ANS対策①
●会社に3つVPC(A、B、C)がある。相互通信したい。どする?各VPCの全てのVPCピアリング接続のルートテーブルを更新する
AとB、BとC、AとCをピアリングする
相互通信をするには各VPC間で、ピアリングする必要がある。直接ピアリングしているVPC間でないと、通信やりとりはできない
●会社がZone Apexを使用して静的サイトを立ち上げたい。S3とRoute53を使用したいが、どする?●オンプレアプリから、VPCにトラフィックを大量に送っている。料金節約のためにどする?オンプレのデータセンターと、AWSリージョンの間でDirect Connet接続をプロビジョニングする。
●VPCAが、VPCBのインスタンスとVPCのサブネットCIDRにルーティングしたい。どする?1つのVPCがプレフィックス最長一致を、使用して2つのVPCとピアリング接続
プレフィックス最長一致(ロンゲストマッチ)
→より詳細なルートを選択する
●ALBの背後のアプリで使っているアプリには以下のドメインがある。振り分けどする?
・test.example.com
・web.example.com
・example.comALBのリスナーに、example.comと*.example.comのようなホストベースの条件を設置して、適宜ターゲットグループをルーティングするように設定する
●ELBとnginxサーバ、RDSでシステムを構成している。地域制限を適用するため、アプリでクライアントのIPを特定したい。どする?X-Forwarded-ForとCloud Frontの値を使用して、地域制限を適用するようにアプリのコードを変更する
●S3バケットが、us-east-1とus-west-2にある。データセンターは、米国西海岸にある。コスト効率を安く、遅延を最小限にするには?us-east-1
→バージニア北部
us-west-2へのダイレクトコネクト接続をプロビジョニングする
●オンプレのアプリでアクセス増加が見込まれる。しかし、すぐにAWSに移行できない。どする?Cloudfront CDNを作成し、クエリ文字列の転送を有効化し、適切なTTLを設定します。DNSをawsにオフロードして、オンプレをオリジンにする
●インスタンスが、ネットに接続できない。どする?sgと、ネットワークACLを確認する。
●AWSのWorkSpacesが使えない。原因は?会社のファイアーウォールのポートが開かれていない。
Work Spacesにアクセスするにはサポートするクライアントデバイス。
TCP443、4172、UDP4172
よしなに?よいなに?
が必要。正直、試験が終わったら全然忘れていいと思う。
●オンプレとAWSの間でVPNを、設定してる。また、複数のVPCがある。どする?セキュアなVPCと、他の全てのVPCの間でVPN接続を確立する
オンプレ環境と、セキュアなVPCの間にVPN接続を確立する
●us-west-2にDXで、オンプレと通信しているアプリがある。これを、us-east-1にデプロイしたい。us-west-2では1Gbpsのうち、0.3Gbps程度しか使っていない。どする?DXGWは、インターネットゲートウェイとかと同じでVPCにアタッチするようなイメージ。
プライベートVIFを介して、DXGWのリージョン間機能を利用して、us-west-2からus-east-1の新しいVPCへの接続を確立する
プライベートVIF?パブリックはあるのか?
調べておく
●VPC内のElastic BeanStalk ワーカー環境があります。パブリックネット上のワーカー上のHTTPSエンドポイントで利用可能な外部支払いゲートウェイのAPIにアクセスする必要があります。どする?Amazon EC2 インスタンスをプライベートサブネットに配置するようにAWS Elastic Beanstalkでアプリを設定します。
パブリックサブネットのNATゲートウェイへのアウトバウンドルートを使用するように設定。
NATゲートウェイにEIPを関連づける。
支払いゲートウェイのアプリのホワイトリストに、NATゲートウェイのEIPアドレスを登録します。
●同じリージョンの異なるAZにまたがるクラスタでEC2インスタンスが実行されている。最高のネットワークパフォーマンス、最低のレイテンシーで実行するにはどうする?・Amazon HVM AMI
・拡張ネットワーキング
拡張ネットワーキングは、HVM上のVPC内でのみ動作している
●ダイレクトコネクトの予備としてVPN接続を検討している。このフェールオーバを簡単に行うには?ダイレクトコネクトの双方向フォワーディング(BFD)を有効にします。
↑ダイレクトコネクトの機能
●IPSを使ってインターネットからのトラフィックを保護するためには?・ウェブサーバのフロントにウェブプロキシ層を実装し、各プロキシサーバにはIDS/IPSエージェントを実装
・VPCで実行しているIDS/IPSエージェントを実装
●
・プライベート仮想インターフェイス
・パブリック仮想インターフェイス
・トランジット仮想インターフェイス
VIFを実際にコンソールから作成してみたが、
・必ずダイレクトコネクト接続を選択
しなくてはならない。
ゲートウェイも選択しなくてはならないが
・VGWかDXGW
かは選択できる
トランジットゲートウェイはまだ未対応?
●企業のネットワークから、S3へのアクセスを許可するには?ip-ranges.json からipプレフィックスのリストを取得し、それらのプレフィックスをファイアーウォールのルールを使用します。
https://ip-ranges.amazonaws.com/ip-ranges.json
●画像が2つのリージョンで配信されている。片方のリージョンで遅延して配信されている。どする?・Route53のレイテンシーベースルーティングを使用して、2つのリージョンから画像を配信する
・cloud frontを使用して画像を配信する
Aレコードで、ルーティングポリシーを「レイテンシー」で設定する
●既存のセキュリティ管理を活用して、仮想デスクトップを仮想プライベートクラウドで展開したい。どする?仮想プライベートネットワーク接続。
・AWS Directory Service
・AWS workspaces
●低いレイテンシーと高パフォーマンスを必要とするアプリをインスタンスにホストする。
アプリはピアリングされたVPCで他のサーバと通信する
・シングルルートI/O仮想化(SR-IOV)をサポートするインスタンスを選択
・適切なOSドライバがインストールされていることを確認する
●オンプレIPが「11.11.0.0/16」。クラウドに割りあてるIPが、「11.11.253.0/24」。AWSでVPCを設計。VPC内のサーバーは、VPN接続でネットのホスト、オンプレのホストの両方と、通信できる必要がある。どする?・VGWとオンプレルータ間なVPN接続を設定し、VGWを全トラフィックのデフォルトGWとして設定。オンプレルータがインターネットにトラフィックを転送するように設定
●Route53の設定の順番!先に加重ベースのレコードを定義。
次にレイテンシーコードを定義。
最初に加重ベース。
●ダイレクトコネクトの集約でLAGを使いたい。どする?・全てのAWSダイレクトコネクト接続が、同じAWSエンドポイントで終了することを確認する
・既存のダイレクトコネクト接続の帯域幅かわ同じことを確認する
●ABテストしたい。どする?機能を有効にした状態でウェブサーバの2つ目のスタックを作成。Route53を使用して、同じ名前の2つのリソースレコードセットを作成。1つは重みが「1」の新しいスタック値を持ち、もう一つは重みが「4」の既存のスタックの値を持つ。リソースレコードセットの名前をCFNディストリビューションのオリジンとする。
●5つのリージョン、10のインスタンスでサービスをホストしている。1つのネットワーク接続がダメになってもダウンタイムを、最小にできるのは?各リージョンでELBに解決されるRoute53レイテンシーベースのルーティングレコードを設定する。ターゲットの正常性のフラグをtrueにする。
● オンプレとクラウドの両方を使用して、ホストするアプリがある。低コスト、低レイテンシーにしたい。どする?ダイレクトコネクトパートナーを使用して、AWSリージョンにダイレクトコネクト接続をプロビジョニングする。ダイレクトコネクト接続のバックアップとしてVPN接続をプロビジョニングする。
ダイレクトコネクトプロバイダー?
ダイレクトコネクトパートナー?
●HPCシステムをEC2インスタンスのクラスタで構築している。その間で低レイテンシーにする必要がある。どする?プレイスメントグループを作成する。
クラスタープレイスメントグループと互換性のあるEC2インスタンスタイプを、選択する。
プレイスメントグループ内のクラスターのインスタンスを起動する
●オンプレネットワークと、AWS VPCでネットワークを構成している。VPC内のインスタンスでは、Route53プライベートホストゾーン内でのリソースレコードを解決できる。今、オンプレユーザはプライベートホストゾーンで名前解決できない。一方、VPC内のインスタンスはできる。どする?VPC上のネットワークアクセスコントロールリストを変更して、オンプレミスシステムからのDNSクエリを許可する。
Unboundを使用してオンプレミスネットワークと、AWSの間でDNS解決を設定する。
オンプレからUnboundにトラフィックに転送し、UnboundはVPCが提供するDNSにトラフィックを提供する。
●異なるリージョンのノード同士で安全に通信するには?VPN IPsecトンネルを作成する。
別のリージョンのノードがセキュリティグループのVPC CIDRブロックを参照していることを確認する。
Site to Site VPNのこと?
●オンプレのデータセンターのワークロードをAWSに移行したい。既にダイレクトコネクト接続はある。どする?・ダイレクトコネクト接続でパブリック仮想インターフェースを設定する
・仮想プライベートゲートウェイを使用して、VPCに設定する
・カスタマーゲートウェイアプライアンスと、仮想プライベートゲートウェイ間にIP secトンネルを設定する。
7と8がやばい
●クラウド内のインスタンスで、オンプレのDNSを使いたい。どする?オンプレミスのDNSサーバとして、ドメインネームサーバの値を指定する新しいDHCPオプションセットを作成する。VPCのデフォルトDHCPオプションセットを、新規作成したDHCPオプションセットに置き換える。
●ネットワークエンジニアが2つのダイレクトコネクト接続を管理している。それぞれの接続は、プライベートASNでパブリック仮想インターフェイスを設定している。エンジニアはパブリックエンドポイントにアクセスするために、ダイレクトコネクト間でアクティブ/パッシブルーティングを設定したいと思っている。オンプレ機器に必要なBGP設定は?・1つのダイレクトコネクト接続上でより多くの特定のプレフィックスをアドバタイズする。
・Local Prefを使用して、アウトバウンドトラフィックを制御する
ダイレクトコネクトのアクティブパッシブルートは、ローカルプリファレンスを使用して設定したり、ASパスプリベンドとして1つのダイレクトコネクト接続でより多くの特定のプレフィックスをアドバイスすることで、一方のパスを他方のパスより優先できる。
●ネットに公開しなけどどこからでも使えるアプリを開発している。ネットワーク環境どする?VPCのパブリックサブネットでSSL VPN ソリューションを設定し、全てのユーザコンピュータにSSL VPN クライアントソフトウェアをインストールして使う。VPCにプライベートサブネットを作成して、アプリサーバをホストする
●会社に225台のモバイルとデスクトップ、300台のパートナーVPNがありVPCに接続したい。また、VPN接続しているユーザ同士で接続できるのはやばい。どする?デスクトップ、モバイル、パートナーVPN接続にAmazon EC2 インスタンスのVPNを使用するVPNインスタンスの機能を使用して、ルーティングと接続を制限する。
●2層アプリをVPCに移行している。ELBが、アプリ層の前にある。アプリ層は、Rest full インターフェースを介して動作する。データ層はRDSを使用。ポリシーで転送中のデータはエンドツーエンドで暗号化。ELBの設定どする?ELBプロトコルをTCPに設定。
SSL終了のために、アプリのインスタンスを設定。
SSL用にRDSを設定し、REQUIRE SSL GRANTSを使用する。
MYSQLアカウントに対してSSL接続の使用を要求するには、そのアカウントに対して最低でもREQUIRE SSL句を含むGRANTステートメントを発行する。
●プライベートサブネットを含むVPC1と、パブリックサブネットを含むVPC2があり、ピアリング接続している。オンプレと、クラウド間をひとつのダイレクトコネクト接続とプライベートVIFを使用して、通信している。VPC1の冗長化するには?・VPC1と、オンプレネットワークの間に、インターネットを介したハードウェアVPNを確立する
・VPC1と同じリージョンに新しいダイレクトコネクト接続と、プライベートVIFを確立する
●ネットワークエンジニアは、ダイレクトコネクト接続にパブリックVIFを作成し、ダイレクトコネクトロケーションと同じリージョンから発信されたルート(経路)のみをインポートする必要がある。どする?7244:8100のBGPコミュニティ属性を持つルートのみをインポートするように、会社のルータをフィルタする
●Cloudfrontを使用して、VPCインフラを構築している。そこで開発者はCFNテンプレートを使用してアプリを起動して、利用可能なCIDR範囲を使用してサブネットを作成できるようにしたい。どする?利用可能なCIDR範囲を管理するために、LambdaとDynamoDBを使用するカスタムリソースでCFNテンプレートを作成する。
●オンプレからパブリックサービスのS3を使いたい。ダイレクトコネクト経由で繋ぎたくて、他の通信はインターネットプロバイダサービスのエンドポイントを使用したい。どする?ダイレクトコネクト接続にパブリックVIFを作成する。BGPルートを既存のルーティングインフラストラクチャに再配布し、ネットワークの特定のルートをAWSに経路広告(アドバタタイズ)します。
●プライベートサブネット内のインスタンスから、制限付きのS3バケットに接続したい。どする?VPC-E IDをS3バケットポリシーに追加する。
●新しいダイレクトコネクト接続を設定するための、社内ネットワークの要件は?・1Gbpsシングルモードファイバーインターフェース
・802.1Q VLAN
・BGP MD5 認証
※ネットワーク要件
・ネットワークは、1ギガビットイーサネットの場合は、1000BASE-LX(1310nm)トランシーバー、10ギガビットイーサネットの場合は10GBASE-LR(1310nm)トランシーバーのシングルモードファイバーを使用する必要がある。
・ポートオートネゴシエーションが無効になっている必要がある。ポート速度および全2重モードは手動で設定する
・802.1Q VLANのカプセル化が、中間デバイスを含む接続全体でサポートされている必要がある
・デバイスがBGPと、BGP MD5 認証をサポートしている必要がある。
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/Welcome.html#overview_requirements
●アプリを徐々にオンプレからクラウドに移行したい。どする?Route53加重ルーティングポリシーを作成して、オンプレとAWSの間で異なる重みでトラフィックを、分散させて、ゆっくりAWSに移行する。
●2つのデータセンターをAWSに拡張したい。CGWとVGWの間をデュアルトンネルVPNを採用したい。単一障害をなくしたいがどする?別のデータセンターに別のCGWを追加し、別のデュアルトンネルVPN接続を作成する。
●
ANS9 ピアリング
●VPCでホストされているEC2インスタンスは、カスタムNTPサーバから時間を取得する必要がある。どする?DHCPオプションセットを作成し、NTPサーバ名を指定する
●AWSにアプリをホストしている。これはオンプレのデータベースと通信できる必要がある。迅速なリリースが必要になる。どする?VPCと、既存のオンプレミス機器間でVPN接続をプロビジョニングし、ダイレクトコネクトパートナーへ要求し、データセンターとダイレクトコネクトロケーションの間でクロスコネクションをプロビジョニングし、必要に応じてVPN接続から1つ以上のダイレクトコネクト接続にカットオーバーする。
●ネットへのアクセスが必要なインスタンスをプライベートサブネットにホストする。要件として、ホワイトリストの特定のURLのみへのアクセスを制限すること。また、任意のURLでS3にアクセスしたい。どする?・NATインスタンスで、Squidプロキシを実行する
・S3のVPCエンドポイントを作成する
●ANS10ピアリング
●エンドユーザのオンプレにフロントアプリがある。このアプリはサービスのDNSホスト名を認識しています。レイテンシーを最小にしたい。どする?
インスタンスは独自のTCP/UDPプロトコルを使用していたため、Aレコードを使用してRoute53から直接ルーティングして、レイテンシーに基づく処理で複数のリージョンにまたがる。
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/routing-policy.html#routing-policy-latency
・レイテンシー
データ転送における指標のひとつで、転送要求を出してから実際にデータが送られてくるまでに生じる、通信の遅延時間のこと
● ダイレクトコネクトでのBGP接続の問題のトラブルシューティング。
クラウドとオンプレでダイレクトコネクトを使って、アプリをホストする場合にの、オンプレミスのBGPピアの設定方法は?ダイレクトコネクト接続では、プライベート仮想インターフェースのプレフィックス数が100に限定されている。
プレフィックス数を100未満に抑える。
この記事が気に入ったらサポートをしてみませんか?