📝

AWS ANS 勉強メモ

2024/02/16に公開

AWS Certified Advanced Networking - Specialty
ANS を受験予定なので勉強メモを残していきます。
自分自身の振り返り用ですがどなたかの参考になれば幸いです

1. CIDR 分割について

  • 172.16.0.160/26 という分割はできない
  • 160 の部分に指定できる数には法則がある
  • 例えば、/26 の場合は 0 と 64 の倍数しか指定できない
    • 0, 64, 128, 192
  • 64 という数字は 32 - 26 から算出
  • 32 は CIDR の最大値
  • 32 から CIDR の数字を引いて、2 の何乗かを計算する
    • /26 の場合、32 - 26 なので 2 の 6 乗
  • 0 と 255 以下の 2 の乗数を 160 の部分に指定することが可能
  • 160 は 64 の倍数ではないので指定できない
  • /27 の場合、2 の 5 乗
    • 0 と 255 以下の 32 の倍数を指定可能
    • 0, 32, 64, 96, 128, 160, 192, 224
  • /20 になると 右から 2 つ目の 8 ビットの範囲になるが考え方は同じ
    • 右から 2 つ目までの CIDR の最大値は /24 なので上記の 32 を 24 に変えて考える
    • 24 - 20 = 4
    • 2 の 4 乗は 16
    • 172.16.0.0/20 の右から 2 つ目の 0 に指定可能な数字は 0 と 255 以下の 16 の倍数

2. BGP の優先経路について

AWS Direct Connect でのアクティブ/パッシブ BGP 接続の構築 | Amazon Web Services ブログ
優先順位は LP > AS > MED

  • Local Preference (LP)
    • 値が大きい経路が優先
  • AS-Path Prepend
    • AS PATH が短い経路が優先
  • Multi Exit Discriminator (MED)
    • 値が小さい経路が優先

3. Amazon Time Sync Service の IP

Amazon Time Sync Service で時間を維持する | Amazon Web Services ブログ

このサービスには 169.254.169.123 のリンクローカル IP アドレスを介してアクセスできます。つまり外部のインターネットアクセスする必要なく、プライベートサブネット内から安全にアクセスできます。

4. DHCP オプションセットは作成後に変更できない

DHCP オプションセットの使用 - Amazon Virtual Private Cloud

DHCP オプションセットを作成後に変更することはできません。VPC の DHCP オプションを更新するには、新しい DHCP オプションセットを作成して VPC に関連付ける必要があります。

5. *.example.com は example.com を含まない

ACM 証明書の特徴 - AWS Certificate Manager

また、*.example.com は、example.com のサブドメインのみを保護し、ネイキッドドメインまたは apex ドメイン (example.com) は保護しないことに注意してください。

6. BFD と Graceful Restart の併用は非推奨

[AWS Black Belt Online Seminar] オンプレミスとAWS間の冗長化接続

BFDとGraceful Restartを併用すると、意図した障害検出が出来ず、切り替えに時間がかかるので、無効にしておくことを強く推奨

7. 同じプレフィックスのアドバタイズでは Direct Connect が優先

Site-to-Site VPN のルーティングオプション - AWS Site-to-Site VPN

プレフィックスが同じである場合、仮想プライベートゲートウェイは、次のようにルートに優先順位を付けます (優先度の高い順)。

  • AWS Direct Connect 接続から BGP で伝播されたルート
  • Site-to-Site VPN 接続用に手動で追加された静的ルート

8. AmazonProvideDNS サーバーの IP アドレス

VPC の DNS 属性 - Amazon Virtual Private Cloud

例えば、IPv4 CIDR が 10.0.0.0/16 で、IPv6 CIDR が fd00:ec2::253 の VPC がある場合、Route 53 Resolver には 169.254.169.253 (IPv4)、fd00:ec2::253 (IPv6)、または 10.0.0.2 (IPv4) でアクセスできます。

9. Route 53 ヘルスチェックで正常なレコードがない場合はすべてが正常と判断される

ヘルスチェックが設定されている場合に Amazon Route 53 がレコードを選択する方法 - Amazon Route 53

レコードのグループ内に正常なレコードが 1 つも存在しなかった場合でも、Route 53 は DNS クエリへの応答として何かを返す必要がありますが、レコードの優劣を選択するための判断材料がありません。この状況では、グループに含まれるすべてのレコードが正常と見なされ、Route 53 はルーティングポリシーと各レコードに指定した値に基づいて 1 つを選択します。

10. Route 53 で IP に対してヘルスチェックするにはパブリック IP が必要

プライベートホストゾーンのフェイルオーバーの設定 - Amazon Route 53

Route 53 ヘルスチェッカーは VPC の外にあります。IP アドレスを使用して VPC 内のエンドポイントの正常性をチェックするには、VPC 内のインスタンスにパブリック IP アドレスを割り当てる必要があります。

11. プライベート IP に対するヘルスチェックをする場合は StatusCheckFailed メトリクスなどを監視する

プライベートホストゾーンのフェイルオーバーの設定 - Amazon Route 53

例えば、EC2 の StatusCheckFailed メトリクスのステータスをチェックする CloudWatch メトリクスを作成、このメトリクスにアラームを追加、さらにアラームのデータストリームに基づいたヘルスチェックを作成することが可能であり、バーチャルプライベートクラウド (VPC) 内にプライベート IP アドレスのみがあるインスタンスをチェックします。

12. エイリアスレコードへのヘルスチェックでは Evaluate Target Health を設定する

ヘルスチェックが設定されている場合に Amazon Route 53 がレコードを選択する方法 - Amazon Route 53

各エイリアスレコードに対して [ターゲットの正常性の評価] を [Yes (あり)] に設定することで、エイリアスレコードのヘルスチェックを設定することもできます。

13. 加重レコードのヘルスチェックで重みが 0 以外のレコードがすべて異常なら 0 のレコードが対象となる

ヘルスチェックが設定されている場合に Amazon Route 53 がレコードを選択する方法 - Amazon Route 53

重みが 0 より大きいレコードがいずれも異常であった場合、Route 53 は、重みがゼロである加重レコードを対象にします。

14. 伝達されるルートが VPC のローカルルートと重複する場合はローカルルートが優先

Site-to-Site VPN のルーティングオプション - AWS Site-to-Site VPN

Site-to-Site VPN 接続または AWS Direct Connect 接続から伝達されるルートが VPC のローカルルートと重複する場合は、伝達されたルートがより詳細であっても、ローカルルートが最優先されます。

15. 伝達されるルートと静的ルートの送信先が同じ場合は静的ルートが優先

Site-to-Site VPN のルーティングオプション - AWS Site-to-Site VPN

Site-to-Site VPN 接続または AWS Direct Connect 接続から伝播されるルートと他の既存静的ルート (プレフィックスの最長一致は適用できません) が同じ宛先 CIDR ブロックの場合は、ターゲットがインターネットゲートウェイ、仮想プライベートゲートウェイ、ネットワークインターフェイス、インスタンス ID、VPC ピアリング接続、NAT ゲートウェイ、トランジットゲートウェイ、またはゲートウェイ VPC エンドポイントの静的ルートが優先されます。

16. QuickSight Enterprise Edition では VPC と統合が可能

Amazon で VPC に接続する QuickSight - Amazon QuickSight

Amazon QuickSight Enterprise Edition は Amazon VPC サービスと完全に統合されています。

17. Direct Connect の接続構成について

パブリック仮想インターフェイスから AWS へのアクティブ/アクティブまたはアクティブ/パッシブ Direct Connect 接続を作成する | AWS re:Post

  • アクティブ/アクティブ
    • パブリック ASN
      • カスタマーゲートウェイが、両方のパブリック仮想インターフェイスで同じ BGP を使用して、同じプレフィックスをアドバタイズ
    • プライベート ASN
      • 未サポート
  • アクティブ/パッシブ
    • パブリック ASN
      • カスタマーゲートウェイが、両方の BGP で同じプレフィックスをアドバタイズ
      • BGP で AS_Path プリペンドを追加
        • 短い方が優先
      • Local Preference (LP) を設定
        • 値が大きい方が優先
    • プライベート ASN
      • カスタマーゲートウェイがプライマリ接続で長いプレフィックスをアドバタイズ

18. VIF ではデュアルスタックを有効化可能

AWSおよびハイブリッドネットワークにおけるデュアルスタックIPv6アーキテクチャ | Amazon Web Services ブログ

Direct Connect接続をデュアルスタックのトラフィックに使用するには、次の仮想インターフェース(VIF):プライベートVIF、パブリックVIF、トランジットVIFのいずれかを作成するか、既存のVIFを再利用してデュアルスタックに対応させる必要があります。

19. トランジットゲートウェイ上の Site-to-Site VPN 接続でデュアルスタックを実現するには 2 つの VPN 接続が必要

AWSおよびハイブリッドネットワークにおけるデュアルスタックIPv6アーキテクチャ | Amazon Web Services ブログ

トランジットゲートウェイ上のSite-to-Site VPN接続は、VPNトンネル内でIPv4トラフィックまたはIPv6トラフィックのいずれかをサポートします。つまり、デュアルスタック接続のためには、IPv4スタック用とIPv6スタック用の2つのVPN接続を作成する必要があります。

20. TGW に IPv6 VPC アタッチメントを設定するには、VPC とアタッチメントのサブネットに IPv6 の CIDR が関連付けられている必要がある

AWSおよびハイブリッドネットワークにおけるデュアルスタックIPv6アーキテクチャ | Amazon Web Services ブログ

TGWにIPv6対応のVPCアタッチメントを設定するには、VPCとアタッチメントのサブネットにIPv6のCIDRが関連付けられている必要があることに注意してください。

21. Site-to-Site VPN のルーティングでは動的 (BGP) を推奨している

[AWS Black Belt Online Seminar] AWS Site-to-Site VPN

静的または動的が選択可能 デバイスが対応している場合は、動的(BGP)を推奨

22. ゲートウェイまたはプライベート接続経由のエッジツーエッジルーティングはできない

VPC ピアリングの基本 - Amazon Virtual Private Cloud

  • VPC A にインターネットゲートウェイがある場合、VPC B のリソースは VPC A のインターネットゲートウェイを使用してインターネットにアクセスすることはできません。
  • VPC A にある NAT デバイスが VPC A のサブネットへのインターネットアクセスを提供している場合、VPC B のリソースは VPC A の NAT デバイスを使用してインターネットにアクセスすることはできません。
  • VPC A に企業ネットワークへの VPN 接続がある場合、VPC B のリソースは VPN 接続を使用して企業ネットワークと通信することはできません。
  • VPC A に企業ネットワークへの AWS Direct Connect 接続がある場合、VPC B のリソースは AWS Direct Connect 接続を使用して企業ネットワークと通信することはできません。
  • VPC A にゲートウェイエンドポイントがあり、このゲートウェイエンドポイントが VPC A のプライベートサブネットに対して Amazon S3 への接続を提供する場合、VPC B のリソースはゲートウェイエンドポイントを使用して Amazon S3 にアクセスすることはできません。

23. 専用接続とホスト型接続の違い

よくある質問 - AWS Direct Connect | AWS

専用接続は 1 Gbps、10 Gbps、100 Gbps の Ethernet ポート経由で確立されるもので、単一ユーザーに専用です。ホスト型接続は、AWS との間にネットワークリンクを確保している、AWS Direct Connect パートナーから供給されます。

24. マルチキャストルーティングは Transit Gateway でのみサポートされている

Transit Gateway でのマルチキャスト - Amazon VPC

マルチキャストのルーティングは、AWS Direct Connect、Site-to-Site VPN、ピアリングアタッチメント、または Transit Gateway Connect アタッチメントではサポートされていません。

25. Site-to-Site VPN の静的ルーティングのアクティブ/アクティブ設定で優先度は設定できない

あるトンネルを別のトンネルよりも優先するように、サイト間 VPN 接続を設定する | AWS re:Post

AWS VPN 接続 (静的ルーティングタイプ) にアクティブ/アクティブ設定 (両方のトンネルが UP) の場合、トラフィックを送信するために特定のトンネルを優先するように AWS を設定することはできません。

26. S3 のゲートウェイエンドポイントはオンプレや別の AWS リージョンからアクセスできない

Amazon S3 用の AWS PrivateLink - Amazon Simple Storage Service

Amazon S3 のゲートウェイエンドポイント
オンプレミスからのアクセスを許可しない
別の AWS リージョン からのアクセスを許可しない

27. CloudFront 署名付き URL の規定ポリシーではアクセスできなくなる日時のみ指定可能

署名付き URL の使用 - Amazon CloudFront

ユーザーがコンテンツにアクセスできなくなる日時を指定できる。
はい

28. CloudFront のカスタムオリジンの証明書が無効な場合は 502 エラーとなる

Requiring HTTPS for communication between CloudFront and your custom origin - Amazon CloudFront

If the origin server returns an expired certificate, an invalid certificate, or a self-signed certificate, or if the origin server returns the certificate chain in the wrong order, CloudFront drops the TCP connection, returns HTTP status code 502 (Bad Gateway) to the viewer, and sets the X-Cache header to Error from cloudfront. Also, if the full chain of certificates, including the intermediate certificate, is not present, CloudFront drops the TCP connection.

29. AWS AD と互換性のないサードパーティーソフトウェア

よくある質問 - AWS Directory Service | AWS

Active Directory 認定サービス (AD CS): 証明書登録ウェブサービス
Active Directory 認定サービス (AD CS): 証明書登録ポリシーウェブサービス
Microsoft Exchange Server
Business Server 向け Microsoft Skype

30. セカンダリ VPC の CIDR はプライマリのルートの CIDR 範囲と同じまたはそれ以上を指定できない

VPC CIDR ブロック - Amazon Virtual Private Cloud

CIDR ブロックは、VPC ルートテーブルのいずれかのルートの送信先 CIDR 範囲と同じ、またはそれ以上に大きくすることはできません。 例えば、プライマリ CIDR ブロックが 10.2.0.0/16 である VPC では、仮想プライベートゲートウェイへの送信先 10.0.0.0/24 を持つルートテーブル内に、既存のルートがあります。10.0.0.0/16 範囲内のセカンダリ CIDR ブロックを関連付けるとします。既存のルートが原因で、10.0.0.0/24 以上の CIDR ブロックを関連付けることはできません。ただし、10.0.0.0/25 以下のセカンダリ CIDR ブロックを関連付けることはできます。

31. Direct Connect のネットワーク要件

AWS Direct Connect とは - AWS Direct Connect

  • ネットワークでは、1 ギガビットイーサネットの場合は 1000BASE-LX (1310 nm) トランシーバー、10 ギガビットイーサネットの場合は 10GBASE-LR (1310 nm) トランシーバー、100 ギガビットイーサネットの場合は 100GBASE-LR4 トランシーバーでシングルモードファイバーを使用する必要があります。
  • ポート速度が 1 Gbps を超える接続では、ポートのオートネゴシエーションを無効にする必要があります。ただし、AWS Direct Connect エンドポイントが接続を処理する場合、1 Gbps 接続でオートネゴシエーションを有効または無効にする必要がある場合があります。仮想インターフェイスがダウンしたままの場合は、レイヤー 2 (データリンク層) 問題のトラブルシューティング を参照してください。
  • 802.1Q VLAN のカプセル化が、中間デバイスを含む接続全体でサポートされている必要があります。
  • デバイスがボーダーゲートウェイプロトコル (BGP) と BGP MD5 認証をサポートしている必要があります。
  • (省略可能) ご使用のネットワークで双方向フォワーディング検出 (BFD) プロトコルを設定できます。非同期 BFD は、AWS Direct Connect 各仮想インターフェイスで自動的に有効になります。Direct Connect 仮想インターフェイスに対して自動的に有効になりますが、お客様のルーターで設定するまでは利用可能になりません。詳細については、「Enable BFD for a Direct Connect connection」(Direct Connect 接続に対して BFD を有効にする) を参照してください。

32. NAT ゲートウェイの VPC フローログには受信トラフィックが記録されることがある

NAT ゲートウェイへのインバウンドインターネットトラフィックの分析 | AWS re:Post

理由 1: インバウンドインターネットトラフィックがセキュリティグループまたはネットワークのアクセスコントロールリスト (ACL) によって許可されている
理由 2: パブリック IP へのトラフィックがプライベートインスタンスから開始された

33. ルートテーブルに伝播されるルートが 100 を超える場合はデフォルトルートをアドバタイズできる

Amazon VPC クォータ - Amazon Virtual Private Cloud

追加のプレフィックスが必要な場合は、デフォルトルートをアドバタイズします。

34. ELB のうち ALB だけが AWS Local Zones や Outpost をサポートしている

特徴 - Elastic Load Balancing | AWS

Outpost のサポート
ローカルゾーン

35. ALB でローカルゾーンサブネットを使用する場合の制限

Application Load Balancer - Elastic Load Balancing

ロードバランサーで AWS WAF を使用することはできません。
Lambda 関数をターゲットとして使用することはできません。
スティッキーセッションやアプリケーションの維持は使用できません。

36. ALB で Outpost のサブネットを使用する場合の制限

Application Load Balancer - Elastic Load Balancing

  • オンプレミスのデータセンターに Outpost をインストールして設定しておく必要があります。Outpost と AWS リージョンの間に信頼できるネットワーク接続が必要です。
  • ロードバランサーでは、ロードバランサーノードの Outpost に 2 つの large インスタンスが必要です。
  • インスタンス ID または IP アドレスでターゲットを登録できます。Outpost の AWS リージョンにターゲットを登録した場合、ターゲットは使用されません。
  • ターゲットとしての Lambda 機能、AWS WAF 統合、スティッキーセッション、認証サポート、および AWS Global Accelerator との統合は使用できません。

37. CloudFront では PUT、POST、PATCH、OPTIONS、DELETE メソッドはオリジンに直接送信される

がコンテンツを CloudFront 配信する方法 - Amazon CloudFront

プロキシ HTTP メソッド (PUT、POST、PATCH、OPTIONS、DELETE) は POP からオリジンに直接送信され、リージョン別エッジキャッシュを経由してプロキシを実行しません。

38. Site-to-Site VPN で CGW の VPN トンネルがアイドル状態になったりダウンする際のチェックポイント

VPN トンネルのアイドル状態や不安定といった問題をトラブルシューティング | AWS re:Post

  • インターネットプロトコルセキュリティ (IPSec) によるデッドピア検出 (DPD) 用監視で問題が発生している
  • VPN トンネルの低トラフィックまたはベンダー固有のカスタマーゲートウェイ設定の問題によるアイドルタイムアウト
  • フェーズ 1 もしくはフェーズ 2 のキー再生成に関する問題が発生している
  • カスタマーゲートウェイデバイス上でのポリシーベースの VPN 接続が原因で、接続が途切れ途切れになるという問題が発生している

39. LAG では物理接続ごとに LOA-CFA をダウンロードする必要がある

Link Aggregation Group (LAG) - AWS Direct Connect

LAG の作成時に、新しい物理接続ごとに Letter of Authorization and Connecting Facility Assignment (LOA-CFA) を AWS Direct Connect コンソールからダウンロードできます。

40. Site-to-Site VPN のフェーズ 2 接続が確立できない際のチェックポイント

VPN トンネル IPsec/フェーズ 2 が失敗する | AWS re:Post

  • Site-to-Site VPN フェーズ 2 パラメータがカスタマーゲートウェイデバイスで正しく設定されていることを確認します。
  • IKEv1 と IKEv2 でサポートされているフェーズ 2 パラメータが正しく設定されていることを確認します。
  • Diffie-Hellman Perfect Forward Secrecy (PFS) がアクティブで、キー生成に Diffie-Hellman グループを使用していることを確認します。
  • AWS とカスタマーゲートウェイデバイスの間にセキュリティアソシエーションやトラフィックセレクターの不一致がないことを確認します。
  • 構成されている Site-to-Site VPN 接続オプション (リモート IP アドレスとローカル IP アドレスを含む) が、カスタマーゲートウェイデバイスで指定されているセキュリティアソシエーションと一致しているかどうかを確認します。
  • トラフィックが AWS へのインバウンドで開始されているかどうかを確認します。

41. Direct Connect での Active/Standby を設定するのはオンプレ側の機器

[AWS Black Belt Online Seminar] オンプレミスとAWS間の冗長化接続

トラフィックを片寄する要件があれば、お客様ネットワーク機器で設定
Direct Connectによる設定項目は無い

42. VGW のルートテーブルを参照する機能はない

[AWS Black Belt Online Seminar] オンプレミスとAWS間の冗長化接続

  • 現在のところ、VGWのルートテーブルを利用者が参照する機能は無い
  • VGWが持つ経路を確認したい場合サポートケースで問い合わせ可能
    (有償のAWSサポートへの加入が必要、サポートが調査時の経路のみ提供可、過去の経路は確認不可)

43. VGW が持つ経路を監視する方法もある

[AWS Black Belt Online Seminar] オンプレミスとAWS間の冗長化接続

いずれのサブネットにも関連付けられていないルートテーブルに対し「VGWが持っている経路」を自動的に伝播させることが可能
以下の様なコマンド実行結果を定期的に取得する事で、過去のルートテーブル情報を保存する方法もある
aws ec2 describe-route-tables --route-table-ids

44. AWS デバイスの BFD はオンプレ側ルーターで設定した値に合わせて有効化される

[AWS Black Belt Online Seminar] オンプレミスとAWS間の冗長化接続

AWSデバイス側はお客様ルーターで設定した値に合わせ、機能が有効化される

45. オンプレ側ルーターが BFD 非対応の場合は BGP の keepalive/Hold Time を使用する

[AWS Black Belt Online Seminar] オンプレミスとAWS間の冗長化接続

お客様ルーターがBFDに対応していない場合にのみBGPのkeepalive/Hold Timeをチューニングして切替時間を短縮する

46. DXGW を TGW に関連付けている場合、DXGW を VGW にはアタッチできない

仮想プライベートゲートウェイの関連付け - AWS Direct Connect

Direct Connect ゲートウェイが既にトランジットゲートウェイに関連付けられている場合、Direct Connect ゲートウェイを仮想プライベートゲートウェイにアタッチすることはできません。

47. VGW を複数の DXGW に関連付けることはできない

仮想プライベートゲートウェイの関連付け - AWS Direct Connect

仮想プライベートゲートウェイを、複数の Direct Connect ゲートウェイに関連付けることはできません。また、プライベート仮想インターフェイスを、複数の Direct Connect ゲートウェイにアタッチすることはできません。

48. Amazon DNS サーバーとのトラフィックをフィルタリングすることはできない

VPC の DNS 属性 - Amazon Virtual Private Cloud

ネットワーク ACL またはセキュリティグループを使用して、Amazon DNS サーバーとの間のトラフィックをフィルタリングすることはできません。

49. Route 53 Resolver へ送信可能なパケットは 1024 パケット/秒

VPC の DNS 属性 - Amazon Virtual Private Cloud

各 EC2 インスタンスは、Route 53 Resolver (具体的には 10.0.0.2、169.254.169.253などの .2 アドレス) にネットワークインターフェイスあたり 1024 パケット/秒でパケットを送信できます。このクォータを増やすことはできません。

50. Site-to-Site VPN ではプライベート証明書による認証の場合固定のパブリック IP が不要

[AWS Black Belt Online Seminar] AWS Site-to-Site VPN

プライベート証明書による認証の場合、非固定Public IPに対応

51. Site-to-Site VPNでは、パス MTU 検出(Path MTU Discovery)に対応していない

[AWS Black Belt Online Seminar] AWS Site-to-Site VPN

AWS Site-to-Site VPNでは、パスMTU検出(Path MTU Discovery)に対応していません。このため、予めEnd-to-Endでパケットサイズが1399以下となるよう、ホスト、ネットワーク機器のMTU設定を行う事を推奨。

52. Accelerated VPN は TGW にアタッチされている Site-to-Site VPN でのみサポートされている

Site-to-Site VPN 接続の高速化 - AWS Site-to-Site VPN

アクセラレーションは、トランジットゲートウェイにアタッチされている Site-to-Site VPN接続でのみサポートされます。

53. 既存の Site-to-Site VPN のアクセラレーションを有効または無効にすることはできない

Site-to-Site VPN 接続の高速化 - AWS Site-to-Site VPN

既存のサイト間 VPN 接続のアクセラレーションを有効または無効にすることはできません。代わりに、必要に応じてアクセラレーションを有効または無効にして、新しいサイト間 VPN 接続を作成することができます。

54. リージョン間 VPC ピアリングではジャンボフレームは非対応

VPC ピアリングの基本 - Amazon Virtual Private Cloud

ジャンボフレーム (MTU は最大 9001 バイト) は、リージョン間の VPC ピアリング接続ではサポートされていません。ただし、同じリージョン内の VPC ピアリング接続ではサポートされています。

Discussion

Hidden comment