今日はなにの日。

気になったこと勉強になったことのメモ。

今日は、AWS Certified Advanced Networking - Specialtyが不合格になったのでイチから学び直したの日。

AWS AWS資格勉強用

目次

目次
とある日
出題範囲
その他
参考資料

とある日

ANSを受けて落ちました。

713...

試験ガイドをイチから見直した記録です。

AWS-Certified-Advanced-Networking-Specialty_Exam-Guide.pdf

出題範囲

第 1 分野: ネットワーク設計

タスクステートメント 1.1 グローバルアーキテクチャ向けにユーザーパフォーマンスとトラフィック管理を最適化するために、エッジネットワークサービスを組み込んだソリューションを設計する。

次に関する知識

コンテンツ配信ネットワーク (Amazon CloudFront など) の使用の設計パターン
- CDN とは? - コンテンツ配信ネットワークの説明 - AWS
- ネットワーキングとコンテンツ配信 | AWS
グローバルトラフィック管理の設計パターン (AWS Global Accelerator など)
- AWS Global Acceleratorのカスタムルーティングアクセラレータのご紹介 | Amazon Web Services ブログ
- AWS再入門ブログリレー2022 AWS Global Accelerator 編 | DevelopersIO
- AWS Global Acceleratorのネットワーク・セキュリティ設計のために考えるべきこと | DevelopersIO
コンテンツ配信ネットワークと他のサービスを使ったグローバルトラフィック管理のための統合パターン (Elastic Load Balancing、Amazon API Gatewayなど)
- AWS リソースへのインターネットトラフィックのルーティング - Amazon Route 53
- ELB ロードバランサーへのトラフィックのルーティング - Amazon Route 53
- ドメイン名を使用してトラフィックを Amazon API Gateway の API にルーティングする - Amazon Route 53
DNS プロトコル (DNS レコード、TTL、DNSSEC、DNS 委任、ゾーンなど)
- DNS とは - Amazon Route 53 | AWS
- Amazon Route 53 の概念 - Amazon Route 53
DNS ログ記録とモニタリング
- Amazon Route 53 でのログ記録とモニタリング - Amazon Route 53
- パブリック DNS クエリのログ記録 - Amazon Route 53
Amazon Route 53 の機能 (エイリアスレコード、トラフィックポリシー、リゾルバー、ヘルスチェックなど)
- 特徴 - Amazon Route 53 | AWS
Route 53 と他の AWS ネットワークサービス (Amazon VPC など) との統合
- ドメイン名を使用してトラフィックを Amazon Virtual Private Cloud インターフェイスエンドポイントにルーティングする - Amazon Route 53
- プライベートホストゾーンの使用 - Amazon Route 53
Route 53 とハイブリッド、マルチアカウント、マルチリージョン各オプションとの統合
- 【Route53】エイリアスレコードのターゲットとして別アカウントのリソースを指定できることを知らなかった | DevelopersIO
- 作成済みの Amazon VPC と、別の AWS アカウントで作成したプライベートホストゾーンを関連付ける - Amazon Route 53
- Route 53 プライベートホストゾーンを別の AWS アカウントの VPC に関連付ける | AWS re:Post
- ハイブリッド環境での名前解決を一元化するためのクラウド構成と料金試算例 | AWS
- オンプレミスネットワークでAmazon Route 53を使える方法 (Route 53 Resolver インバウンドエンドポイントの構築手順) - サーバーワークスエンジニアブログ
- Amazon Route 53 Resolver の概要 - Amazon Route 53
- 【Route53】Resolver機能を使ったマルチアカウントでのプライベートホストゾーン利用 | そるでぶろぐ
- アウトバウンドエンドポイントを使用して、VPC のリソースからリモートネットワーク上の DNS レコードを解決する | AWS re:Post
- Route 53 Resolver を利用し Amazon Provided DNS に MSAD を名前解決させる - サーバーワークスエンジニアブログ
ドメイン登録
- Amazon Route 53 を使用したドメイン名の登録 - Amazon Route 53
OSI モデルのレイヤー 3、レイヤー 4、レイヤー 7 でのロードバランシングの仕組み
- 特徴 - Elastic Load Balancing | AWS
- Application Load Balancer
  - レイヤー 7
- Network Load Balancer
  - レイヤー 4
- Gateway Load Balancer
  - レイヤー 3 Gateway + レイヤー 4 Load Balancing
- Classic Load Balancer
  - レイヤー 4/7
さまざまなタイプのロードバランサーと、ネットワーク設計、高可用性、セキュリティの要件をロードバランサーがどのように満たすか
- Application Load Balancer | Elastic Load Balancing | アマゾンウェブサービス
- ネットワークロードバランサー | エラスティックロードバランシング | アマゾンウェブサービス
- ゲートウェイロードバランサー (GWLB) - アマゾンウェブサービス
- クラシックロードバランサー | エラスティックロードバランシング | アマゾンウェブサービス
ユースケースに基づいてロードバランシングに適用される接続パターン (内部ロードバランサー、外部ロードバランサーなど)
- Elastic Load Balancing の仕組み - Elastic Load Balancing
ロードバランサーのスケーリングファクター
- チュートリアル: スケーリングとロードバランシングを使用するアプリケーションのセットアップ - Amazon EC2 Auto Scaling
ロードバランサーと他の AWS のサービス (Global Accelerator、CloudFront、AWS WAF、Route 53、Amazon Elastic Kubernetes Service [Amazon EKS]、AWS Certificate Manager[ACM] など) の統合
- ALB に静的パブリック IP アドレスでアクセスするために Global Accelerator を導入する（CloudFormation） - サーバーワークスエンジニアブログ
- CloudFrontとELB間をSSLで通信させる | DevelopersIO
- 【AWS】WAFをALB(Application Load Balancer)に設定する手順について
- AWS Load Balancer Controller アドオンのインストール - Amazon EKS
- Amazon EKS でのアプリケーション負荷分散 - Amazon EKS
- ELB ロードバランサーへのトラフィックのルーティング - Amazon Route 53
ロードバランサーの設定オプション (プロキシプロトコル、クロスゾーンロードバランシング、セッションアフィニティ [スティッキーセッション]、ルーティングアルゴリズムなど)
- ELBのProxy Protocolを有効にしてApacheで送信元IPアドレスを確認してみる - サーバーワークスエンジニアブログ
- ELBの種類によるクロスゾーン負荷分散のデフォルト値調べ | DevelopersIO
- Application Load Balancer のスティッキーセッション - Elastic Load Balancing
- ターゲットグループに対するクロスゾーン負荷分散 - Elastic Load Balancing
- Application Load Balancer のターゲットグループ - Elastic Load Balancing
ロードバランサーターゲットグループの設定オプション (TCP、GENEVE、IP のインスタンスとの比較など)
- Gateway Load Balancer - Elastic Load Balancing
Kubernetes クラスター用 AWS Load Balancer コントローラー
- AWS Load Balancer Controller の紹介
- AWS Load Balancer Controller の使用をトラブルシューティングする | AWS re:Post
ロードバランサーを使う際の暗号化と認証に関する考慮事項 (TLS 終端、TLS パススルーなど)
- Elastic Load Balancing のデータ保護 - Elastic Load Balancing
- ECDSA 暗号を使用するように Application Load Balancer のリスナーを設定する | AWS re:Post
可視性を提供するための AWS アーキテクチャにおける Amazon CloudWatch メトリクス、エージェント、ログ、アラーム、ダッシュボード、インサイト
- 特徴 - Amazon CloudWatch | AWS
可視性を提供するためのアーキテクチャにおける AWS Transit Gateway Network Manager
- AWS Transit Gateway Network Manager - アマゾンウェブサービス
- [アップデート] Transit Gateway Network Manager がマルチアカウントをサポートしました！ | DevelopersIO
- Transit Gateway Network Managerを使ってTransit GatewayとVPN接続の可視化をしてみた #reinvent | DevelopersIO
可視性を提供するためのアーキテクチャにおける VPC Reachability Analyzer
- 新機能 – VPC Reachability Analyzer | Amazon Web Services ブログ
可視性を提供するためのアーキテクチャにおけるフローログとトラフィックミラーリング
- VPC フローログを使用した IP トラフィックのログ記録 - Amazon Virtual Private Cloud
- VPCエンドポイント経由のVPCフローログ取得範囲について理解する | DevelopersIO
- 最新 – VPC トラフィックミラーリング – ネットワークトラフィックを捉えて検査する | Amazon Web Services ブログ
- VPCトラフィックミラーリングを使ってみた - DENET 技術ブログ
アクセスログ (ロードバランサー、CloudFront など)
- Application Load Balancer のアクセスログ - Elastic Load Balancing
- Network Load Balancer のアクセスログ - Elastic Load Balancing
- Gateway Load Balancer のモニタリング - Elastic Load Balancing
  - Gateway Load Balancer はフローを終了しない透過レイヤー 3 のロードバランサーであるため、アクセスログは生成されません。
- 標準ログ (アクセスログ) の設定および使用 - Amazon CloudFront
- リアルタイムログ - Amazon CloudFront
ルーティングの基礎 (スタティックとダイナミックの比較、BGP など)
- 10-things-network.pdf
- PowerPoint プレゼンテーション
- Site-to-Site VPN のルーティングオプション - AWS Site-to-Site VPN
物理的な相互接続のレイヤー 1 とレイヤー 2 の概念 (VLAN、アグリゲーショングループのリンク [LAG]、オプティクス、ジャンボフレームなど)
- Link Aggregation Group (LAG) - AWS Direct Connect
- EC2 インスタンスのネットワークの最大送信単位 (MTU) - Amazon Elastic Compute Cloud
カプセル化および暗号化テクノロジー (Generic Routing Encapsulation [GRE]、IPsec など)
- Transit Gateway ConnectでAWS Transit GatewayにGREトンネル経由でルート伝搬してみる | DevelopersIO
AWS アカウント間でのリソース共有
- AWS リソースの共有 - AWS Resource Access Manager
- Organization unit (OU)でリソース共有してみた | DevelopersIO
- 共有可能な AWS リソース - AWS Resource Access Manager
オーバーレイネットワーク
- オーバーレイネットワーク／アンダーレイネットワークとは？意味・定義 | ITトレンド用語 | NTTコミュニケーションズ
さまざまな接続パターンとユースケース (VPC ピアリング、Transit Gateway、AWSPrivateLink など)
- VPC ピアリングを使用して VPC を接続する - Amazon Virtual Private Cloud
- AWS PrivateLink・VPCエンドポイントを利用するメリットやユースケースを整理してみた | DevelopersIO
- Transit GatewayとVPC Peeringを比較してみた | DevelopersIO
VPC 共有の機能と利点
- VPC を他のアカウントと共有する - Amazon Virtual Private Cloud
IP アドレスの重複を考慮した IP サブネットとソリューション
- BOS30_AWS-Builders-Online-Series_2022-Q1_Presentation-Deck.pdf
- Amazon VPC IPアドレス設計レシピ | DevelopersIO
- RFC 1918定義外のIPアドレスをVPCのCIDRブロックに指定してみた | DevelopersIO
  第 2 分野: ネットワーク実装
  
  タスクステートメント 2.1 オンプレミスネットワークと AWS クラウド間にルーティングと接続を実装する。

次に関する知識

ルーティングプロトコル (スタティック、ダイナミックなど)
- ルーティングとは? - ネットワークルーティングの説明 - AWS
VPN (セキュリティ、高速 VPN など)
- VPN とは? - 仮想プライベートネットワークの説明 - AWS
レイヤー 1 と使用されるハードウェアの種類 (承認書 [LOA] 文書、コロケーションファシリティ、Direct Connect など)
- AWS Direct Connect (DX)のLOA-CFA(Letter of Authorization and Customer Facility Assignment) | iret.media
- 専用接続 - AWS Direct Connect
レイヤー 2 およびレイヤー 3 (VLAN、IP アドレス割当て、ゲートウェイ、ルーティング、スイッチングなど)
トラフィック管理と SD-WAN (Transit Gateway Connect など)
- 図解でわかるSD-WANとは？求められる背景とSD-WANのメリット | NE Lab | 日商エレクトロニクス
DNS (条件付き転送、ホストゾーン、リゾルバーなど)
- 転送ルールの管理 - Amazon Route 53
- VPC とネットワークの間における DNS クエリの解決 - Amazon Route 53
- Amazon Route 53 Resolver の概要 - Amazon Route 53
セキュリティ機器 (ファイアウォールなど)
- マネージドネットワークファイアウォール - AWS Network Firewall - Amazon Web Services
AWS Organizations と AWS Resource Access Manager (AWS RAM) (マルチアカウントのTransit Gateway、Direct Connect、Amazon VPC、Route 53 など)
- Transit Gatewayでアカウント跨ぎのVPC間通信をやってみた | DevelopersIO
- マルチアカウント・リージョン・VPC・TGW・DXでの通信経路を大公開 - サーバーワークスエンジニアブログ
- アカウントまたは Organizations との Transit Gateway の共有 | AWS re:Post
接続性のテスト (Route Analyzer、Reachability Analyzer など)
- Route Analyzer と VPC Reachability Analyzer を使ったネットワーク通信断の原因調査 - サーバーワークスエンジニアブログ
VPC のネットワークサービス
- ネットワークサービスAWSアカウントと VPC - Amazon Elastic Container Service
VPC 間およびマルチアカウント接続 (VPC ピアリング、Transit Gateway、VPN、サードパーティーベンダー、SD-WAN、マルチプロトコルラベルスイッチング [MPLS] など)
- Amazon Virtual Private Cloud Connectivity Options
プライベートアプリケーション接続 (PrivateLink など)
- AWS PrivateLink を利用した SaaS アプリケーションへのセキュアな接続 | AWS JAPAN APN ブログ
アプリケーションとクライアントのホスト名およびサービス名解決 (DNS など)
- Amazon EKS クラスターエンドポイントへのプライベート接続とワーカノードVPC外からのDNS解決方法 | Amazon Web Services ブログ
認証と承認 (SAML、Active Directory など)
- AWS SSO を用いた AWS Client VPN の認証と承認 | Amazon Web Services ブログ
- Active Directoryを通して知る認証・認可(承認) - サーバーワークスエンジニアブログ
- Active Directoryを通して知る認証・認可(承認) - サーバーワークスエンジニアブログ
セキュリティ (セキュリティグループ、ネットワーク ACL、AWS Network Firewall など)
- AWS Network Firewallのデプロイモデル | Amazon Web Services ブログ
プライベートホストゾーンとパブリックホストゾーンを使用するタイミング
- 【AWS】Route53でPublic/Private 同じドメイン名のゾーンを管理する | DevelopersIO
トラフィック管理を変更する方法 (レイテンシー、地域、重み付けなど)
- トラフィックポリシーの作成と管理 - Amazon Route 53
DNS の委任と転送 (条件付き転送など)
- 親ドメインを移行しないでサブドメインの DNS サービスを Amazon Route 53 に移行 - Amazon Route 53
- Route 53 プライベートホストゾーンでの DNS 解決の問題のトラブルシューティング | AWS re:Post
さまざまな DNS レコードタイプ (A、AAAA、TXT、ポインタレコード、エイリアスレコードなど)
- サポートされる DNS レコードタイプ - Amazon Route 53
DNSSEC
- ドメインの DNSSEC の設定 - Amazon Route 53
- Amazon Route 53 での DNSSEC 署名の設定 - Amazon Route 53
- Route 53 でドメイン用に DNSSEC を有効にし、DS レコードを登録する | AWS re:Post
アカウント間で DNS サービスを共有する方法 (AWS RAM など)
- AWS RAM を使用して、複数の VPC や AWS アカウント間で Route 53 リゾルバーのルールを共有する | AWS re:Post
- AWS アカウント間で Route 53 Resolver DNS Firewall ルールグループを共有する - Amazon Route 53
アウトバウンドエンドポイントとインバウンドエンドポイントの要件と実装オプション
- アウトバウンドエンドポイントの管理 - Amazon Route 53
- インバウンドエンドポイントの管理 - Amazon Route 53
- Route 53 リゾルバーのエンドポイントに関する DNS 解決の問題のトラブルシューティング | AWS re:Post
  第 3 分野: ネットワークの管理と運用
  
  タスクステートメント 3.1 AWS とハイブリッドネットワークでルーティングと接続性を維持する。

次に関する知識

AWS とハイブリッドネットワークの接続方法 (Direct Connect ゲートウェイ、TransitGateway、VIF など)
- AWS Direct Connectの接続をザックリ理解する - サーバーワークスエンジニアブログ
- AWS Direct Connect 仮想インターフェイス - AWS Direct Connect
制限とクォータが AWS ネットワークサービスに与える影響 (帯域幅制限、ルート制限など)
- Direct Connect のパフォーマンスに関する問題をトラブルシューティングする | AWS re:Post
- Direct Connect の接続タイプについて理解する | AWS re:Post
ネットワークパフォーマンスメトリクスと到達可能性の制約 (ルーティング、パケットサイズなど)
ネットワークのパフォーマンスと到達可能性の問題を評価するための適切なログとメトリクス (パケット損失など)
- ネットワークパフォーマンスメトリクスの収集 - Amazon CloudWatch
VPC ピアまたは Transit Gateway が適切な状況
- Transit GatewayとVPC Peeringを比較してみた | DevelopersIO
帯域幅の使用率を削減するさまざまな方法 (マルチキャストとの比較でのユニキャスト、CloudFront など)
- マルチキャストのルーティング - Amazon VPC
VPC とオンプレミス環境間のデータ転送のための費用対効果の高い接続オプション
- 【AWS VPN】AWS Site To Site VPNでオンプレミスとAWS間のネットワークを接続する方法 - サーバーワークスエンジニアブログ
AWS のさまざまなタイプのネットワークインターフェイス
- Elastic Network Interface - Amazon Elastic Compute Cloud
Route 53 の高可用性機能 (レイテンシーと加重レコードセットを含むヘルスチェックを使用した DNS ロードバランシングなど)
- ELB ロードバランサーへのトラフィックのルーティング - Amazon Route 53
信頼性を提供する Route 53 のオプションの可用性
- Creating safety rules in Route 53 ARC - Amazon Route 53 Application Recovery Controller
VPC サブネット最適化
- AWSサブネットの切り方を考えてみた | DevelopersIO
  第 4 分野: ネットワークセキュリティ、コンプライアンス、ガバナンス
  
  タスクステートメント 4.1 セキュリティとコンプライアンスのニーズと要件を満たすために、ネットワーク機能を実装し、保守する。

次に関する知識

セキュリティとコンプライアンスの要件を満たす AWS ネットワークアーキテクチャ
- セキュリティとコンプライアンス - Amazon Web Services の概要
AWS で利用可能なネットワーク暗号化オプション
Direct Connect 経由の VPN 接続
- Direct Connect を使用して AWS VPN を確立する | AWS re:Post
- AWS Direct Connect + VPN - Amazon Virtual Private Cloud の接続オプション

その他

復習

NAT ゲートウェイのトラブルシューティング - Amazon Virtual Private Cloud

AWS Network Firewallにおけるログの出力方法 | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報 - KnowledgeStare（ナレッジステア）

ドメイン名を使用してトラフィックを Amazon API Gateway の API にルーティングする - Amazon Route 53

ドメイン名を使用してトラフィックを Amazon Virtual Private Cloud インターフェイスエンドポイントにルーティングする - Amazon Route 53

Amazon EKS でのネットワーク負荷分散 - Amazon EKS

Create an HTTPS listener for your Application Load Balancer - Elastic Load Balancing

Amazon Virtual Private Cloud の接続オプション - Amazon Virtual Private Cloud の接続オプション

AWS 上のネットワークトラフィックのためのファイアウォールオートメーションを試してみる - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS

新機能 – AWS Application Load Balancer 向けの高度なリクエストルーティング | Amazon Web Services ブログ

Transit Gateway でのマルチキャスト - Amazon VPC

IPAM とは - Amazon Virtual Private Cloud

MTU

ロードバランサーのネットワーク MTU:1500 MTU
- Gateway Load Balancer : 8500 MTU
- Application Load Balancer、Network Load Balancer、Classic Load Balancer :ジャンボフレーム (9001 MTU) 標準
Direct Connect
- 仮想プライベートインターフェイス : 1500 あるいは 9001 (ジャンボフレーム) MTU
- トランジット仮想プライベートインターフェイス : 1500 あるいは 8500 (ジャンボフレーム) MTU
  - ジャンボフレームは、AWS Direct Connect 経由で伝播されたルートと、トランジットゲートウェイ経由の静的ルートのみに適用されます。トランジットゲートウェイ上のジャンボフレームによってサポートされるのは、8500 バイトのみです。
Site-to-Site VPN :1500 MTU

Elastic Load Balancing の仕組み - Elastic Load Balancing

Gateway Load Balancer - Elastic Load Balancing

プライベート仮想インターフェイスまたはトランジット仮想インターフェイスのネットワーク MTU の設定 - AWS Direct Connect

キーワード

アプライアンスモード
- Transit Gatewayでインスペクション用VPCに通信を集約する場合はTransit Gatewayのアプライアンスモードを有効にしよう | DevelopersIO

スキル

ユースケースに基づいた適切なロードバランサーの選択
- 特徴 - Elastic Load Balancing | AWS
ログ記録とモニタリングの要件の特定
ネットワークの状態を可視化するための適切なメトリクスの推奨
- [アップデート]Direct ConnectでVIFの使用状況が確認できるようになりました | DevelopersIO
セキュアな DNS 通信の実装
- Configuring DNSSEC signing and validation with Amazon Route 53 | Networking & Content Delivery
VPC フローログの作成と分析 (フローログのベースフィールドと拡張フィールドを含む)
- Amazon Athena を使用して Amazon VPC フローログを分析する | AWS re:Post
- VPC フローログを使用した IP トラフィックのログ記録 - Amazon Virtual Private Cloud
AWS のサービス (AWS Direct Connect、AWS Site-to-Site VPN など) を使用した冗長ハイブリッド接続モデルの設計
- 回復性に関する推奨事項 - AWS Direct Connect | AWS
目的のトラフィックパターン (ロードシェアリング、アクティブ/パッシブ) に基づいてトラフィックフローに影響を与える BGP 属性を使った BGP ルーティングの設計
- AWS Direct Connect でのアクティブ/パッシブ BGP 接続の構築 | Amazon Web Services ブログ
- パブリック仮想インターフェイスから AWS へのアクティブ/アクティブまたはアクティブ/パッシブ Direct Connect 接続を作成する | AWS re:Post
ソフトウェア定義によるワイドエリアネットワーク (SD-WAN) と AWS を統合するための設計 (Transit Gateway Connect、オーバーレイネットワークなど)
- Cisco SD-WANとAWS Cloud接続（新機能紹介）

合格体験記

ポンコツエンジニアが、AWS資格最難関のAWS ANS-C01に合格した話 - Qiita

Advanced Networking – Specialty (ANS-C01) 合格までの勉強内容を共有します│Soy Pocket

【ANS-01試験対策】DevelopersIOにある参考ブログをまとめてみた | DevelopersIO

参考資料

サービス別資料 | AWS クラウドサービス活用資料集

AWS Certified Advanced Networking - Specialty 認定 | AWS 認定 | AWS

よくある質問 - Amazon VPC | AWS

よくある質問 - AWS Direct Connect | AWS