
- 帯域はシェア
- 占有型
- 仮想インターフェース
- 物理接続 (1G or 10G)
- VIF 論理インターフェース
- ルータの間でBGPピアを確立
- VLAN ID
- クロスアカウントでの利用
- Connectionを所有するAWSアカウントから他のAWSアカウントに対してVIFを提供可能
- データ転送量は各アカウントに課金
- ルータで必要なサポート
- BGP
- MD5認証
- IEEE802.1Q VLAN
- ポートの自動ネゴシエーション無効化
- シングルモード光ファイバー接続
- Connectionを所有するAWSアカウントから他のAWSアカウントに対してVIFを提供可能
- 仮想プライベートゲートウェイ (VGW)
- Direct Connect Gateway(推奨)
- Transit Gateway
- すべてのトラフィックを 1 か所で管理して監視
- トランジット仮想インターフェイスを利用して接続
- Direct Connectがダウンした場合
- Cloudwatch メトリクスを使用して接続状態を確認
カスタマールーター
組織内の拠点間接続に通信事業者の閉域において、顧客側ネットワークのルーター
https://e-words.jp/w/CE%E3%83%AB%E3%83%BC%E3%82%BF.html
双方向フォワーディング検出
互いに隣接するルータが一定時間ごとにパケットを送り合って相手方と疎通しているか監視するための通信規約
https://e-words.jp/w/BFD.html
プライベート 接続
- Direct Connect Gateway(推奨)、仮想プライベートゲートウェイ
- プライベートIPで同じまたは異なるリージョンにあるアカウント内の1つ以上のVPCに接続可能
- プライベートVIFを使用して複数のVPCへ接続提供
- アタッチされているすべてのCIDRが広告される
- ジャンボフレーム(MTU=9001)をサポート
- 必要なパラメータ
- BGP ASN
- VLAN
- BGP Auth Key
- VGW仮想プライベートゲートウェイ
- 単一のVPC接続を提供
- CloudHub構成が必要な際に利用
パブリック接続
- パブリックIPでパブリックVIFを使用して中国を除く全リージョンのパブリックサービス (非 VPC サービス) の接続を提供
- オンプレのプレイベートアドレスをパブリックIPアドレスへNAT
- オンプレミスからパブリックサービスへの接続(S3やDynamo、kinesisなど)
- トランジットVIF
- トランジットVIFを使用しTransit Gatewayへ接続
- Direct Connectゲートウェイ経由でTGWへ
- VPC CIDRはそのまま広告されず、許可されたプレフィックスで指定した任意のCIDRが広告される
- ジャンボフレーム(MTU= 8500)をサポート
課金
- ポート使用量 + データ転送量(アウト)
- 接続したアカウント単位
BGP
BGPはWANで必要となる通信ルール
https://qiita.com/x5dwimpejx/items/2a84b3466c7b834d5853#lan%E3%81%A8wan
BGP セッションが起動しない場合
アドバタイズされたルートの数が 100 未満になるように、ルートを集約する
BGPコミュニティタグを利用するケース
AWS パブリック仮想インターフェイス (VIF) を介して特定のリージョンにアドバタイズおよび受信されるルートを制御する方法
https://aws.amazon.com/jp/premiumsupport/knowledge-center/control-routes-direct-connect/
ルート伝播
ルートテーブルに紐づいているルート伝搬を有効化した場合、VGWが持っているルートが自動反映される
https://www.guri2o1667.work/entry/2019/12/17/vgw%E3%81%AE%E3%83%AB%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6
Link Aggregation Group (LAG)
同じ帯域幅を使用、同じAWS DirectConnectエンドポイントで終了する必要があります。
単一のAWS Direct Connectエンドポイントで複数の接続を集約し、それらを単一のマネージド接続として扱うことができる論理インターフェイスです。
https://docs.aws.amazon.com/directconnect/latest/UserGuide/lags.html
VPN
- Site-to-Site VPN
- インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポート
- VPN接続でオンプレミスルーターで許可するプロトコル、 IPSecで使うプロトコル・ポート番号
- UDPポート500とIPプロトコル50
-
Site-to-Site VPNを冗長化
- Site-to-Site VPNは接続数に制限があるのでEC2でOpenVPN等利用する
- MarketplaceでサードパーティーのVPNソフトウェアを利用するなどを検討
- 静的ルーティングと動的ルーティングについて
- トラブルシューティング
- VPNの障害検知
- 作成後トンネルのステータスがDOWNのまま
- プレフィックスが同じ場合のDirectConnectとSite-to-SiteVPNの伝播ルートと静的ルートの優先順位
- AWS DirectConnect接続からのBGP伝播ルート
- サイト間VPN接続用に手動で追加された静的ルート
- サイト間VPN接続からのBGP伝搬ルート
- VPN、Direct Connectの選定
- VPNはネット経由でパブリックインターフェースを利用する、セットアップが早い要件
- Direct Connectは専用線経由のため、プライベート接続や通信速度などの要件 - Direct Connect リージョン間機能
- パブリック仮想インターフェイス経由でIPsecVPNを別リージョンにデプロイできる
- オンプレ側からVPN経由の直接アクセス
- AWS側からオンプレ経由のアクセス
- EC2でVPNを終端する
- VPN CloudHub
金融サービス会社は、既存のAWSDirectConnect接続を介してオンプレミスのデータセンターからAWSクラウドに機密データを移行しています。会社は、AWSVPCに転送されるデータの機密性と整合性を確保する必要があります。オンプレミスデータセンターとAWSの間に最も費用効果の高い接続を設定するには、次のオプションのどれを組み合わせる必要がありますか?
- 仮想プライベートゲートウェイを使用してVPCを作成
- ダイレクトコネクト接続でパブリック仮想インターフェイスを設定
- カスタマーゲートウェイアプライアンスと仮想プライベートゲートウェイの間にIPsecトンネルを作成
ソーシャルメディア会社がAWSSite-to-SiteVPNをインストールしましたが、ネットワーキングチームは、VPNトンネルが不安定であるか、カスタマーゲートウェイデバイスでトンネルステータスが頻繁にダウンしていることに気付きました。
この問題に対処するには、ネットワークチームはどの手順を実行する
- 5秒ごとにVPC内のインスタンスにICMP要求を送信するホストを作成します
- カスタマーゲートウェイデバイスは、デッドピア検出(DPD)メッセージを受信して応答するように設定されています
課金
- VPN接続時間
冗長構成
-
アクティブ/アクティブでの冗長化
- 一方の接続が使用できなくなった場合、すべてのトラフィックはもう一方の接続へルーティングされるようセットアップ
- トラフィックはフローに基づいてインターフェイス間で負荷分散
-
Link Aggregation Group(LAG)
- 複数の1Gbpsまたが10GbpsのConnectionの集約し一つの論理インターフェースとして提供される
- デュアルロケーション
- 東京、大阪などロケーションで分散
- DirectConnect Gatewayを使ってリージョン側も東京、大阪で分散するなど
-
-
1つの接続がトラフィックを処理し、もう1つの接続がスタンバイでセットアップ
-
アクティブが使用できなくなった場合、すべてのトラフィックはスタンバイを介してルーティングされる
- 例) Direct Connectの複数回線接続、VPN接続をバックアップ回線で接続するなど
-
Direct Connect/VPNの場合
- 常にDirect Connect側が優先される
- Direct Connect と VPC への VPN 接続の両方に、同じ仮想プライベートゲートウェイを使用
- BGP VPN を設定している場合、Direct Connect と VPN に同じプレフィックスをアドバタイズするようにカスタマーゲートウェイを設定
-
Direct Connect/Direct Connectの場合
- プライベートASNを利用
- カスタマーゲートウェイがプライマリ接続で長いプレフィックスをアドバタイズしていることを確認
- 両方のインターフェイスがUPで、長いプレフィックスがプライマリ接続でアドバタイズされている場合
- トラフィックはプライマリ接続を介してカスタマーゲートウェイに送信される。
- 障害が発生した場合
- トラフィックはシフトされ、セカンダリ接続に送信されます
- パブリックASNを利用
- 両方のBGPセッションで同じプレフィックスをアドバタイズするようにカスタマーゲートウェイを設定
- セカンダリ接続のBGP属性に追加のAS_Pathプレフィックスを付けてオンプレミスのパブリックプレフィックスをアドバタイズする
- プライマリ接続のLocalPreferenceを増やす
- プライベートASNを利用
-
その他条件が同じ場合での優先度
- ロンゲストマッチ(宛先ネットワークがより詳細に絞り込まれているルート)
- Site to Site VPNで静的ルートとBGPルートでは、静的ルートが優先
- BGPルートの中ではAS PASHが最短のものが優先
- AS PATHが同じ場合はMEDが最小のものが優先
- BGPパス属性を用いた経路制御
- 経路優先度(MED値、LocalPreference、AS_PATH Prepend)
- BGP LP(Local Preference)を付与し送信トラフィックを制御
- LPは数字が大きいほうが優先
- BGP AS-Path Prependを付与して受信トラフィックを制御
- Prependはなしが優先
- BFD
- 高速に障害を検知する
- 状態検出は最低300ミリ秒
- ルータOSでGraceful Restartの併用すると検出できないので、無効とする。
-
Route53
-
DNSサーバとは
- ネームサーバ
- ルートを起点にFQDNを探索できるように構成された分散データベース
- ルートサーバは権威DNSサーバ/Authoritativeサーバと言われる
- フルサービスリゾルバー
- ルートから順にネームサーバに問い合わせ、得られた回答を問い合わせもとに返す機能を有するサーバ実装
- 効率化のため、TTL(キャッシュ)を保持する
- 反復問い合わせ
- 自らがネームサーバを辿る際に行う問い合わせ
- 再帰問い合わせ
- 問い合わせ先に反復問い合わせを依頼する問い合わせ
- スタブリゾルバー
- OSに組み込まれたDNSクライアント実装
- ルートからネームサーバを辿る反復問い合わせ機能を持たないため常に再帰問い合わせを行う
- キャッシュ有無は実装に依存
- 複数のDNSサーバに対して、ドメイン毎に振り分けたり、同時に利用は機能としてない。
- 順番に問い合わせする
- フォワーダー
- 受け取った問い合わせをルールに基づいて中継する
- ルートからネームサーバを辿る反復問い合わせの機能を持たないため、常に再帰的問い合わせを行う
- 効率化のためTTLキャッシュを保持する
- インターネット向けネームサーバと内部ネットワーク向けネームサーバで同じドメイン名を利用している場合に両方を参照はできない
- ドメインやホスト名を分ける必要なデータを同期させるなどの工夫が必要
- AWSと名前空間
- インターネット向け
- VPC向け
- オンプレ向け
- ネームサーバ
-
Amazon Route 53 Hosted Zone
- パブリック
- インターネット上に公開されたDNSドメインのレコード管理
- プライベート
- VPCに閉じたプライベートネットワーク内のDNSドメインのレコード管理
- パブリック
-
ネットワークアクセス制御
- プロトコルUDP、TCP 、ポート53
-
リソースレコードタイプ
- SOA- ゾーンの起点と管理情報を示す
- Zone Appex(サブドメインを含まない)
- NS - ネームサーバを指し示す
- ゾーン自身と親ゾーンの両方の定義
- A/AAAA - IPv4はA
- IPv6はAAAA
- CNAME - 名前解決を置き換える
- ホスト名に別名をつける
- Zone ApexにはCNAMEは定義できない
- エイリアスレコード(Route53固有機能)
- サブドメインを含まないドメイン名でサービスをホストできる
- PTR
- サブドメインを含まないドメイン名でサービスをホストできる
- エイリアスレコード(Route53固有機能)
- IPアドレスからFQDNを逆引きする
- メールサーバは逆引き設定しないと受け取ってもらえないなど
- TTL - 正常応答のキャッシュの限界時間を指定
- 不存在応答のキャッシュはネガティブキャッシュと呼ばれる
- トラフィックルーティング - シンプル
- DNSラウンドロビン
- 加重
- R53でレイテンシーと加重レコードを組み合わせたい
- アプリケーションをオンプレからAWSに徐々に移行させたい
- 加重レコードでオンプレとAWSに別々の重みをつける
- ABテスト、段階的な移行
- ファイルオーバー
- ヘルスチェックの結果に基づいて利用可能なリソースのみ応答
- 復数値回答
- レイテンシー
- 復数のリージョンでアプリケーションがホストされている場合のレイテンシー最適化
- 位置情報
- 特定の地域、国から特定アドレスに応答
- 物理的近接性
-
会社のネットワークからS3にアクセスしたいが会社のファイアウォールはホワイトリスト形式で外部への通信を許可してる
- ip-range.jsonからIP範囲取得してファイアウォールに登録する -
10.0.0.0/16内で有効なDNSアドレス
- 10.0.0.2 と 169.254.169.253 -
Amazon Route 53 Resolver
- VPCに標準で備わるDNSサーバ(フォワーダー+フルサービスリゾルバー)
- デフォルトで有効、IPアドレスはDHCPで自動的に配布
-
Amazon Route 53 Resolver for Hybrid Clouds
- 以前はVPC上にフォワーダーを構築、DNSの参照先をフォワーダーに変更
-
オンプレからR53プライベートホストゾーンを名前解決したい場合
- プライベートホストゾーンはVPC内からしか解決できないので、VPC内にDNSフォワーダー構築
- Route53リゾルバがあるが選択肢にないため、DNSフォワーダをVPCのEC2で用意する
-
Route53使用しているDNSトラフィックの監視
- CloudwathcLogsに記録できる
- リクエストされたドメインまたはサブドメイン
- リクエストの日時
- DNSレコードタイプ(AやAAAAなど)
- DNSクエリに応答したRoute53エッジロケーション
- NoErrorやServFailなどのDNS応答コード
- 料金
- Route 53 Resolver
- VPC内のインスタンスからのDNSクエリは無料
- VPC外からのDNSクエリは受けつけない
- Route 53 Resolver
- CloudwathcLogsに記録できる
-
ローカルゾーン
- レイテンシに敏感なアプリケーションやサービス、ワークロードがターゲット
- EC2インスタンス(T2, C5, M5, R5, R5d, I3en, G4)
- EBS(io1, gp2)
- Windows ファイルサーバー用 Amazon FSx
- Lustre用 Amazon FSx
- ALB
- VPC
- レイテンシに敏感なアプリケーションやサービス、ワークロードがターゲット
zone apex
ルートドメイン。CNAMEレコードを設定することはできない
ホストゾーン、Public Hosted Zone、Private Hosted Zone
ドメイン、サブドメイン内のDNSリソースレコードを管理するコンテナ
ホストゾーンの中にDNSリソースレコードを登録
Public Hosted Zoneはインターネット上に公開されたDNSドメインのレコードを管理するコンテナ
Private Hosted ZoneはVPCに閉じたプライベートネットワーク内のDNSドメインのレコードを管理するコンテナ
https://dev.classmethod.jp/articles/re-introduction-2020-route-53-hosted-zone/#toc-5
Private Hosted ZoneはNSレコードを使えない
ネームサーバー
ドメインとWebサーバーやメールサーバーを結びつけるための名前解決をするサーバーです。
https://qiita.com/take_o/items/5c5c349152023dc3bae3
エイリアスレコード
AWSリソースがデフォルトで持っているDNS名をIPアドレスの代わりに入力できるようにしてくれるのがエイリアスレコードです。
https://dev.classmethod.jp/articles/amazon-route-53-alias-records/
VPC
- ルーティング
- 最長プレフィックス > 静的ルート >ダイレクトコネクト > VPN
- 伝播ルートの送信先が静的ルートの送信先と同じ場合、ターゲットが以下だと静的ルートが優先される
- インターネットゲートウェイ
- NAT ゲートウェイ
- ネットワークインターフェイス
- インスタンス ID
- ゲートウェイ VPC エンドポイント
- トランジットゲートウェイ
- VPC ピア接続
- Gateway Load Balancer エンドポイント - ゲートウェイエンドポイント
- AWSネットワークを介してVPCからAmazonS3にアクセスするためにルートテーブルで指定するゲートウェイ
- インターフェイスエンドポイント
- プライベートIPアドレスを使用して、VPC内、オンプレミス、またはVPCピアリングまたはAWS TransitGatewayを使用して別のAWSリージョンのVPCからAmazonS3にリクエストをルーティングすることにより、ゲートウェイエンドポイントの機能を拡張します
- VPCやサブネットの最小範囲
- VPCピアリングのMTU (Maximum Transmission Unit)は1500
- DHCPオプション、DNSサーバーIP
- リンクローカルアドレス(169.254.0.0/16)
- 169.254.169.123 (ntp)
- 169.254.169.253 (DNS)
- 169.254.169.254 (メタデータ)
- ハイブリッド環境, リージョン跨ぐケースのSecurityGroup, NACL制御
- Transit VPCが好ましいやつ
- VPCの数が9 * 11アカウントあるケース拡張性を考えたVPC設計
- TransitGatewayは出ない
- NACL や SG 関連のは基本問題
- アウトバウンドできない場合。
- メタデータにアクセスしたい場合。
- DHCPオプションセット
- VPC内のインスタンスでオンプレにあるNTPサーバーを参照させたい
- VPC内のインスタンスでオンプレのDNSサーバーを参照させたい
- DHCPオプションセットは作成後に設定変更できない
- 設定変更したい場合は再作成して、置き換える必要
- 今後もVPCが増えるからVPCピアリングを自動化したい
- ピアリングの承認リクエストを含むCloudFormationテンプレートを作る
- VPC(EC2とかRDS含む)の変更を監視したい
- Config・Lambda・SNSを組み合わせる
- VPC Peering
- 複数の VPC をつなげると言ったら VPC Peering
- VPC-A(10.0.0.0/16)とVPC-B(10.0.0.0/16)は同じアドレス範囲を持っていて、それぞれがVPC-C(172.16.0.0/16)とピアリングしている。
- VPC-CがVPC-AとVPC-Bに存在するインスタンスとピアリング接続を使って通信するにはどうすればよいか
- VPC-Cでサブネットとルートテーブルを分ける(VPC-Aと通信するサブネット・ルートテーブル/VPC-Bと通信するサブネット・ルートテーブル)
- Transit VPC の使い方的な。VPC Peering とどう違うか使い分けるか
- SGとNACLで80のイン/アウト許可してるのにサイトにアクセスできない
- プライベートサブネットにあるインスタンスを特定のURL(ドメイン)にだけアクセス許可したい
- VPCのLambdaからSQSにアクセスしたい
- ソフトウェアのライセンスがMACアドレスに紐づけられる、AWSに移行できるの?
- VPCのENIは固定MACアドレス
- SG、NACL共にTCP80インバウンドあけてるがwebサーバーへアクセスできない。
- 一時ポート(NACLアウトバウンド1024-65535)あける
- CIDRブロック33.16.0.0/16のアドレス不足。拡張するためのCIDRブロックは?
- 33.17.0.0/16 と 100.70.0.0/17
- VPCフローログ
- VPCのネットワークインターフェイスとの間で送受信されるIPトラフィックに関する情報を取得できるようにする機能
- フローログデータは、Amazon CloudWatchLogsまたはAmazonS3に公開可能
- VPC、サブネット、またはネットワークインターフェイスに設定できる
- 過度に制限されたセキュリティグループルールの診断
- インスタンスに到達しているトラフィックを監視する
- ネットワークインターフェイスとの間のトラフィックの方向を決定する
- エフェメラルポート:用途が決まっていないポート
- Linuxカーネル(Amazon Linuxカーネルを含む)はポート32768-61000
- Elastic Load Balancingから発信されたリクエストはポート1024〜65535
- Windows Server 2003を介したWindowsオペレーティングシステムは、ポート1025-5000
- Windows Server 2008以降のバージョンは、ポート49152〜65535
- NATゲートウェイは、ポート1024〜65535
- NAT GW
- ErrorPortAllocationの改善
- TCPキープアライブの実装とNATゲートウェイの追加
- NAT経由でS3にファイルアップロードしてるがピーク負荷時に転送が遅い
- S3エンドポイントを使う
- NAT GWのコスト
- 時間単位、データ処理料金
- ErrorPortAllocationの改善
3つのVPCがピアリング
VPCは同じAWSアカウントにあり、重複するCIDRブロックはありません。
各VPCのルートテーブルは、ピアVPCのCIDRブロック全体にアクセスするために、関連するVPCピアリング接続を指します。
https://docs.aws.amazon.com/vpc/latest/peering/peering-configurations-full-access.html#three-vpcs-full-access
サポートされていないVPCピアリング
重複するCIDRブロック
推移的なピアリング
等
https://docs.aws.amazon.com/vpc/latest/peering/invalid-peering-configurations.html#edge-to-edge-vgw
VPCピアリングするためのCfnテンプレート
VPCがピアリングコネクションの設定、ルートテーブルの設定
https://aws.koiwaclub.com/exam/ans/ans30-001/
1 つの VPC がプレフィックス最長一致を使用して 2 つの VPC とピアリング接続
ipが被っている物しかない方には被った物を使う
ipが被っている物とユニークなipを持っている物にはユニークなものを使う
https://docs.aws.amazon.com/vpc/latest/peering/peering-configurations-partial-access.html#one-to-two-vpcs-lpm
プライベートホストゾーンへのVPCの追加設定
VPCにDNSフォワーダーをインストールする必要がある
https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs.html
最大VPCピアリング接続数
125
https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-peering
DHCPオプションセット
変更できない
VPCに関連付けることができるDHCPオプションのセットは1つだけ
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html#DHCPOptions
ELB
- 負荷分散するためにロードバランサー使いたいけど静的IPという要件がある
- ALBを使って、test.example.com・www.example.com・example.comをそれぞれ別のサーバーにルーティングしたい
- ELBからRDSまでの通信をすべて暗号化したい
- ELBとAutoScaling組み合わせてるがスケールイン時に接続が切れることがある
- Connection Drainingを設定する
ELBのX-Forwarded-For
クライアントのIPアドレスを取得できます。
https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/x-forwarded-headers.html#x-forwarded-for
ALBのパス条件
ALBのホスト条件
ELBのアクセスログ
ロードバランサーに送信されたリクエストに関する詳細情報をキャプチャ
https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html
ALBのパスベースのルーティング
ALBだけHTTP ヘッダーベースのルーティング可能
https://aws.amazon.com/jp/elasticloadbalancing/features
NLB
非ウェブアプリケーションのトラフィックを負荷分散するのに最適
NLBのクライアント IP の保存
すべての着信トラフィックのクライアントIPが保持され、アプリケーションに提供されます。
X-Forwarded-Forしなくても良い
https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html#client-ip-preservation
ロードバランサーの静的IPアドレスのサポート
CLBでSSL相互認証する時のポート
TCP
Global Accelerator
- グローバルユーザーに提供するアプリケーションの可用性とパフォーマンスを向上させるのに役立つネットワーキングサービス
- カスタムルーティングアクセラレータ
- 1人または複数のユーザーを単一または複数のAWSリージョン内の特定のAmazonEC2インスタンスの宛先に決定論的にルーティング可能
- ユーザートラフィックがEC2インスタンスのどのセッションに送信されるかを制御するユースケースに役立ちます
S3
- VPC Endpointの設定
- オンプレからのs3エンドポイントへのアクセス
- Cross-Origin Resource Sharing (CORS)
Config
- 構成変更を検知した場合の通知方法
- Lambda と SNS
- 3リージョン*3アカウントでAWS Config設定するときに運用コスト低い方法
EC2
- EC2パフォーマンス最適
-
拡張ネットワーキングの有効化と拡張ネットワーキングに対応しているインスタンスタイプを使う
- シングルルート i/o 仮想化
- MTUを9001に設定
- ファイアウォールルールでブロックしているインスタンスのメタデータアクセスの許可
- アウトバウンド、 プロトコルTCP、 宛先169.254.169.254、 宛先ポート80
- アプリケーションから送信されているパケットを検査してエラーを追跡
- IDS/IPSを実装したい
- DeepSecurityとかのエージェント入れる
- IDS/IPSを実装したい
-
拡張ネットワーキングの有効化と拡張ネットワーキングに対応しているインスタンスタイプを使う
インスタンスメタデータの取得
http://169.254.169.254/latest/meta-data/から取得
ポートは80
https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/instancedata-data-retrieval.html
プレイスメントグループ
ネットワークパフォーマンスが向上する
https://qiita.com/blackpeach7/items/26facf04b6c4eae79529
単一のアベイラビリティーゾーン内のレイテンシーを良くする
https://dev.classmethod.jp/articles/ec2-placement-group/
プレイスメントグループ、拡張ネットワーキングとの違い
拡張ネットワーキングはインスタンス間のネットワークパフォーマンスに関係ない
https://aws.koiwaclub.com/exam/ans/ans30-006/
拡張ネットワーキング
より高いI / Oパフォーマンスとより低いCPU使用率を提供する
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html
HVM
拡張ネットワーキングはHVM上のVPCのみで動作する
https://dev.classmethod.jp/articles/ec2-migration-to-hvm/#toc-3
https://aws.koiwaclub.com/exam/ans/ans08-003/
AWS WAF
- CloudFrontのオリジンにALBを使ってるがALBのDNS名でアクセスされることを懸念している
cloudfront
- CloudFrontでCookieを検査したい
- CloudFrontでヘッダーを追加したい
- ドメイン名が既存のCloudfrontディストリビューションを指すように、Route53で作成する必要があるレコードは
- エイリアスレコード
- 負荷試験
- 複数の地理的リージョンからクライアントリクエストを送信
- 各クライアントが独立したDNS要求を行うようにテストを構成
地域制限
国レベルでアクセス制限できる
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html
SSL/TLS 証明書を使用するための要件
ビューワーと CloudFront との間の HTTPS化
信頼された認証機関が提供する証明書、またはACMが提供する証明書
CloudFront とオリジン との間の HTTPS化
オリジンがELBの場合、ACMが提供する証明書利用可、その他の場合は信頼された認証機関が提供する証明書
自己署名証明書は利用できない
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-requirements.html#https-requirements-certificate-issuer
ダウンロードディストリビューション
HTTPまたはHTTPSを使用してコンテンツを配信します。
https://dev.classmethod.jp/articles/getting-started-amazon-cloudfront/
ストリーミングディストリビューション
アドビシステムズ社のFlash Media Serverとリアルタイムメッセージングプロトコルを使用してデジタルメディアを提供しています。
https://dev.classmethod.jp/articles/getting-started-amazon-cloudfront/
ディストリビューション
CloudFront利用するために必須のもの
https://www.sunnycloud.jp/column/20210614-01/
クエリ文字列
サーバーに情報を送るためにURLの末尾につけ足す文字列(変数)のことです。
https://online.dhw.co.jp/kuritama/query-string/
一部のWebアプリケーションは、クエリ文字列を使用して情報をオリジンに送信します。
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/QueryStringParameters.html
CloudFormation
- 外部IPアドレス管理(IPAM)を時前でやるケース、templateから何を使ってIP CIDR決めるか
- カスタムリソースを活用して、外部IPアドレス管理(IPAM)サービスからCIDR範囲をリクエストします- IPAMとの連携するために使う関数
- AWS :: CloudFormation :: CustomResource
- IPAMとの連携するために使う関数
- CloudFormationでVPCピアリング設定する際に必要なコンポーネント
- VPCがピアリングコネクションの設定、ルートテーブルの設定
- PeerRoleArnとRoute
Simple AD
- Samba 4 ActiveDirectory互換サーバーを搭載したスタンドアロンの管理対象ディレクトリ
- 最大500ユーザー(ユーザー、グループ、コンピューターを含む約2,000オブジェクト)をサポート
- 最大5,000ユーザー(ユーザー、グループ、コンピューターを含む約20,000オブジェクト)をサポート - AWS DirectoryServiceがユーザーに代わって2つのドメインコントローラーとDNSサーバーを作成
- ドメインコントローラーは、VPCのさまざまなサブネットに作成される
- 冗長性により、障害が発生した場合でもディレクトリにアクセス可能
- 非対応
- 多要素認証(MFA)
- 他のドメインとの信頼関係
- Active Directory管理センター
- PowerShellサポート
- Active Directoryリサイクルビン
- グループ管理サービスアカウント
- POSIXのスキーマ拡張
- Microsoftアプリケーション
WorkSpaces
- デスクトップ仮想化サービス
- インターネットアクセスが必要
- TCP portの443と4172、そしてUDP portの4172がインターネットに向けて解放が必要
- アーキテクチャやネットワーク要件(AZ/IGW/subnet/CIDR/AD等)
- WorkSpacesにアクセスできるIPを制限したい
- IPアクセスコントロールグループ - アクセスコントロールグループ
- トラブル
Wireshark
- 詳細パケット検査するネットワークモニタリングプログラム
- VPCフローログでは情報が少ない場合に利用
- 個々のパケットの通信内容を直接確認できるほか、プロトコルの種類やアドレス、ポート番号などを表示することができる
https://e-words.jp/w/Wireshark.html
CloudHSMのクラスター構成
クラスタに複数のCloudHSMを利用する
https://docs.aws.amazon.com/cloudhsm/latest/userguide/clusters.html
Amazon AppStream 2.0
AWS Directory Service
Squid
プロキシサーバ(Proxy Server)、ウェブキャッシュサーバ(Web Cache Server)などに利用されているオープンソースソフトウェア
EMRのプライベートサブネットへの配置
EMRとS3の通信
EC2がインターネットに接続できないときの解決方法
PV HVM 違い
ClassicLink
ip-ranges.json
ENA
シングルルートi/o仮想化
ジャンボフレーム
拡張ネットワーキング
EC2インスタンスでのプロキシ設定
EBS最適化インスタンス
DNSフォワーダー
オンプレミスDNSとAmazonVPCの間でDNS解決を設定する方法
DynamoDBとEC2の接続
https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/vpc-endpoints-dynamodb.html
https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/vpc-endpoints-dynamodb.html
Cookieに基づくコンテンツ配信
同一の AWS リージョンでのデータ転送
コンテンツのレスポンスヘッダーにHTTPセキュリティヘッダーの追加
ネットワークの最大送信単位 (MTU)
NATゲートウェイで ErrorPortAllocation エラー
TCPキープアライブを利用する。
追加NATゲートウェイを追加する。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/vpc-resolve-port-allocation-errors/
NATインスタンスの送信元/送信先チェック