Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@tame(tame)

ネットワークエンジニア視点のAWS Networking

Last updated at Posted at 2020-06-12

とりあえずネットワーク関係で注意点?をまとめてみました

諸々

  • 4つのIPv4 CIDRをVPCに追加可能。ただし既存のsubnetに追加は出来ない
  • IPv6のみの場合もIPv4はアサインが必要
  • サブネット /27 , /28 はOK (/29はNG)
  • EC2ではOSからIPアドレスの変更は出来ない
  • グローバル、プライベートアドレスの混在不可
  • セキュリティグループでは送信先にプレフィックスIDが使用可能(ACLはNG)
  • プレイスメントグループは、単一のアベイラビリティーゾーン内で
  • EC2インスタンス名などはVPC peering接続経由で解決できない
  • ジャンボフレームのリージョン間転送は出来ない。
  • ジャンボフレームはリージョン内VPC Peering, Direct Connectでサポート
  • 異なるリージョンのVPC間のIPSecはMarketplaceで購入した製品で
  • VPC Peeringは100まで。Transit Gatewayなら1000まで
  • VPC Lambdaにはpublic ipが割り当てられない
  • Lambdaに固定IPアドレス(EIP)は割り振れない
  • VPC LambdaではVPCにNATゲートウエイを設定するか、VPCエンドポイントを定義するかのどちらか
  • AWS based Hardware VPNは証明書が使用できない(多分)
  • NAT gatewayはUDPのフラグメントに対応、TCP or ICMPはNG
  • NAT instanceはUDP, TCP, ICMPのフラグメントに対応
  • リージョン間の接続はMAC Secで暗号化されている
  • USのリージョンはinter-regions advertisement and routing可能

Direct Connect関係

  • AS path prependingはPublic VIFにprivate ASN を使う場合は使用できない

  • Private VIFはVPC用

  • Public VIFはAWSのサービス用

  • Direct Connect + IPSec VPNが可能なのはPublic VIF使用時のみ(多分。。)

  • 上記の場合、VPCにアタッチしたVGWに対してVPNを張る事ができる
    やり方はこちら
    https://www.youtube.com/watch?v=dhpTTT6V1So

  • Private / Public virtual interface作成時のBGP AS は public or private

  • VPC上のVGW(Virtual Private Gateway)に複数のVirtual Interfaceを終端可能

  • VPC上のVGWに複数のDirect Connect またはVPN接続を終端可能

  • Direct ConnectはBGPのみ、VPNはBGP or Static

  • public interfaceはDirect Connect Gatewayにはアタッチできない

  • Private VIF: VPCのCIDRをAWS側から広報。オンプレ側BGP機器からはオンプレ経路を広報

  • Public VIF: 中国を除く全リージョンのAWSばプリックIPをAWS側から広報。オンプレ側はBGPのアドレスにNAT。

Elastic Load Balancing

  • NLB: IP addressはDirect connect越しは可能。VPC peering, VPNは不可
  • ALB: Direct connect越し、VPC peering, VPNも対応可能
  • ELBは固定IPを持っていないため、ACLは使えない
  • NLB, CLBはAvailability zone 1つでも良い
  • ALBはAvailability zone 2つ必要
  • both CLB and ALB doesn't support SSL mutual authentication.
  • NLBだとEC2に対してパススルーさせる事でEC2側でmutual authenticationが可能
  • ALB has the capability to route based on User-Agent headers

ELB Stickyセッション

  • ALB, CLB共に対応。デフォルトはdisable, HTTP, HTTPSでのみ可能
  • NLBは5タプルを使う関係で常にスティッキー
  • ALB, CLB: バランサーが挿入するクッキー使用
  • CLB: アプリ生成のクッキー利用可能
  • サーバ側でSSLの終端を行う場合は、スティッキーセッション機能を使うことはできない
  • NLBでip address指定の場合、スティッキーは使えない
  • 上記の場合はproxy protocolを有効にするとスティッキー可能
  • X-Forwarded-ForはHTTP/HTTPS使用時
  • 二種類のクッキー使用可能
  • 上記は以下を参照
  • https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-sticky-sessions.html

Route 53関連

  • DNSはホストごとの設定ではなくVPCのDHCPオプションで設定
  • NTPもDHCPオプションで設定
  • Route 53 hosted zoneは関連付けしたVPCのみ有効
  • Route 53 Private hosted Zoneはサブドメインの委任に対応していない(NSレコードが設定できない)
  • Route 53 can‘t check the health of resources that have an IP address in local, private
  • Route 53のmonitorポイントは3つ、Endpoint,Status of other health checks ,State of CloudWatch alarm
0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?