AWS認定試験の合格に必要な知識を確認します。
本稿では下記の略語を使用します。
| 略称 | 原語 |
|---|---|
| AZ | Availability zones |
| I/O | Input/Output |
| ACL | Access control list |
| GW | Gateway |
| IGW | Internet Gateway |
| FW | Firewall |
| IPS | Intrusion prevention system |
| RI | Reserved instances |
| SSO | Single sign-on |
| SG | Security group |
| SF | Step Functions |
| AD | Active Directory |
| GSI | Global Secondary Index |
| LSI | Local Secondary Index |
前提
本稿では,専門知識レベルの高度なネットワーキングスペシャリティ(ANS:AWS Certified Advanced Networking Specialty)に関する直前対策を行います。ANSは現在C01とよばれる形式の試験が実施されています。
ネットワーク設計
AZの識別方法について説明せよ。
AZの表記とAZのIDは全アカウントで同じとは限らない。例えば,ap-northeast-1aというAZは,apne1-az3というIDのAZに紐づけられているアカウントもあれば,apne1-az4というIDのAZに紐づけられているアカウントもあるということ。
3つのVPCをピアリングしたときに両端のVPC間の直接通信はできるか。
できない。
IPが重複する2つのVPCを両端とする3つのVPCをピアリングする具体的な方法を説明せよ。
3つのVPCをVPC_A,VPC_B,VPC_Cとし,中央のVPCをVPC_Bとする。VPC_A・VPC_B間のVPCピアリングをPCX_AB,VPC_B・VPC_C間のVPCピアリングをPCX_BCとする。VPC_Bに2つのAZを作成し,それぞれサブネット_X,サブネット_Yとする。要件から,VPC_AとVPC_CのIPは重複しているとする。
VPC_Aのサブネットのルートテーブルで,送信元がVPC_BのときはPCX_ABをターゲットとするようにルートテーブルを設定する。逆に,サブネットAのルートテーブルで,送信元がVPC_BのときはPCX_ABをターゲットとするようにルートテーブルを設定する。
同様に,VPC_Cのサブネットのルートテーブルで,送信元がVPC_BのときはPCX_BCをターゲットとするようにルートテーブルを設定する。逆に,サブネットBのルートテーブルで,送信元がVPC_BのときはPCX_BCをターゲットとするようにルートテーブルを設定する。
ポイントとしては,中央のVPCには両端の重複するIPそれぞれに対して独立したサブネットを用意して,それぞれが同一IPに対して異なるターゲット(VPCピアリング)を設定すればよいという話。
ルートテーブルはどの単位で作成されるか。
サブネット
AWSのジャンボフレームについて説明せよ。
VPC内で通信する際に,通常のイーサネットでは1500MTUであるジャンボフレームを,9001MTUまで上げることができる。ただし,VPC外との通信やリージョンをまたぐVPCピアリングでは1500MTUに制限されるため,注意が必要。
VPNでAWS側のエンドポイントとなるサービスとその特徴を説明せよ。
VGW(仮想ゲートウェイ)がエンドポイントとなる。VGWはVPCに一つだけアタッチすることができ,複数AZに自動で冗長化されている。また,VGWはVPCからデタッチしてVGWだけでルーティングの機能を果たすことができる。一つのVGWをハブとして,複数のVPCにVPNやDirectConnect経由で接続する構成を,VPN CloudHubという。
VPNでオンプレミス側のエンドポイントとなるサービスを述べよ。
CGW(カスタマーゲートウェイ)
DirectConnectでオンプレミス側のエンドポイントとなるサービスを述べよ。
VIF(仮想インタフェース)
クライアントVPNでAWS側のエンドポイントとなるサービスを述べよ。
クライアントVPNエンドポイント。実態はENIである。
インラインゲートウェイ方式とは何か。
VPNソフトウェアをインストールしてゲートウェイとして機能させる方式。
VIF(仮想ゲートウェイ)の種類とその使い方を説明せよ。
- Private VIF: VPCのVGWと一対一対応する
- Public VIF: AWSのパブリックエンドポイント(S3等)と接続する
- Transit VIF: DirectConnect GatewayとTransit Gatewayを介して複数VPCと接続する
DirectConnectゲートウェイを説明せよ。
本来Private VIFとVGWが一対一対応するところを,DirectConnectゲートウェイを通すことで複数のVGWと接続できるようになる。
DirectConnectの冗長性はどのように確保されているか。
ユーザ自身で確保する必要がある。1つのリージョン内に複数のDirectConnectロケーションするが,複数リージョンにまたがるように複数のDirectConnectロケーションを選択するようにする。
EC2インスタンスのメタデータを取得するIPを述べよ。
169.254.169.254
Amazon Time Sync Serviceで正確な時刻を取得するIPを述べよ。
169.254.169.123
ALB/NLBのクライアントIPの保持についてまとめよ。
| タイプ | ターゲット | プロトコル | 保持方法 |
|---|---|---|---|
| NLB | IP | TCP/TLS | Proxy Protocolを有効化して Proxy Protocolヘッダーから取得 |
| NLB | IP | UDP | デフォルトのヘッダーから取得可能 |
| NLB | インスタンスID | 全て | デフォルトのヘッダーから取得可能 Proxy Protocolを有効にすることも可能 |
| ALB | HTTP(S) | HTTPヘッダー中に X-Forwarded-Forが自動追加される |
ネットワーク実装
オンプレからAWSに接続するためのPublic VIFとPrivate VIFの作成に必要な情報をそれぞれ答えよ。
- Public VIF
- アドバタイズするIPプレフィックス
- VLAN ID
- BGPパブリックASN(AS番号)
- Private VIF
- Virtual Private Gateway
- VLAN ID
- BGPプライベートASN(AS番号)
DirectConnectを構築してLOA-CFAをプロバイダーに共有する手順を説明せよ。
- マネコン上からDirect Connect接続を作成する
- LOA-CFAがダウンロード可能になり次第ダウンロードする
- LOA-CFAをプロバイダに共有する
なお,LOA-CFAは「AWSに接続するための許可証」というイメージ。
DirectConnectではどのタイミングでBGPを設定するか。
VIFの作成時
NTPサーバの設定はどこで行うか。
DHCPオプションセット
ネットワークの管理と運用
IGWとDirectConnectでアウトバウンド通信のコストはどちらの方が安価か。
DirectConnect
BGPで最適経路を決定する際のパス属性と優先度の決定方法をまとめよ。
| 属性 | 優先度 | 指定方法 |
|---|---|---|
| Local Preference(LP) | 大きい方が優先 | インバウンド/アウトバウンド制御 |
| AS-Path Prepend | 小さい方が優先 | インバウンド/アウトバウンド制御 |
| MED | 小さい方が優先 | インバウンド制御 |
LPとMEDで,トラフィックの一部をドロップする可能性があるパス属性はどちらか。
インバウンド制御しかないMED
MEDはAWSで制御不能か。
VPNでは制御可能。DirectConnectでもサポート外ではあるが一応制御可能。
CloudFrontが502/503/504を返す原因の例を挙げよ
- 502(Bad Gateway):オリジンとのSSL/TLSネゴシエーションの失敗
- 503(Service Unavailable):オリジンのキャパシティ超過・エッジロケーションの制限
- 504(Gateway Timeout):オリジンのSG設定が不適切
CloudWatchの送信するデータが存在しないときのベストプラクティスは何か。
0を送信する。「データが存在しない」というデータを送るという意味。
ネットワークセキュリティ・コンプライアンス・ガバナンス
DirectConnectのデータ転送料金はどのアカウントが支払うか。
VGWをもつアカウント
CloudHSMの負荷分散はどのように行うか。
CloudHSMクラスタに複数のHSMを作成すると,自動で負荷分散する。EC2上にインストールする訳ではない点に注意する。クラスタもEC2のAutoScalingのクラスタを指している訳ではない。
AWS Configのコンプライアンスに関するコマンドを簡単にまとめよ。
- describe-compliance-by-resource
- 指定したリソースのコンプライアンス一覧を返す。準拠・非準拠をザッと確認できる。
- describe-compliance-by-config-rule
- 指定したConfigルールに対するコンプライアンス一覧を返す。準拠・非準拠をザッと確認できる。
- get-compliance-details-by-resource
- 指定したリソースのコンプライアンス詳細を返す。準拠・非準拠に加えてチェック時刻等も確認できる。
- get-compliance-details-by-config-rule
- 指定したConfigルールに対するコンプライアンス詳細を返す。準拠・非準拠に加えてチェック時刻等も確認できる。
情報(一覧)>状態と覚える。より広範な情報はdescribeして,詳細な状態はgetする。
ひっかけポイント
サイト・サイト間VPNのサイトとは何か。
ITシステム全般のこと。オンプレミスのデータセンターやオフィスなど。
アクティブ・アクティブで冗長化されたVPNの通信で問題となるケースは何か。
行きと帰りで異なるトンネルで通信してしまうこと。Transit Gatewayを利用したVPNでは,複数のVPNトンネルを利用してトラフィックを分散するECMP(Equal-Cost Multi-Path Routing)が利用できる。
VPCにアタッチするインタフェースとゲートウェイ間の通信に関して説明せよ。
- インタフェース・インタフェース間:通信可能。EC2のENIとインタフェース型VPCエンドポイントなど
- インタフェース・ゲートウェイ間:通信可能。VGWとインタフェース型VPCエンドポイントなど
- ゲートウェイ・ゲートウェイ間:VGWとゲートウェイ型VPCエンドポイントなど
VGWは自分からIPsecを開始しないことを理解すると分かりやすい。また,これらの話はあくまでもVPCにアタッチされたスコープでの話。例えば,VPCにアタッチしたゲートウェイとVPC内のインタフェース(EC2のENIなど)は通信できる,といった具合。
VPCピアリングはゲートウェイとインタフェースのどちらか。
ゲートウェイ
TransitGatewayは特定のリージョンに属するか。
属する。
DirectConnect Gatewayは特定のリージョンに属するか。
属さない。グローバル。
クライアントからアプリケーションまでをE2Eで暗号化する際のALBのプロトコルは何か。
TCP
EC2との通信でパケットの中身を確認するための方法は何か。
Trafic Mirroringを利用する。VPCフローログではパケットの中身までは見られないので注意。
Amazon Workspacesを利用するための条件を述べよ。
少なくとも2AZでサブネットを作成していること。
AWS Site-to-Site VPNで利用するプロトコルとポート番号を述べよ。
- IP/50(ESP)
- UDP/500(ISAKMP/IKE)
DirectConnectの冗長構成でVPNは有効か。
全ての場合に有効な訳ではない。具体的には,1Gbpsを超える帯域のバックアップとしてはVPNの利用は非推奨となっている。
EC2でポートスキャンされているかどうかを確認する方法を述べよ。
- VPCフローログをCloudWatch Logsに送信し,ポート接続失敗のメトリクスフィルタを利用する
- Guard Dutyを利用する
Inspectorはあくまでも脆弱性等の評価を行うサービスで,ポートスキャンの可能性は確認できない。
IP制限ではなくURLに対する制限はどのように設けるか。
EC2等でプロキシを立てる。
AutoScalingするEC2に対するVPCフローログはサブネット単位とENI単位ではどちらの方がベターか。
AutoScalingでインスタンス数は増減するためサブネット単位がベター。
EC2のメタデータを取得する際はHTTPとHTTPSのどちらを利用するか。
HTTP
CloudFrontでOAIを利用する場合のオリジンは何か。
S3
VPN CloudHubはVPC同士を接続できるか。
接続できない
EC2のインスタンスプロファイルが認証情報を取得する仕組みを簡単に説明せよ。
169.254.169.254/latest/meta-data にアクセスして取得する。
DHCPのオプションセットは変更できるか。
変更できない。
ELBでUDPに対応しているタイプはどれか。
- NLB:対応している
- ALB/CLB:対応していない
CloudFrontはUDPに対応しているか。
対応していない。
パブリックホストゾーンとプライベートホストゾーンで重複設定すると何が起きるか。
仮に,example.academ-aid.comにVPC内からアクセスすることを考える。academ-aid.comのAレコードが,プライベートホストゾーンとパブリックホストゾーンの両方に設定されている場合,VPC内部からの通信であるため,example.academ-aid.comに一致するレコードがプライベートホストゾーンに登録されていない場合は,そのままプライベートホストゾーンでacadem-aid.comのAレコードを参照してしまう。
ホスト名は子から親に向かって名前解決していくというイメージをもつ。
DirectConnectとSite-to-SIte VPNの冗長構成で経路選択はどうなるか。
DirectConnectが優先される
S3のウェブサイトホスティングで混合コンテンツのエラーはどのようなときに表示されるか。
複数のコンポーネントを結合する際に,HTTP/HTTPSが混合しているとき
VPCへのDNSリクエストをDNSサーバに向けるための方法を説明せよ。
DHCPオプションセットを構成する。Route53は利用しない。
VIFとVGWの違いは何か。
語弊を恐れずに言うと,VIFは仮想的(論理的)な回線(接続)で,VGWは仮想的なルータ。VLANを利用して作られた物理的な接続における仮想的な接続をVIFとイメージしておくとよい。一つの接続の中に複数のVIFを作成できる。
DirectConnectでオンプレ側からアナウンスするPrivate VIFの制限を述べよ。
アナウンスするプレフィックス数が100以下であること
ELBの理由コードにTarget.Unhealthyは存在するか。
存在しない。
BGPのPATH Prependを利用する際の注意点を述べよ。
Public VIFかつPublic AS番号を利用している必要がある
CloudFrontのオリジンの保護にOAIは適切か?
場合による。OAIはS3しかサポートしていないため,CloudFront全般に対して思考停止でOAIと答えてはいけない。CloudFrontのカスタムヘッダを利用して認証する方法もあることを忘れずに。
Smooth Streamingとは何か。
メディアファイルをストリーミングするためのMicrosoftのフォーマット。
SGはリージョンをまたげるか。
またげない。
「SSLの相互認証」という要件に対してELBは何を利用するか。
NLBでTCPを通過させる。ALBは相互認証できない。これは,TLSのネゴシエーションがL7ではないからと理解する。
IPv4のクラスとサブネットマスクを述べよ。
- クラスA(10.0.0.0):/8までネットワーク部
- クラスB(172.16.0.0):/16までネットワーク部
- クラスC(192.168.0.0):/24までネットワーク部
192.168.130.130/28のサブネット数とホスト数を述べよ。
192.168.130.130はクラスCなので,ネットワーク部は/24まで。となると,28-24=4bitがサブネット数として利用できるbit数,32-28=4bitがホスト数として利用できるbit数となる。ホストとしては,ネットワークアドレスとブロードキャストアドレスが予約されているため,14個となる。
- サブネット数:16
- ホスト数:14
ただし,実際にはあと3つのアドレスをAWSが予約している。
カスタマーゲートウェイとIPsecを結ぶ先は何か。
ソフトウェアVPN。EC2上で構築する。VGWとは結べない。
「最も信頼性の高い」と言われて思い浮かべるサービスは何か。
Route53。例えば,DHCPオプションセットよりもRoute53 Resolverを利用するなど。
ENIの付け替えにEC2の再起動は必要か。
不要
ENIはAZをまたいで付け替えられるか。
付け替えられない
AWSではNICをバインドしてスループットを高速化できるか。
できない。
LAGでは異なる速度の接続をマージして別の速度の接続を作成することはできるか。
できない。
重複するサブネットを許容できるソリューションは何か。
VRF(Virtual Routing and Forwarding)
DNSサーバのアドレスはサブネットとVPCのどちらを基準に作成されるか。
VPCを基準に作成される。例えば,10.111.0.0/16のVPCに10.111.4.0のサブネットを作成するとき,DNSのサーバアドレスは10.111.0.2となる。
DirectConnect上でVPNを設定する際に,VIFはパブリックとプライベートのどちらを利用するか。
パブリック
AWS ConfigのマネージドルールはS3 Glacierをサポートしているか。
サポートしていない。
IP固定かつ地理的に最も近いリージョンにルーティングするという要件に合致するサービスは何か。
Global Accelerator
VPN接続でルートテーブルのプロパゲーションは必要か。
必要ない。VPC同士を接続する際に必要となる。
VIFではインターネットデータアウトとDirectConnectデータアウトのどちらが課金されるか。
DirectConnectデータアウト
プレイスメントグループ内外の通信速度をまとめよ。
- プレイスメントグループ内:10Gbps
- プレイスメントグループ外:5Gbps
HTTPのCloudFrontではCookieをオリジンに転送できるか。
転送できる。
DirectConnectに2つのVPCに対応するプライベートVIFを関連づけてDXGを使うとVPC間の通信は可能か。
可能ではない。VPC間の通信にはDXG+Transit Gateway(or VPCピアリング)が必要。
DirectConnect接続とVPNを併用しているときにAS_PATH Prependingは利用できるか。
利用してもDirectConnect接続が優先される。唯一,ロンゲストマッチの原則により,VPNの方が具体的なプレフィックスを与えている場合にはVPNが優先される。
AWS Configの設定ストリームをモニタリングする際に利用するサービスを二つ挙げよ。
- SNS
- SQS
設定ストリームに関連するSNSトピックをサブスクライブしてSQSのエンドポイントに配信できる。
データを暗号化するという要件に対してDirectConnectの利用は適しているか。
適していない。DirectConnectを経由したからといって暗号化される訳ではない。思考停止しない。
CloudFrontでデータを暗号化するという要件はどのように満たせばよいか。
Cache BehaviorをHTTPSに設定した上で,オリジンプロトコルポリシーにMatch Viewerを設定する。
プレイスメントグループには異なる種類のENIを格納できるか。
格納できる。
AWS ConfigでS3に保存されるものは何か。
- 設定履歴
- 設定スナップショット
設定ストリームは保存されない。
RDSサブネットグループの最小数はいくつか。
2
複数のVIFで異なるVGWに接続する同一リージョンのポート同士は通信可能か。
通信できない。同一VGWの場合は通信できる。
サブネットのCIDRにはネットワークアドレス部の制限はあるか。
ある。/16から/28で作らなければならない。/29は作れない。
VPCピアリングでは戻りの経路もルートテーブルに追加する必要はあるか。
追加する必要がある
tracerouteとtracepathで利用されるプロトコルを述べよ。
- traceroute:ICMP
- tracepath:UDP
tracerouteはICMPのTTLによる経路探索,tracepathはUDPのMTU探索とザックリと覚える。
CloudTrailで作成できる証跡数に上限はあるか。
ある。1つのリージョンにつき5つ。
ip-ranges.jsonとは何か。
AWSが利用しているIP一覧をWebに公開するためのjson。
SNSのメトリクスを1分間隔で取得するために必要なアクションは何か。
特別なアクションは必要ない。
VPCのIPv6 CIDRを述べよ。
/56
CloudWatchカスタムメトリクスのPutMetricDataのGET/POSTリクエストの制限を述べよ。
- GET:8KB
- POST:40KB
同一ネームサーバを利用するための仕組みを一言で説明せよ。
API経由でReusable Delegation Setを作成する。マネコン上からは作成できない。
ALIASレコードにEIPは設定できるか。
設定できない。
EMRに詳細モニタリングは適用できるか。
適用できない。
アカウントあたりのEIP上限はいくつか。
5つ
ENIは途中でサブネットからデタッチできるか。
できない。
ポート番号389と3389の用途を述べよ。
- 389:ADサーバが認証でLDAPが利用される際のポート
- 3389:リモートデスクトップで使用されるポート
VPCでブロードキャストは送信できるか。
できない。
NATゲートウェイはUDPをサポートしているか。
サポートしている。
DirectConnectではオートネゴシエーションをどのように設定すればよいか。
ポート速度が1Gbpsを超える場合は無効化する。
DirectConnectで1Gbps未満の帯域速度は実現可能か。
AWSではサポートしていない。AWSパートナーでは実現可能。
DirectConnectでIP制限を行う方法を説明せよ。
BGPコミュニティタグを利用する。
EC2とElasticBeanstalkにALIASレコードは設定できるか。
- EC2:設定できない
- ElasticBeanstalk:設定できる
MTUはVPCとOSのどちらで設定するか。
OS
CloudFrontのメディアファイルのパスには命名規則はあるか。
ある。ドメイン名の後ろにcfx/stが含まれる。
コメント