高度なネットワーキング

akuta

2章1~4
outport・・・ユーザが管理施設 localzone…awsのインフラ市越
ぷらヴェーとNAT…elasticIPを持たないNATGW TGWを介して重複するCIDRでも機能する
拡張ネットワーキング…インスタンスタイプの一つ ena…それをサポートするためのアダプタ VF…それをするためのインターフェイス プレースメントグループ内でEC2を起動して拡張ネットワーキングを有効にする→EFA
BYOIP…AWSにオンプレのIP範囲を持ってくる証明書を持ち込むことにより許可される
トラフィックミラーリング…徹トラフィックをミラーリングしてNLBへGWLBへ転送する。パケット内を分析するのに使う。
→VXLAN(これをNLBへ転送する場合に使われるプロトコル そしてUDP4789ポートで通信する)
トラフィックミラーリングをGWLBに行う場合、genrveを使ってカプセルかする。この時はUDP6081ポートを使う。

アプライアンスモード(TGWとGWLBをつかって監査する際にAZそれぞれを区別するために、TGWアタッチメントでアプライアンスモードを有効にする)
tgwネットワークマネジャー(TGWとVPCを一連管理するネットワーク論理図などを表示する)ルートアナライザーというのはテストする機能
TGW connect…TGWとサードパーティを接続する機能BGPプロトコルやGREを使う、この接続の時動的ルーティング(BGP)なので性的ルーティングが必要ない
GREトンネルとは・・・TGWとサードパーティを接続するやつ
MPLS…高コストだが、ラベルを付けてパケットを転送する技術、この技術により、障害発生時もフェイルオーバーができる。

2章4−5
nlb protocol ver 2…nlbを使うときに、クライアントのipアドレスを取得するための設定、さらにpreserve clientip addressを有効にする必要がある
nlb→alb(albからprivatelink)
監視することで正常異常なターゲット数をモニタリングできる
albはパスベースルーティング
albでソースip取得する方法…x-forward-forヘッダーを使う
スティッキーセッショんのもんだい…片方にだけ負荷がかかりすぎる、
ssl tlsオフロード alb nlbで暗号化複合化を行う、なのでターゲットかんはhttpでok
sni とは…複数のwebサイトをホストしてサイトごとに証明書を設定する機能
f5前方秘匿性…暗号化が解かれてもそれまでの通信は読み解かれないこと
gateway load balanser
パターん インターネットのバウンドトラフィックを一括管理
                クロスゾーン負荷分散する
パターン2 tgwでvpc間を管理する
パターン3 natgwがあるvpcにアプライアンスを入れる
ミドルボックスルーティング→ルーティングを自動的に構築するらしいが、詳しいサイトがなく、aws公式ページは相変わらず難解だった

gwlbのトラフィック検査方法
→ vpcトラフィックミラーリング…ここも情報が薄い 調べたところパケットの情報を取得できるらしい、ただ、宛先のドメインなどの情報がhttpsの場合複合化が必要で難しそう、というか無理かと思う、
コンテナのロードバランシング…kubernet ingress(負荷分散することができるkubernets クラスター、load balancer controlerアドオンをインストールすることで構成ができる)
eks をhttpsにするには、acmをつかってあんごうかする そして証明書をロードバランサーにも割り当てる
コンテナのネットワークモード、
ホストモード…ホストと同じIPアドレスを共有する
、ブリッジモード…それぞれが別のipアドレスを持つ
、あws VPCモード…eniを持つ
ecsのロードバランシング…fargateに対して、alb,nlbサポート aws vpcモードの場合ipアドレスを指定してターゲットを登録する
aws appmesh…envoyプロキシでモニタリング、サービスメッシュ、envoyは、軽量プロキシ、サービスメッシュは、サービスかんの通信用インフラ

appmeshを使って、fargate,ecs,eks,kubernetson ec2に使える
ipv6
デュアルスタック…v4,v6を併用したシステム、インターネットするためにはeggressonly インターネットゲートウェイを使う、これを使うことでv6経由でのインバウンド通信を避けられる

章末問題
natはipv6サポートされていないので、eggres only igwを使う
インスタンスには::/0を指定する
2つの異なるリージョンで接続が必要なオンプレネットワークがあるmtu1500の場合は、direct connect
ec2は、すべてmtu1500がサポートされているが、双方向でTGWの場合はmtu8500になる
tgw connectはgreをサポートしてbgpのピアリングをする
nlbからalbへせつぞくして、通信を許可させられる
デュアルdxリンクとは
トラフィックミラーリングについて調査


この記事が気に入ったらサポートをしてみませんか?