ANS勉強用
shimo
Amazon VPCエンドポイントには、プライベートDNSオプションがあります。これをオンにすると、対応するAWSサービスのドメイン名(例えば、s3.amazonaws.com)が自動的にそのVPCエンドポイントのプライベートIPアドレスに解決されます。これにより、VPC内のリソースはプライベートIPアドレスを使ってサービスにアクセスできます。
shimoTGWのアプライアンスモードについて
shimo
TGWでマルチキャスト
マルチキャストは、単一のデータストリームを複数の受信コンピュータに同時に配信するために使用される通信プロトコルです。Transit Gateway は、接続された VPC のサブネット間のマルチキャストトラフィックのルーティングをサポートし、複数の受信インスタンス宛てのトラフィックを送信するインスタンスのマルチキャストルーターとして機能します。
インターネットグループ管理プロトコル (IGMP) — ホストとルーターがマルチキャストグループメンバーシップを動的に管理できるようにするインターネットプロトコル。
shimoTGWのDNSサポート
[DNS サポート] で、Transit Gateway にアタッチされている別のVPCのインスタンスから照会されたときに、パブリック IPv4 DNS ホスト名をプライベート IPv4 アドレスに解決するために VPC が必要な場合は、[有効] を選択します。 - https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/tgw-transit-gateways.html
shimo
Site-to-Site VPN 接続では、AWS は 2 つの冗長トンネルのうちの 1 つをプライマリ送信パスとして選択します。この選択は、ときどき変更される場合があるため、両方のトンネルの可用性を高めるよう設定し、非対称ルーティングを許可することを強くお勧めします。トンネルエンドポイントの状態は、他のルーティング属性よりも優先されます。この優先は、仮想プライベートゲートウェイとトランジットゲートウェイ上の VPN に適用されます。
shimoAWS Direct Connect enables you to configure private and dedicated connectivity to your on-premises, and natively supports both IPv4 and IPv6 routing. To use your Direct Connect connection for dual-stack traffic, you need to first create one of the following virtual interfaces (VIFs): Private VIF, Public VIF or Transit VIF, or reuse your existing VIFs and enable them for dual-stack support. The following considerations apply to dual-stack VIFs:
shimoNetwork Firewallの分散型、集約型
分散型の導入モデルでは、保護が必要な各VPCにNetwork Firewallを導入します。各VPCは個別に保護され、VPCを分離することで影響範囲を小さくします。各Network Firewallは、それぞれ独自のファイアウォールポリシーを持つことができ、また、複数のファイアウォールで共通のルールグループ(再利用可能なルールの集まり)を介してポリシーを共有することもできます。これにより、各Network Firewallを独立して管理することができ、設定ミスの可能性を低減し、影響範囲を限定することができます。
集約型の展開モデルでは、AWS Transit Gatewayと連携することが前提となります。Transit Gatewayはネットワークハブとして機能し、VPC間やオンプレミスのネットワークをシンプルに接続できます。また、Transit Gatewayは、他のTransit Gatewayとリージョン間ピアリング機能を有し、AWSバックボーンを利用したグローバルネットワークを構築します。
集約型のもう一つの大きな特徴は、検査用VPCです。検査用VPCは、各AZの2つのサブネットで構成されています。1つはファイアウォールのエンドポイント専用サブネット、もう1つはTransit Gatewayのアタッチメント専用サブネットです。図5は、3つのAZを持つAWSリージョンが検査用VPCのために合計6つのサブネットを持つ例を示しています。これはマルチAZの構成です。
shimo
Route 53 が KSK AWS KMS に関連付けられた を使用する方法
DNSSEC では、KSK を使用して DNSKEY リソースレコードセットのリソースレコード署名 (RRSIG) を生成します。すべての ACTIVE KSK は RRSIG 世代で使用されます。Route 53 は、関連付けられた KMS キーで Sign AWS KMS API を呼び出して RRSIG を生成します。詳細については、「AWS KMS API ガイド」の「署名」を参照してください。これらの RRSIG は、ゾーンのリソースレコードセットの制限には数えられません。
Route 53 がゾーンの ZSK を管理する方法
DNSSEC の署名が有効になっている新しいホストゾーンには、それぞれ 1 つの ACTIVE ゾーン署名キー (ZSK) があります。ZSK はホストゾーンごとに別々に生成され、Route 53 が所有しています。現在のキーアルゴリズムは ECDSAP256SHA256 です。
shimo
プライベート DNS
Amazon S3 のインターフェイスエンドポイントにはプライベート DNS を設定し、インバウンドの Resolver エンドポイントにのみプライベート DNS を設定しない場合、オンプレミスネットワークと VPC の両方からのリクエストは、インターフェイスエンドポイントを使用して Amazon S3 にアクセスします。そのため、追加料金なしでゲートウェイエンドポイントを使用する代わりに、VPC からのトラフィックにはインターフェイスエンドポイントを使用するため料金が発生します。
shimo
Document
PrivateLink
interface endpoint
S3 interface vs gateway endpoint
GWLB
AWS Transfer for SFTPの構成例まとめ (2020年4月版)
VPN Virtual private gateway
パブリックVIF
AWS Blog
Whitepaper
Hybridのwhitepaper
PPT slides