ネットワーク、コンテンツ配信
Amazon CloudFront
- エッジロケーションからコンテンツを配信する CDN
- オリジンとして、ELB、EC2、S3 などを指定
- SSL による暗号化
- 一定時間だけアクセスを許可する署名付きURL
- あらかじめ設定したカスタムエラーページ
- 地域情報に基づいて、アクセスを許可、拒否する地域制限 (地理的ブロッキング)
- ストリーミング配信
AWS Direct Connect
- オンプレミス環境と AWS 間を専用線で接続
- Direct Connect の追加機能として Direct Connect ゲートウェイがあり、オンプレミス環境とゼンリージョンの複数の VPC を 1 対多で接続可能
Elastic Load Balancing (ELB)
- ロードバランシング
- CLB、ALB、NLB に分類
- CLB は、標準的なロードバランシング
- ALB は、リクエストレベル (レイヤー7) で動作し、HTTP、HTTPS トラフィックを振り分ける
- NLB は、レイヤー7 で動作し、低レイテンシー、高いスループット
- 複数の AZ へ分散する高可用性
- ELB 自体に冗長化が確保され、自動でスケール
- SSL 復号
- ヘルスチェックを行い、インスタンスへの振り分けを停止
- スティッキーセッションにより、一度セッションを確立したインスタンスへユーザのリクエストを送信
- Connection Draining によりサーバーの処理が完了するまで解除を遅延
- クロスゾーン負荷分散により、複数の AZ にリクエストを均等に分散
- 外部 ELB (インターネット公開向け) と内部 ELB に分類
AWS Global Accelerator
- エッジロケーションを経由し、AWS が管理するネットワーク網を利用することでトラフィックを最適化
AWS PrivateLink
- VPC と AWS でホストされているサービス、またはオンプレミス間でプライベート接続を確立
Amazon Route 53
- 可用性の高い DNS
- パブリックホストゾーンとプライベートホストゾーンに分類
- パブリックホストゾーンは、外部向け DNS
- プライベートホストゾーンは、VPC 内で利用
- 複数のレコードタイプに分類
- CNAME レコードはドメインに対して別のドメインを設定
- A レコードは IPv4 アドレスをドメインに関連づけるために利用
- NS レコードはあるゾーンに対して権威サーバを指定
- ALIAS レコードは Route 53 に CloudFront を設定してドメインを関連づける
- MX レコードはメールの配信先のホスト名を定義
- SOA レコードはドメインの DNS サーバー・ドメイン管理者のメール・アドレス、シリアル番号などを保持して、ゾーン転送時に情報が更新されているかの判断に利用
- 7 つのルーティングポリシーに分類
- シンプルルーティングポリシーは、ドメインで特定の機能を実行する単一のリソースがある場合に使用
- フェイルオーバールーティングポリシーは、アクティブ・パッシブフェイルオーバーを構成する場合に使用
- 位置情報ルーティングポリシーは、ユーザーの位置に基づいてトラフィックをルーティングする場合に使用
- 地理的近接性ルーティングポリシーは、リソースの場所に基づいてトラフィックをある場所のリソースから別の場所のリソースに移動する場合に使用
- レイテンシールーティングポリシーは、複数の AWS リージョンにリソースがあり、レイテンシーの最も小さいリージョンにトラフィックをルーティングする場合に使用
- 複数値回答ルーティングポリシーは、ランダムに選ばれた最大 8 つの正常なレコードを使用して Route 53 が DNS クエリに応答する場合に使用
- 加重ルーティングポリシーは、指定した比率で複数のリソースにトラフィックをルーティングする場合に使用
- フェールオーバー設定のアクティブ/パッシブ構成は、プライマリリソースをアクティブなリソースとしてルーティングし、障害が発止した場合、Route 53 はセカンダリーのリソースをルーティング
- フェールオーバー設定のアクティブ/アクティブ構成は、複数のリソースをアクティブとしてルーティングし、障害が発生した場合、Route 53 は正常なリソースにフェイルバック
- DDoS 攻撃中にエンドユーザーがアプリケーションにアクセスできるようにするには、シャッフルシャーディングと anycast ルーティングを利用
AWS Transit Gateway
Amazon VPC
- 論理的に分割された、特定のユーザーだけが利用できるプライベートネットワーク
AWS VPN
- オンプレミスネットワーク、リモートオフィス、クライアントデバイス、および AWS グローバルネットワーク間に安全な接続を確立
(試験ガイド外) サブネット
- VPC 内に構成するネットワークセグメント
- 1 つの VPC に対して複数作成可
- VPC の IP アドレスの範囲内で CIDR を指定
- パブリックサブネットとプライベートサブネットに分類
- パブリックサブネットは、インターネットとの通信が可能
(試験ガイド外) Internet Gateway (IGW)
(試験ガイド外) ルートテーブル
(試験ガイド外) NAT ゲートウェイ
- プライベートサブネットからインターネットへ接続するための NAT 機能
(試験ガイド外) セキュリティグループ
- インスタンス単位のファイアウォール機能
- アウトバウンドとインバウンドを設定
- アウトバウンドは、インスタンスから出る通信を制御
- インバウンドは、インスタンスへの通信を制御
- デフォルトでアウトバウンド通信は全て許可、インバウンド通信は全て拒否
- 1 つのインスタンスに複数設定可
- 設定追加、変更は即時に反映
- ステートフルな通信が可能
(試験ガイド外) ネットワーク ACL
- サブネット単位のファイアウォール機能
- アウトバウンド通信、インバウンド通信は全て許可
- ルールに番号を割り当て、番号順に許可または拒否のルールを適用
- ステートレスな通信
(試験ガイド外) Site to Site VPN
- IP パケットを暗号化した IPsec を利用し、オンプレミス環境と AWS 間を接続
- 低コスト、短期間で導入可能
(試験ガイド外) Virtual Private Gateway (VGW)
- オンプレミス環境と AWS を接続する際のゲートウェイ
- Direct Connect 接続、Site to Site VPN で利用
(試験ガイド外) VPC ピアリング
- VPC 間をプライベート接続
- 異なる AWS アカウント間の VPC 間をピア接続可能
- 一部のリージョン間の異なる VPC 間のピア接続可能
- 単一障害点や帯域幅のボトルネックは存在しない
(試験ガイド外) VPC エンドポイント
- プライベートネットワークから AWS サービスへアクセスするためのエンドポイント
- ゲートウェイ型とインターフェイス型に分類
- ゲートウェイ型は、ルートテーブルに指定されたターゲットを追加
- インターフェイス型は、「AWS Private Link」とも呼ばれ、インターネットを経由せずプライベート接続
(試験ガイド外) VPC フローログ
- VPC 内の ENI で通信するトラフィック情報をキャプチャ
(試験ガイド外) Elastic IP (EIP)
- 固定のグローバル IP アドレス
- IP フローティングを利用し、フローティングすることで、障害発生時に稼働系から EIP を外し待機系インスタンスに割り当て直すことで瞬時にトラフィックの向け先を変更
(試験ガイド外) Elastic Network Interface (ENI)
- 仮想ネットワークカードを表す VPC の論理ネットワークコンポーネント
- ホットアタッチは、実行中のアタッチ
- ウォームアタッチは、停止中のアタッチ
- コーっるドアタッチは。インスタンスが起動中のアタッチ