目次
とある日
ANSを受けて落ちました。
713...
試験ガイドをイチから見直した記録です。
AWS-Certified-Advanced-Networking-Specialty_Exam-Guide.pdf
出題範囲
第 1 分野: ネットワーク設計
タスクステートメント 1.1 グローバルアーキテクチャ向けにユーザーパフォーマンスとトラフィック管理を最適化するために、エッジネットワークサービスを組み込んだソリューションを設計する。
次に関する知識
- コンテンツ配信ネットワーク (Amazon CloudFront など) の使用の設計パターン
- グローバルトラフィック管理の設計パターン (AWS Global Accelerator など)
- コンテンツ配信ネットワークと他のサービスを使ったグローバルトラフィック管理のための統合パターン (Elastic Load Balancing、Amazon API Gatewayなど)
- DNS プロトコル (DNS レコード、TTL、DNSSEC、DNS 委任、ゾーンなど)
- DNS ログ記録とモニタリング
- Amazon Route 53 の機能 (エイリアスレコード、トラフィックポリシー、リゾルバー、ヘルスチェックなど)
- Route 53 と他の AWS ネットワークサービス (Amazon VPC など) との統合
- Route 53 とハイブリッド、マルチアカウント、マルチリージョン各オプションとの統合
- 【Route53】エイリアスレコードのターゲットとして別アカウントのリソースを指定できることを知らなかった | DevelopersIO
- 作成済みの Amazon VPC と、別の AWS アカウントで作成したプライベートホストゾーンを関連付ける - Amazon Route 53
- Route 53 プライベートホストゾーンを別の AWS アカウントの VPC に関連付ける | AWS re:Post
- ハイブリッド環境での名前解決を一元化するためのクラウド構成と料金試算例 | AWS
- オンプレミスネットワークでAmazon Route 53を使える方法 (Route 53 Resolver インバウンドエンドポイントの構築手順) - サーバーワークスエンジニアブログ
- Amazon Route 53 Resolver の概要 - Amazon Route 53
- 【Route53】Resolver機能を使ったマルチアカウントでのプライベートホストゾーン利用 | そるでぶろぐ
- アウトバウンドエンドポイントを使用して、VPC のリソースからリモートネットワーク上の DNS レコードを解決する | AWS re:Post
- Route 53 Resolver を利用し Amazon Provided DNS に MSAD を名前解決させる - サーバーワークスエンジニアブログ
- ドメイン登録
- OSI モデルのレイヤー 3、レイヤー 4、レイヤー 7 でのロードバランシングの仕組み
- 特徴 - Elastic Load Balancing | AWS
- Application Load Balancer
- レイヤー 7
- Network Load Balancer
- レイヤー 4
- Gateway Load Balancer
- レイヤー 3 Gateway + レイヤー 4 Load Balancing
- Classic Load Balancer
- レイヤー 4/7
- さまざまなタイプのロードバランサーと、ネットワーク設計、高可用性、セキュリティの要件をロードバランサーがどのように満たすか
- ユースケースに基づいてロードバランシングに適用される接続パターン (内部ロードバランサー、外部ロードバランサーなど)
- ロードバランサーのスケーリングファクター
- ロードバランサーと他の AWS のサービス (Global Accelerator、CloudFront、AWS WAF、Route 53、Amazon Elastic Kubernetes Service [Amazon EKS]、AWS Certificate Manager[ACM] など) の統合
- ALB に静的パブリック IP アドレスでアクセスするために Global Accelerator を導入する(CloudFormation) - サーバーワークスエンジニアブログ
- CloudFrontとELB間をSSLで通信させる | DevelopersIO
- 【AWS】WAFをALB(Application Load Balancer)に設定する手順について
- AWS Load Balancer Controller アドオンのインストール - Amazon EKS
- Amazon EKS でのアプリケーション負荷分散 - Amazon EKS
- ELB ロードバランサーへのトラフィックのルーティング - Amazon Route 53
- ロードバランサーの設定オプション (プロキシプロトコル、クロスゾーンロードバランシング、セッションアフィニティ [スティッキーセッション]、ルーティングアルゴリズムなど)
- ロードバランサーターゲットグループの設定オプション (TCP、GENEVE、IP のインスタンスとの比較など)
- Kubernetes クラスター用 AWS Load Balancer コントローラー
- ロードバランサーを使う際の暗号化と認証に関する考慮事項 (TLS 終端、TLS パススルーなど)
- 可視性を提供するための AWS アーキテクチャにおける Amazon CloudWatch メトリクス、エージェント、ログ、アラーム、ダッシュボード、インサイト
- 可視性を提供するためのアーキテクチャにおける AWS Transit Gateway Network Manager
- 可視性を提供するためのアーキテクチャにおける VPC Reachability Analyzer
- 可視性を提供するためのアーキテクチャにおけるフローログとトラフィックミラーリング
- アクセスログ (ロードバランサー、CloudFront など)
- ルーティングの基礎 (スタティックとダイナミックの比較、BGP など)
- 物理的な相互接続のレイヤー 1 とレイヤー 2 の概念 (VLAN、アグリゲーショングループのリンク [LAG]、オプティクス、ジャンボフレームなど)
- カプセル化および暗号化テクノロジー (Generic Routing Encapsulation [GRE]、IPsec など)
- AWS アカウント間でのリソース共有
オーバーレイネットワーク
さまざまな接続パターンとユースケース (VPC ピアリング、Transit Gateway、AWSPrivateLink など)
- VPC 共有の機能と利点
- IP アドレスの重複を考慮した IP サブネットとソリューション
次に関する知識
- ルーティングプロトコル (スタティック、ダイナミックなど)
- VPN (セキュリティ、高速 VPN など)
- レイヤー 1 と使用されるハードウェアの種類 (承認書 [LOA] 文書、コロケーションファシリティ、Direct Connect など)
- レイヤー 2 およびレイヤー 3 (VLAN、IP アドレス割当て、ゲートウェイ、ルーティング、スイッチングなど)
- トラフィック管理と SD-WAN (Transit Gateway Connect など)
- DNS (条件付き転送、ホストゾーン、リゾルバーなど)
- セキュリティ機器 (ファイアウォールなど)
- AWS Organizations と AWS Resource Access Manager (AWS RAM) (マルチアカウントのTransit Gateway、Direct Connect、Amazon VPC、Route 53 など)
- 接続性のテスト (Route Analyzer、Reachability Analyzer など)
- VPC のネットワークサービス
- VPC 間およびマルチアカウント接続 (VPC ピアリング、Transit Gateway、VPN、サードパーティーベンダー、SD-WAN、マルチプロトコルラベルスイッチング [MPLS] など)
- プライベートアプリケーション接続 (PrivateLink など)
- アプリケーションとクライアントのホスト名およびサービス名解決 (DNS など)
- 認証と承認 (SAML、Active Directory など)
- セキュリティ (セキュリティグループ、ネットワーク ACL、AWS Network Firewall など)
- プライベートホストゾーンとパブリックホストゾーンを使用するタイミング
- トラフィック管理を変更する方法 (レイテンシー、地域、重み付けなど)
- DNS の委任と転送 (条件付き転送など)
- さまざまな DNS レコードタイプ (A、AAAA、TXT、ポインタレコード、エイリアスレコードなど)
- DNSSEC
- アカウント間で DNS サービスを共有する方法 (AWS RAM など)
- アウトバウンドエンドポイントとインバウンドエンドポイントの要件と実装オプション
次に関する知識
- AWS とハイブリッドネットワークの接続方法 (Direct Connect ゲートウェイ、TransitGateway、VIF など)
- 制限とクォータが AWS ネットワークサービスに与える影響 (帯域幅制限、ルート制限など)
- ネットワークパフォーマンスメトリクスと到達可能性の制約 (ルーティング、パケットサイズなど)
- ネットワークのパフォーマンスと到達可能性の問題を評価するための適切なログとメトリクス (パケット損失など)
- VPC ピアまたは Transit Gateway が適切な状況
- 帯域幅の使用率を削減するさまざまな方法 (マルチキャストとの比較でのユニキャスト、CloudFront など)
- VPC とオンプレミス環境間のデータ転送のための費用対効果の高い接続オプション
- AWS のさまざまなタイプのネットワークインターフェイス
- Route 53 の高可用性機能 (レイテンシーと加重レコードセットを含むヘルスチェックを使用した DNS ロードバランシングなど)
- 信頼性を提供する Route 53 のオプションの可用性
- VPC サブネット最適化
- AWSサブネットの切り方を考えてみた | DevelopersIO
第 4 分野: ネットワークセキュリティ、コンプライアンス、ガバナンス
タスクステートメント 4.1 セキュリティとコンプライアンスのニーズと要件を満たすために、ネットワーク機能を実装し、保守する。
- AWSサブネットの切り方を考えてみた | DevelopersIO
次に関する知識
その他
復習
NAT ゲートウェイのトラブルシューティング - Amazon Virtual Private Cloud
AWS Network Firewallにおけるログの出力方法 | セキュリティ専門企業発、ネットワーク・ログ監視の技術情報 - KnowledgeStare(ナレッジステア)
ドメイン名を使用してトラフィックを Amazon API Gateway の API にルーティングする - Amazon Route 53
ドメイン名を使用してトラフィックを Amazon Virtual Private Cloud インターフェイスエンドポイントにルーティングする - Amazon Route 53
Amazon EKS でのネットワーク負荷分散 - Amazon EKS
Create an HTTPS listener for your Application Load Balancer - Elastic Load Balancing
Amazon Virtual Private Cloud の接続オプション - Amazon Virtual Private Cloud の接続オプション
AWS 上のネットワークトラフィックのためのファイアウォールオートメーションを試してみる - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
新機能 – AWS Application Load Balancer 向けの高度なリクエストルーティング | Amazon Web Services ブログ
Transit Gateway でのマルチキャスト - Amazon VPC
IPAM とは - Amazon Virtual Private Cloud
MTU
- ロードバランサーのネットワーク MTU:1500 MTU
- Gateway Load Balancer : 8500 MTU
- Application Load Balancer、Network Load Balancer、Classic Load Balancer :ジャンボフレーム (9001 MTU) 標準
- Direct Connect
- Site-to-Site VPN :1500 MTU
Elastic Load Balancing の仕組み - Elastic Load Balancing
Gateway Load Balancer - Elastic Load Balancing
プライベート仮想インターフェイスまたはトランジット仮想インターフェイスのネットワーク MTU の設定 - AWS Direct Connect
キーワード
スキル
ログ記録とモニタリングの要件の特定
ネットワークの状態を可視化するための適切なメトリクスの推奨
セキュアな DNS 通信の実装
VPC フローログの作成と分析 (フローログのベースフィールドと拡張フィールドを含む)
AWS のサービス (AWS Direct Connect、AWS Site-to-Site VPN など) を使用した冗長ハイブリッド接続モデルの設計
- 目的のトラフィックパターン (ロードシェアリング、アクティブ/パッシブ) に基づいてトラフィックフローに影響を与える BGP 属性を使った BGP ルーティングの設計
- ソフトウェア定義によるワイドエリアネットワーク (SD-WAN) と AWS を統合するための設計 (Transit Gateway Connect、オーバーレイネットワークなど)
合格体験記
ポンコツエンジニアが、AWS資格最難関のAWS ANS-C01に合格した話 - Qiita
Advanced Networking – Specialty (ANS-C01) 合格までの勉強内容を共有します│Soy Pocket
【ANS-01試験対策】DevelopersIOにある参考ブログをまとめてみた | DevelopersIO
参考資料
AWS Certified Advanced Networking - Specialty 認定 | AWS 認定 | AWS