先日、AWS認定ネットワーク専門知識の試験を受験し、合格しました!
その記録を残しておきます。
今回の受験は、前回のセキュリティの数日後です。AWSの認定資格としては9個目、今月(2021年12月)は4個目です。
2021年12月の受験履歴 (リンク先は合格体験記)
- データアナリティクス専門知識
- SysOpsアドミニストレータアソシエイト
- セキュリティ専門知識
- ネットワーク専門知識 (今回)
データベースと機械学習のスペシャリティも取得済みなので、今回でスペシャリティがβ版を除き全部そろいました。いえーい。
勉強方法
この試験対策に特化して勉強し始めたのは受験の2日前の夜からでした。2日前に申し込みをしてから慌てて勉強し始めました。ただ、今月はこれで4つ目の試験であり、もともとネットワーク関係が私は苦手だという自覚の下で、いずれネットワークも受験する前提で、今月の各試験対策の段階からネットワーク関係を意識していました。特に前回受験したセキュリティ専門知識とも重なるところも多く、受験後の感想としても、セキュリティと連続して受験したことは正解でした。
今月4つ目の試験は慣れてきたものです。2日間でやったこととしては、まずはBlack Beltのネットワーク関係を読みました。あとはPDFで公開されているサンプル問題を解きます。サンプル問題は2日前の夜に解いて正答率7割でした。いつものBenchPrepってやつの模擬試験もやるつもりだったのですが、BenchPrepにはなぜかネットワークだけありませんでした。
試験当日
65問170分。一巡するのに150分もかかり、見直しは20分しか残されず、3分の1ぐらいしか見直せませんでした。セキュリティの試験に比べるとぜんぜん分からない問題も多く、またキーワードは理解しているつもりなのに答えがわからなくて長く考え込んでしまう問題も多かったです。そのため一巡するまでに時間がかかりました。一方で、簡単な問題もある程度あり、全体としての難易度はセキュリティと同じくらいの印象です。
結果
スコア 793
所感
AWSの試験は連続して受験するのがいいということを今回の試験で実感しました。ネットワークが私は弱いので、今月受けた中でも特にセキュリティやSysOpsでネットワークの絡むところは、ネットワークから勉強するということを繰り返していたので、今月はその蓄積により合格することができたと思います。先輩からの助言も大きかったです。
以下は自分の勉強ノートですが、このほかにセキュリティの内容も少し必要です。
勉強ノート
- VPC
- ルートテーブル
- VPCごとに1つの暗黙のルートテーブルがある
- サブネットごとに別途ルートテーブルを指定するか、そうでない場合は暗黙のルートテーブルが使われる
- ルートテーブルは初期状態ではVPC内のみ直接ルーティングされる
- インターネットゲートウェイ
- NATゲートウェイ
- セキュリティグループ
- ステートフルなファイアウォール
- EC2インスタンスごとに設定
- ネットワークACL
- ステートレス
- サブネットごとに設定
- DHCP
- サブネット内のENIにIP自動割り当て
- 固定IPもDHCPから振られるので、OS上はDHCPとしておく
- DNS
- VPCにある
- VPC内からのみアクセス可能
- VPNや専用線経由ではアクセスできない
- Time Sync Service
- 169.254.169.123
- VPC内から参照可能
- VPC Endpoint
- Gateway型
- S3
- DynamoDB
- インターフェイス型
- サブネット内にプライベートIPが作成される
- PrivateLink
- SaaS向け
- 1対N
- Gateway型
- VPC peering
- 1対1
- VPC間のセキュリティグループ
- リージョンをまたいだ接続が可能
- 直接peeringしているVPC同士のみの通信が可能で、2ホップは不可
- VPC Flow Logs
- ネットワークトラフィックをキャプチャし、CloudWatch Logsに保存
- VPCのCIDRが足りなくなったら、重複しない範囲でセカンダリCIDRを追加できる
- 既存のCIDR拡張はできない
- ルートテーブル
- AWS Direct Connect
- 専用線接続サービスではない!
- Direct Connectロケーションとユーザ側との専用線はキャリアとの別途契約が必要
- Direct ConnectロケーションにあるAWSルータからAWSリージョンへの接続がDirect Connect
- VIF (仮想インターフェース)
- Direct ConnectロケーションにあるAWSルータ
- 3種類
- プライベートVIF
- VPCへプライベートIPを介した接続
- 接続パターン
- VIF -> VGW (仮想プライベートゲートウェイ)
- 単一のVPCへ接続
- VIF -> Direct Connect Gateway -> VGW
- VGWは複数可能
- つまり複数のVPC
- VGWは複数可能
- VIF -> VGW (仮想プライベートゲートウェイ)
- パブリックVIF
- AWS全リージョンへパブリックIPを介した接続
- NAT
- 同一のConnectionにプライベートVIFとパブリックVIFの混在が可能
- S3はかつてはパブリックVIFが必要だった
- のちにS3のPrivateLinkが登場し、プライベートVIFでもS3アクセスが可能になった
- Transit VIF
- Transit GatewayのDirect Connect Gatewayへの接続
- プライベートVIF
- Direct Connect Gateway
- リージョンに属さないグローバルリソース
- 複数のVPCと接続可能
- 複数のプライベートVIFと接続可能
- Direct Connectを新規導入するには
- マネジメントコンソールからLOA-CFA(Letter of Authorizationand Connecting Facility Assignment)をダウンロードし、APNまたはデータセンター事業者に提出
- BGP
- 専用線接続サービスではない!
- AWS Site-to-Site VPN
- VPCにはVGW(仮想プライベートゲートウェイ)経由で接続
- IPsecにより暗号化
- 拠点側のファイアウォールで空けておくべきポート
- IP 50とUDP 500
- Route 53
- 2種類
- Public Hosted Zone
- Private Hosted Zone
- ルーティングポリシー
- シンプル
- 複数値の場合はDNSラウンドロビン
- 加重
- 比率を指定
- フェイルオーバー
- プライマリが正常でない場合にセカンダリを返す
- セカンダリはメンテナンスページのS3にするとか
- 複数回答
- 正常なリソースのみを応答することも可能
- 万が一使用できないIPを返しても、クライアント側で別のIPを利用できる
- レイテンシー
- 位置情報
- 物理的近接性
- シンプル
- 2種類
- ELB
- ALBとNLBの使い分け
- EC2 Auto Scaling
- CloudFront
- Workspaces
- 2つのサブネットが必要
- AWS Config
- 前回の記事参照
- AWS CloudTrail
- 前回の記事参照
- CloudWatch