AWS ANSサービスまとめ1

・Flow Logsのインバウンド・アウトバウンドはEC2インスタンス側を基準にしている

・CIDR範囲の見方
・オンプレ：172.31.0.0/20
→ 第3オクテットが 0〜15 の IP がオンプレ
つまり172.31.8.29→三つ目の数字が8だからオンプレ側
・アプリケーション：172.31.16.0/20
→ 第3オクテット 16〜31 が VPC
つまり172.31.18.139→三つ目の数字が18だからアプリケーション側

・BGP
どの道を通って通信するか決めるためのルール。複数のルートが同時にある場合などにどのルートを優先するのかを決める

・VPCフローログは送信元IP→宛先IPで送られる

・NATゲートウェイの検出にはカスタムAWS Configを使用する。CloudFormation StackSetsを使用して一元的に複数アカウントにデプロイする。
→AWS Configはコンプライアンス履歴を自動的に記録し、ダッシュボードを通じて簡単に閲覧できる機能を提供している

・Elastic Fabric Adapter (EFA)
高性能コンピューティング向けに設計されており低レイテンシー、高帯域幅の通信を提供

・Transit Gateway Connect
Transit GatewayとSDWANを接続するもの

・AWS Network Manager Route Analyzer
AWS Transit Gatewayネットワーク内のトランジットゲートウェイルートテーブルを分析・モニタリングするためのツール
→VPCルートテーブルを分析する機能はない（VPCルートテーブルは別途手動で確認する）

・VPC Reachability Analyzer
ネットワーク到達可能性を分析して通れない場合はどこでブロックされてるかを特定するツール
→インターネットゲートウェイ、EC2インスタンス、ネットワークインターフェイスなどの具体的なネットワークリソースをソースとして指定する必要がある

・MACsec
通信を暗号化する仕組み
→MACsec を有効にする手順
１．CKN/CAKペアを接続に関連付ける
２．MACsec暗号化モードをmust_encrypにする
３．オンプレミスルーターでMACsecシークレットキーを設定する
１と２の順序は逆になってはいけない。この順序でないと暗号化できない

・二つのVPCでAWS Client VPN接続をする方法
１．片方のVPC（VPC-A）にAWS Client VPNエンドポイントを作成する。VPC AとVPC Bへのアクセスを許可する認可ルールを追加する（VPC-Aへのルートは自動で追加される）
２．VPCピアリングで二つのVPCをプライベート接続を確立する
３．AWS Client VPNエンドポイントのルートテーブルに、VPC Bへのトラフィックを誘導するルートを追加する

・インスタンス間のすべてのトラフィックをEC2アプライアンスに送信したい場合はミラーリングを使う。
→ミラーリングのターゲットはネットワークインターフェース（EC2など）、Network Load Balancer、Gateway Load Balancerエンドポイントのみ。NATゲートウェイはターゲットに出来ない。

・Route 53 Resolverで名前解決するときにはDHCP設定は変更しない

・DHCPオプションセット
DNSサーバーの情報やドメイン名といったネットワーク設定を集中管理し、VPC内のすべてのインスタンスに自動で適用するための機能

・移行前の古いプロトコルを使用していないかを確認する方法
VPCフローログをS3に保存してAthenaで古いプロトコルで使用されるポートをフィルタリングする

・Amazon Inspectorのネットワーク到達可能性分析は、コンテナで実行中のアプリケーションに対応しておらず、EC2インスタンスが対象。コンテナイメージには対応しているが、実行中のコンテナが対応外。実行中のEC2インスタンスはOK。

・AWS Global Accelerator
TCPとUDPの両方のプロトコルをサポートしている。トラフィックダイヤルを設定することで、新しいリージョナルデプロイメントへのトラフィック量を制御することができる。NLBを直接エンドポイントとして登録できる。

・CloudFrontはUDPプロトコルをサポートしていない。NLBをオリジンとして設定できない。

・Application Load BalancerでターゲットタイプとしてIPターゲットタイプを指定するとEC2とオンプレの両方をターゲットグループとして登録できる
→instanceターゲットタイプはAWSインスタンスIDに基づいており、オンプレミスサーバーを登録することができない

・VPNの可用性を高めるためには複数の動的BGPベースのSite-to-Site VPN接続を構成＋等コストマルチパスルーティング（ECMP）を構成する

・カスタマー管理プレフィックリストは、 複数のIPv4またはIPv6 CIDRブロックを単一のリソースとして集中管理できる。バージョン管理機能もある。

・AWS Resource Access Managerはカスタマー管理プレフィックリストを共有できる
→AWS Firewall Manageは管理プレフィックリストそのものを管理することは出来ない

・ALBをオリジンとするCloudFrontにAWS WAFをつけている場合は、ALBアクセスログを有効にしてもAWS WAFによって検出された攻撃の詳細は直接記録されない
→AWS WAFが検出するアプリケーション攻撃を分析するためには
AWS WAFウェブACLがAmazon Kinesis Data Firehoseデリバリーストリームにログを配信するように設定する

・AWS Configは過去の設定の履歴にアクセスして特定の時点でのリソースにアクセスできる

・ENA（Elastic Network Adapter）
EC2インスタンス内のネットワークパフォーマンスを向上させる。インターネット経由の長距離通信中の通信ロスには対処できない。

・Route 53のDNSクエリ数を取得したい時はAmazon CloudWatchを使用してDNSQueriesメトリクスを確認する
→DNSQueries
特定のホストゾーンに対するDNSクエリの数を直接計測する

・ジャンボフレームは9000バイト
→これより少ないサイズならエラーが起きる。大きい道を通るためには9000より大きくないと通れないからエラーになるイメージ。
・パブリックインターネットは1500バイト。なのでエラーになる
・Site-to-Site VPNは1500バイト以下。なのでエラーになる
・Direct Connect は 9001バイト。なのでジャンボフレームに対応している

・クライアントとアプリケーション間のすべての接続にエンドツーエンドの暗号化するには
１．Network Load Balancer（NLB）を作成する
→TCPを使いたいからNLBを使う
２．TCPリスナーとしてプロトコルを構成する
→TCPはトラフィックをロードバランサーで復号しないから終端まで暗号化される。TLSプロトコルは使わない。
（クライアント → ロードバランサー → EC2 まで暗号が維持される）
３．SSL証明書をEC2インスタンスにデプロイする

・Application Load BalancerのHTTPSリスナーを使用するとロードバランサーで復号されるからエンドツーエンドには適していない。

・Direct Connectで使うBGP属性は数字が大きいほど優先される
→コミュニティタグ
7300 > 7100（7300 が優先）
→ローカルプリファレンス
200 > 50 （200 が優先）
二本のDirect ConnectでDirect Connect Aをプライマリ、Direct Connect Bをセカンダリにしたい時は、Direct Connect Aの優先度を高くする（数字を大きくする）、Direct Connect Bの優先度を低くする（数字を小さくする）
パブリックVIFで使われるタグ：（7224:9300と7224:9100）
トランジットVIFで使われるタグ：（7224:7300と7224:7100）

・追加のカスタムフォーマットフィールドでVPCフローログを設定するとvpc-id、subnet-id、tcp-flagsをキャプチャできる。それをS3に保存できる
→デフォルトフィールドでのVPCフローログ設定では出来ない

・トランジットゲートウェイはトランジットゲートウェイ同士でピアリング接続をしてリージョン間の接続ができる

・Route 53 プライベートホストゾーンは1つ作成して複数VPCに関連付けれる