👻

6. Others

2023/05/23に公開

AWS

network

tech

Amazon VPC

VPCセカンダリIP

IPアドレスが枯渇した場合に増やすことが出来る

IPAM

→Amazon VPC IP Address Manager
IPアドレス空間の整理や自動割り当てが出来る、これを利用してCloudFormationでの自動展開もできる

VPC Peeringの制限事項

→CIDRの重複、Peeringの重複、推移的なルーティングなど

NAT Gatewayの制限事項

→フラグメンテーションやIPSecには対応していない

VPC Endpoint

AWS PrivateLink

API Gateway

さらっと

Reachability Analyzer

Firewall Manager

Orgとの連携は覚えておいた方がいいかも

WAF

参考程度に

AWS Firewall manager

基本はThirdParty IPS と同じ

IPv6対応

必要な設定
・VPCで有効化（ベースがIPv4にあって、それにIPv6を追加するイメージ）
・SG/NACLの修正（デフォルトv4の設定のみなので）
・Egress Only IGW：IPv6専用アウトバンドだけできるIGW
*インスタンスはIPv6に対応するものが限られている
※作成できない時は IPv4 の枯渇が考えられる

VPC Flow logs

InNACL〇 → InSG〇 → EC2 → OutSG〇 → OutNACL×

Traffic Mirroring

機能

EC2インスタンスのENIを通過するトラフィックをENIもしくはNLBにミラーリング
パケットはVirtual eXtensible Local Area Network(VXLAN)でカプセル化
EC2インスタンスにログインしなくてもパケットパケットキャプチャが可能
VPCフローログと異なりパケット内容を取得可能

ミラーリングターゲット

ENI
NLB　*4789/UDP でのリスナー
GWLB

メモ

今(2022/5~)は GWLB に対してもトラフィックの転送が可能になっている

メリットとしては以下が考えられました

複数 VPC で監視を行いたい際に展開/管理が簡単
セキュリティアプライアンスを IDS のように使うことが出来る

アディショナル

EC2の通信速度を上げるにはどうすればいいか

EC2側で帯域幅を上げる場合、拡張ネットワーキング(ENAドライバ)を使用する

Client VPN は10Mbps/ユーザごと

Site-to-Site VPN は 1.25Gbps/一回線

Firewall Managerを利用した複数アカウントへの設定手順

Network Firewall の管理について

Client VPN においてのトラブルシューティング

CloudFormationを使用したネットワークコンポーネントの展開

VPC Peeringや Site-to-Site VPNでのデプロイ順序の調整

Route 53 およびDNSSECの設定方法

CloudFront/ALB環境のE2E暗号化

DX環境のA/Sでのエラー検出

ユーザ側で有効化が必要

Route 53 + RAM

BYODIP

ロギング

トラフィックミラーリング

ENI
NLB　*4789/UDP でのリスナー
GWLB
Flow Logs
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html
CW Logs
S3
KDF