Advanced Networking - Specialty (ANS-C01) 合格　学習レポート

前提

Advanced Networking - Specialtyに合格したので、学習した内容を記録します。

Direct Connect

オンプレとAWS間を専用線で繋ぐサービス

基本的な機能

• ASが少ない方が優先

• MED利用不可

• LP属性　大きい方が優先

• BFD 障害検知する機能

• プレフィックス　多い方が優先

• Local Pref より具体的なプレフィックスが優先される

• BGPコミュニティ
  7224:9100　DirectConnectと同じリージョンから送信されるトラフィック
  7224:9200　DirectConnectと同じ大陸から送信されるトラフィック
  7224:7300 7224:7200 7224:7100 フェイルオーバーの優先順位をつける時に使用する。数字が大きいほど優先順位が高い 

• BGPセッションを確立する為、TCP179、エフェメラルポートが許可されている必要がある

制限

• プライベート仮想インタフェースのプレフィックス数が100未満である必要がある

• お客様ネットワークは、以下である必要がある
  1Gbpsシングルモードファイバーインタフェース
  802.1QVPN
  BGP MD5認証

MacSecを利用する場合

• 接続関連付けキー(CAK)と接続関連付けキー(CKN)の設定が必要

• オンプレのルーターにMACSecシークレットキーを設定する

• CKN/CAKペア関連付け後、暗号化モードを設定する

• 暗号化モードは以下が存在する
  shoud_encrypt：暗号化できない時も通信できる
  Must_encrypt：暗号化必須
  no_encrrypt：暗号化しない

LAGを利用する場合

DirectConnetが同じ帯域幅であり、同じAWSエンドポイントで終了する必要がある

DirectConnect SiteLink

DirectConnect Gatewayをハブとして、オンプレ間通信を可能とする

フェイルオーバー優先順位について

• リージョンに複数パスがある時：AS_PASH

• 別リージョン、アクティブ/パブリッシュの場合：BGPコミュニティタグで制限

Direct Connect Gateway

複数リージョンのVPCへの接続が、1つのDirect Connectで可能

Site to Site VPN

AWSが提供するVPNサービス

基本的な機能

• アクセラレーションを有効：Transite Gatewayを利用して転送速度を向上させる。既存のVPNに対して有効にできない為、有効にする場合は、Site to Site VPNを再作成する必要がある

• IGMP：マルチトラフィックを管理する

• JumboMTU：ネットワークパフォーマンス向上

Transit Gateway

オンプレとAWSをつなぐ中継ハブ的な役割をする

基本的な機能

• アプライアンスモード：トラフィックの検査を精密にする

• ピアリングにより、リージョン間のルーティングが可能

VPCピアリング

異なるリージョン：設定可能
異なるアカウント：設定可能

Cloud WAN

VPCアタッチメント：アタッチメントポリシーでマッピングを制御。100と200の時、100が優先

Global Accelerator

• 単一のアクセレーターで複数のエンドポイントを設定

• 静的IPを提供

• ALBと統合し、クライアントのIPを保持できる

CloudFront

ウェブコンテンツの配信を高速化するサービス

CloudFront経由の通信をHTTPS通信する場合

• ビューア→CloudFront
  CloudFrontにCA証明書または、デフォルト証明書を適用

• CloudFront→オリジン
  オリジンがELB：ACM発行の証明書適応化
  オリジンがEC2：CAが提供する証明書が必須

オリジンのS3アクセスを制限する場合

OAIを使ってS3アクセスし、ビューアーのアクセス制限より署名付きURLを作成する

Route53

AWSが提供するDNSサービス

Route53 Resolver DNS Firewall

• フェールオープンを有効にするとDNS Firewallから応答されない時にクエリ通過する

• VPC内からアウトバウンドのDNSリクエストを保護する

キー署名キー (KSK)

• 作成する為にカスタマーマネージドキーのアクセス権が必要

• カスタマーマネージドキーは、非対称である必要がある

HwalthCheck

CloudWatchAlarmに基づきヘルスチェックを作成できる。例えば、EC2に異常が発生した場合、ヘルスチェックを検知する際は、EC2のメトリクス(statuscheckfailed)を監視するCloudWatchAlarmを作成し、Alarm状態になった場合にヘルスチェックをFalseにすることができる

ELB

AWSが提供するロードバランサー

制限

• エンドツーエンドで暗号化する場合、NLBのリスナーをTCPにする必要がある

• アクセスログはS3のみ出力可能

• gRPCプロトコルはALBのみ対応

• トラフィックミラーリングのミラーリング先はNLBはサポート。ALBは非対称

NLBで送信元のクライアントIPを保持する場合

• IP指定：Proxy Protocolを有効にする必要がある

• ID指定：保持される

ALB Forward Secrety(FS)

セッションごとにランダムなキーを生成し、暗号化されたデータを保護する

EC2

AWSが提供するサーバ

基本的な機能

• シングルルート I/O 仮想化
  低レイテンシーとネットワークパフォーマンスを向上

• ジャンボフレーム
  VPC内の通信のみ可能

• メタデータを取得する場合、アウトバウンドに169.254.169.254 80ポートを許可する

EC2から特定のURLのみS3にアクセスする場合

• VPCエンドポイントもしくは、NATインスタンスでSquidプロキシを実行する

WAF

コンテンツのアクセスを制御するサービス

基本的な機能

• CloudFrontとALBに適用する事が可能

VPC

• セカンダリサブネットは、以下のCIDR範囲は追加できない
  10.0.0.0/8  172.16.0.0/12 192.168.0.0/16 198.19.0.0/16 100.64.0.0/10

VPC Reachablity Analyzer

• ネットワーク診断を提供するサービス

• VPC内またはVPC間での到達性を調査する際に役立つ

Amazon Inspector

ソフトウェアやネットワークの露出の脆弱性を管理する

AWS Netwark Manager Rute Analyzer

Transit Gateway間の通信問題を診断するのに役立つ

VPCフローログ

• pkt-srcaddr、pkt-dasaddrフィールドにより、送信元と送信先の情報がログから確認できる

• ネットワークトラフィックのメッセージ本文やより具体的なネットワークトラフィックを確認する際は、トラフィックミラーリングを利用する

• S3、CloudWatchロググループに出力可能

その他機能別

ジャンボフレームMTU

• IGW、VPN、VPCピアリングは最大1500バイトに制限される

マルチトラフィック

• VPCピアリング：非対応

• Transit Gateway：対応

トラフィックの優先順位

1. 最長プレフィックス

2. DirectConnect BGPルート

3. スタティックルート

4. VPN BGPルート

DNSルックアップ

ポート53　TCPとUDPを許可する必要がある 

SD-WANとAWSを統合

GREやBGPプロトコルを使用してSD-WANに拡張する事ができる

監視サービスの選択

• リソース間の接続性を確認する場合：VPC Reach Analyzer

• Transit Gateway自体のルーティングを確認する場合：Transit Gateway Netwak Manager