More than 1 year has passed since last update.

AWS認定高度なネットワーキング専門知識勉強メモ

Last updated at 2022-07-11Posted at 2022-07-11

はじめに

AWS認定高度なネットワーキング-専門知識受験のために整理した勉強メモです。

受験当時の私の知識がベースになっているため、網羅的な内容になっていないことをはじめにお断りしておきます。

参考文献
要点整理から攻略する『AWS認定高度なネットワーキング-専門知識』
受験日
- 2022年6月25日

リージョン

リージョン間の通信は物理レベルで暗号化されている

AZ

AZ IDで識別する
- https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-regions-availability-zones.html#az-ids

VPC

CIDRブロック
- /8-/28の範囲
- RFC1918のプライベートIPアドレス範囲
  - 10.0.0.0/8 (10.0.0.0 - 10.255.255.255)
  - 172.16.0.0/12 (172.16.0.0 - 172.31.255.255)
  - 192.168.0.0/16 (192.168.0.0 - 192.168.255.255)
- グローバルCIDRブロックも可能
セカンダリCIDRブロック
- プライマリCIDRブロックのIPアドレス範囲に対して、他のRFC1918のIPアドレス範囲および198.19.0.0/16は追加できない
- https://docs.aws.amazon.com/vpc/latest/userguide/configure-your-vpc.html#add-cidr-block-restrictions
DHCPオプションセット
- DNSサーバ
- EC2インスタンスに付与されるカスタムドメイン名
- NTPサーバ
- NetBIOSサーバ
- NetBIOSノードタイプ
Egress-Onlyインターネットゲートウェイ
- IPv6アドレスでインターネットにアクセスできるが、インターネットからはアクセスできない
- ステートフル（戻り通信可能）
- NATゲートウェイのIPv6版みたいなもの
VPCエンドポイント
- インタフェースとインタフェースは互いに通信できる
- ゲートウェイとインタフェースは互いに通信できる
- ゲートウェイとゲートウェイは通信できない
VPCフローログ
- 対象はVPC, サブネット, ENI
- S3とCloudWatch Logsに出力
Managed Prefix List
- https://dev.classmethod.jp/articles/amazon-vpc-prefix-list/
- CloudFormationのカスタムリソースでLambdaで取得するなど
NATゲートウェイ
- 同一の宛先に最大55000同時アクセス可能
- 最大45Gbps
- それ以上のパフォーマンスが必要な場合、NATゲートウェイを増設する

EC2

インスタンスメタデータ
- http://169.254.169.254/latest/meta-data/
- 認証情報はインスタンスメタデータから取得
プレイスメントグループ
- クラスタプレイスメントグループ
  - グループ内のEC2インスタンス同士は物理的に密接して配置
  - グループ内のEC2インスタンスは全て同一AZにある必要
- スプレッドプレイスメントグループ
  - グループ内のEC2インスタンス同士は別の物理ラックに配置
- パーティションプレイスメントグループ
  - 論理的なパーティションでグループを分割
  - 異なるパーティション同士は別の物理ラックに配置
ジャンボフレーム
- 以下の場合は1500になる
  - インターネットゲートウェイ経由のトラフィック
  - リージョン間 VPC ピアリング接続経由のトラフィック
  - VPN接続経由のトラフィック
  - EC2-Classic 用の特定の AWSリージョン外部にあるトラフィック
DNSクエリ上限
- ENIあたり1024パケット/秒
セキュリティグループ
- 1インスタンスあたり最大5
- 1SGあたり最大50ルール
ENI
- プライマリENIはデタッチ不可

ELB

ALB
- サブネットごとに8個以上の空きアドレスが必要(/27)
NLB
- スケールに応じてIPアドレスが変化しないため /28 も利用可
- SGが適用できない
- AZごとに固定IPアドレスを利用
  - Route53によるヘルスチェックが動いている
  - ターゲットIPアドレスはオンプレなど外部アドレスも利用可能
CLB
- WAFはアタッチできない

VPN

サイト間VPN
- VGW
  - VPCから独立している。任意のVPCにアタッチして利用
  - VGWからIPSec接続を開始しない
    - VGW同士でIPSec接続は確立できない
  - キープアライブにDPDを使用する
    - CGWが応答できないとトンネルがダウン
    - https://www.juniper.net/documentation/jp/ja/software/junos/vpn-ipsec/topics/ref/statement/security-edit-dead-peer-detection.html
- CGW
  - BGP、静的ルート
  - グローバルIPを指定
  - 利用プロトコル
    - ESP（IP50番）
    - ISAKMP（UDP500）
AWS VPN CloudHub
- VGWに複数のVPN接続が可能なことを利用して、複数のオンプレサイトおよびAWSを相互接続できるようにする
- https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPN_CloudHub.html
- https://dev.classmethod.jp/articles/whitepaper-translate-jpn-vpc-connectivity-options-01/

DirectConnect

ネットワーク要件
- シングルモード光ファイバ
- ポートのオートネゴシエーション無効化
- 802.1Q VLAN
- BGP, BGP MD5認証
BGP
- 経路選択の優先度
  - Local Preference > AS-Path Prepend > MED(AWSでは非推奨)
  - LP
    - 値が大きい経路が優先
  - AS-Path Prepend
    - AS PATHが短い経路が優先
  - MED
    - 値が小さい経路が優先
接続の開始
- AWSコンソールで接続を作成
- LOA-CFAをダウンロード
- LOA-CFAをプロバイダに共有
VIF
- 作成に必要な情報
  - PrivateVIF
    - VGW
    - VLAN ID
    - BGPプライベートASN
    - ルーターピアIPアドレス
  - PublicVIF
    - アドバタイズするIPプレフィックス
    - VLAN ID
    - BGPパブリックASN
    - ルーターピアIPアドレス
参考URL
- https://atbex.attokyo.co.jp/blog/detail/9/
- https://atbex.attokyo.co.jp/blog/detail/21/

Route53

ルーティングポリシー
- 複数値回答
  - ランダム（ヘルスチェック有効化の場合、ヘルスチェック失敗リソースは回答しない）
  - 最大8

ソリューション

ALBへのアクセスをCloudFrontに限定したい
- CloudFrontでカスタムHTTPヘッダを付与
- ALBのリスナールールで上記ヘッダのみルーティング
- UAは偽造が容易なのでNG
クライアントIPアドレスをwebサーバで取得したい
- ALB/CLB(HTTP/HTTPS)
  - X-Forwarded-Forヘッダを使う
- CLB(TCP/SSL)
  - Proxy Protocol v1サポートをCLBとwebサーバで設定
- NLB
  - ターゲットをインスタンスIDで指定して直接クライアントIPアドレスを通知
  - ProxyProtocol v2サポートをNLBとwebサーバで設定
    - https://dev.classmethod.jp/articles/nlb-meets-proxy-protocol-v2/
CloudFormationで管理しているリソースの変更を検知したい
- AWS Configのマネージドルール cloudformation-stack-drift-detection-checkで検知する
- https://dev.classmethod.jp/articles/cloudformation-drift-notify/
DirectConnect経由のS3アクセス方法
- PublicVIF -> S3サービスエンドポイント
- PrivateVIF -> VPC内のEC2 -> ゲートウェイ型VPCエンドポイント -> S3
- PrivateVIF -> VPC内のENI -> Privatelink for S3を使用したインターフェイス型VPCエンドポイント -> S3

その他

SimpleADは条件付きフォワーダ設定できない
AmazonWorkspacesの必須条件：マルチAZでのサブネット
ポートスキャン検知
- VPCフローログ、GuardDuty
ネットワーク系クォータ
- DirectConnect専用接続あたりのPrivateVIF数:50
- DirectConnect専用接続あたりのPublicVIF数:50
- リージョンあたりのSite-to-Site VPN接続数:50
- DXGWあたりのVGW数:10
- DXGWあたりのTGW数:3
- TGWあたりのアタッチメント数:5000
- NACLのルール数: デフォルト20、MAX40
- WAFのIPセット一致ルールのIPアドレス数: 10000
ピアVPCからプライベートIPを名前解決する
- https://dev.classmethod.jp/articles/resolving-private-ip-address-from-vpc-peering/
AWSサービスのIPアドレスレンジはip-ranges.jsonで取得する
- https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html
AWSのNTPサーバ(Amazon Time Sync Service)のIPアドレス
- 169.254.169.123
AWSのDNSサーバのIPアドレス
- 169.254.169.253
- VPCのネットワークアドレス+2
DirectConnectとVPNの経路選択優先度
- DirectConnectとVPNで同じルートをアドバタイズしている場合、DirectConnectが優先
1. ロンゲストマッチ
2. DirectConnectでアドバタイズされたBGPルート
3. VPN接続の静的ルート
4. VPN接続でアドバタイズされたBGPルート
5. VPNのBPGルートでAS PATHが最短
6. VPNのBPGルートでMEDが最小

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up