AWS Certified Advanced Networking - Specialty
2.0 ANS-C01
·領域1:網絡設計(占計分內容的30%)
·領域2:網絡實施(占計分內容的26%)
·領域3:網絡管理和運營(占計分內容的20%)
·領域4:網絡安全、合規性和監管〈占計分內容的24%)
任務說明1.1:主設計一個納入了邊緣網絡服務的解決方案,以便優化全球架構的用戶性能
和流量管理。
掌握以下知識:
。內容分發網絡使用的設計模式(例如AmazonCIoudFront)
全球流量管理的設計模式(例如AWSGIobaIAcceIerator)
。內容分發網絡和全球流量管理與其他服務(例如ElasticLoadBalancing
[ELB]、AmazonAPIGateway)的集成模式
具備以下技能:
·評估面向互聯網的全球入站和出站流量需求,以便設計合適的內容分發解決方案
任務說明1.2:設計滿足公有、私有和混合使用要求的DNS解決方案。
掌握以下知識:
.DNS協議(例如DNS記錄、仃L、DNSSEC、DNS委派、區域)
.DNS日志記錄和監控
.AmazonRoute53功能(例如別名記錄、流量策略、解析程序、運行狀況檢查)
將Route53與其他AWS聯網服務(例如AmazonVPC)集成
將Route53與混合、多賬戶和多區域選項集成
.域名注冊
具備以下技能:
使用Route53公有托管區域
使用Route53私有托管區域
在混合架構和AWS架構中使用Route53ResoIver終端節點
使用Route53進行全球流量管理
創建和管理域名注冊
任務說明1.3:設計集成負載均衡功能的解決方案,以便滿足高可用性、可擴展性和
安全性要求。
掌握以下知識:
負載均衡在OSI模型的第3層、第4層和第7層的工作原理
不同類型的負載均衡器,以及它們如何滿足網絡設計、高可用性和安全性的要求
根據使用案例應用到負載均衡的連接模式(例如,內部負載均衡器、外部負載
均衡器)
負載均衡器的縮放系數
負載均衡器和其他AWS服務的集成(例如,GIobaIAcceIerator、
CloudFront、AWSWAF、Route53、AmazonElasticKubernetesService
[AmazonEKS]、AWSCertificateManager[ACM])
負載均衡器的配置選項(例如,代理協議、跨區域負載均衡、會話關聯性[粘
性會話]、路由算法)
負載均衡器目標組的配置選項(例如,TCP、GENEVE、IP與實例的對比)
適用于Kubernetes集群的AWS負載均衡器控制器
使用負載均衡器進行加密和身份驗證的注意事項(例如TLS終止、TLS直通)
具備以下技能.
根據使用案例選擇合適的負載均衡器
將彈性伸縮與負載均衡解決方案集成
·將負載均衡器與現有應用程序部署集成
任務說明1.4:定義跨AWS和混合網絡的日志記錄和監控要求。
掌握以下知識:
AWS架構中的AmazonCIoudWatch指標、代理、日志、警報、控制面板和
見解,以便提供監控能力
架構中的AWSTransitGatewayNetworkManager,以便提供監控能力
架構中的VPCReachabilityAnalyzer,以便提供監控能力
架構中的流日志和流量鏡像,以便提供監控能力
訪問日志記錄(例如,負載均衡器、CIoudFront)
具備以下技能:
·確定日志記錄和監控要求
推薦適當的指標以提供對網絡狀態的監控能力
捕獲基準網絡性能
任務說明1.5:設計本地部署網絡與AWS云之間的路由策略和連接架構。
掌握以下知識:
路由基礎知識(例如,動態和靜態對比,BGP)
物理互連的第1層和第2層概念(例如VLAN、鏈路聚合組[G]、光纜、
巨型幀)
封裝和加密技術(例如GenericRoutingEncapsulation[GRE]、lPsec)
跨AWS賬戶共享資源
重疊網絡
具備以下技能:
·確定混合連接的要求
使用AWS服務設計冗余混合連接模型(例如AWSDirectConnect、
AWSSite-to-SiteVPN)
使用BGP屬性設計BGP路由,以便根據所需的流量模式(負載共享
主動/被動)影響流量流動
在設計中,將軟件定義的廣域網(SD-WAN)與AWS集成(例如,
TransitGatewayConnect、重疊網絡)
任務說明1.6:設計包括多個AWS賬戶、AWS區域和VPC的路由策略和連接架構,
以便支持不同的連接模式。
掌握以下知識:
不同的連接模式和使用案例(例如VPC對等連接、TransitGateway、
AWSPrivateLink)
·VPC共享的功能和優勢
·IP子網和應對IP地址重疊的解決方案
具備以下技能:
根據需求使用最合適的服務來連接多個VPC〈例如,使用VPC對等連接、
TransitGateway、PrivateLink)
在多賬戶設置中使用VPC共享
通過使用可用的不同服務和選項(例如,NATSPrivateLink、TransitGateway
路由)來管理IP重疊
任務說明2.1:主在本地部署網絡和AWS云之間實施路由和連接。
掌握以下知識:
路由協議(例如,靜態、動態)
VPN(例如,安全性、加速的VPN)
第1層和要使用的硬件類型(例如,授權證書[LOA]文檔、主機托管設施、
DirectConnect)
第2層和第3層(例如VLAN、IP尋址、網關、路由、交換)
流量管理和SD-WAN(例如TransitGatewayConnect)
DNS(例如,條件轉發、托管區域、解析程序)
安全設備(例如,防火墻)
負載均衡(例如,第4層對比第7層、反向代理、第3層)
基礎設施自動化
AWSOrganizations和AWSResourceAccessManager(AWSRAM)(例如,
多賬戶TransitGateway、DirectConnect、AmazonVPC、Route53)
測試連接(例如,RouteAnalyzer、ReachabilityAnalyzer)
VPC的聯網服務
具備以下技能:
為混合連接解決方案配置物理網絡要求
配置靜態或動態路由協議,與混合連接解決方案結合使用
配置現有本地部署網絡以便連接到AWS云
使用AWS云配置現有的本地部署名稱解析
配置和實施負載均衡解決方案
為AWS服務配置網絡監控和日志記錄
測試和驗證環境之間的連接
任務說明2.2:跨多個AWS賬戶、區域和VPC實施路由及連接,以便支持不同的連接模式。
掌握以下知識:
VPC間和多賬戶連接(例如VPC對等連接、TransitGateway、VPN、第三方
供應商、SD-WAN、多協議標簽交換[MPLS])
私有應用程序連接(例如PrivateLink)
擴展AWS網絡連接的方法(例如,Organizations、AWSRAM)
應用程序及客戶端的主機和服務名稱解析(例如DNS)
基礎設施自動化
身份驗證和授權(例如SAML、ActiveDirectory)
安全性(例如,安全組、網絡ACL、AWSNetworkFirewaII)
·測試連接(例如,RouteAnalyzer、ReachabilityAnalyzer、工具)
具備以下技能:
在單VPC或多VPC設計中使用AWS服務來配置網絡連接架構(例如,
DHCP、路由、安全組)
使用現有的第三方供應商解決方案配置混合連接
配置星型網絡架構(例如,TransitGateway、TransitVPC)
配置DNS解決方案以便實現混合連接
在網絡邊界之間實施安全性
使用AWS解決方案配置網絡監控和日志記錄
任務說明2.3:實施復雜的混合和多賬戶DNS架構。
掌握以下知識:
何時使用私有托管區域和公有托管區域
變更流量管理模式的方法(例如,基于延遲、地理位置、權重)
DNS委派和轉發(例如,條件轉發)
不同的DNS記錄類型(例如A、AAAA、TXTN指針記錄、別名記錄)
DNSSEC
如何在賬戶之間共享DNS服務(例如AWSRAM)
出站和入站終端節點的要求和實施選項
具備以下技能:
配置DNS區域和條件轉發
使用DNS解決方案配置流量管理
為混合網絡配置DNS
配置合適的DNS記錄
在Route53上配置DNSSEC
在集中式或分布式網絡架構中配置DNS
在Route53上配置DNS監控和日志記錄
任務說明2.4:自動化和配置網絡基礎設施。
掌握以下知識:
基礎設施即代碼(IaC)(例如,AWSCloudDevelopmentKit[AWSCDK]、
AWSCIoudFormation、AWSC凵、AWSSDK、API)
事件驅動型網絡自動化
·預置云聯網資源時,在lac模板中使用硬編碼指令的常見問題
具備以下技能.
創建和管理可重復的網絡配置
集成事件驅動型聯網功能
將混合網絡自動化選項與AWS原生IaC集成
·消除云聯網環境中的風險并提高效率,同時保持盡可能低的成本
利用lac實現云網絡資源優化流程的自動化
任務說明3.1:主維護AWS和混合網絡上的路由和連接。
掌握以下知識:
·AWS混合網絡中使用的行業標準路由協議(例如,DirectConnect上的BGP)
·AWS和混合網絡的連接方法(例如,DirectConnect網關、
TransitGateway、VIF)
限制和配額如何影響AWS聯網服務(例如,帶寬限制、路由限制)
·可供自定義服務使用的私有和公有訪問方法(例如PrivateLinksVPC對等連接)
·可用的區域間和區域內通信模式
具備以下技能:
管理AWS的路由協議和混合連接選項(例如,通過DirectConnect連接、VPN)
維護對自定義服務的私有訪問(例如PrivateLinkNVPC對等連接)
使用路由表正確地引導流量(例如,自動傳播、BGP)
設置對AWS服務的私有訪問或公有訪問(例如,DirectConnect、VPN)
通過動態和靜態路由協議優化路由(例如,聚合路由、CIDR重疊)
任務說明3.2:監控和分析網絡流量以便排除故障并優化連接模式。
掌握以下知識:
網絡性能指標和可到達性約束(例如,路由、數據包大小)
用于評估網絡性能和可到達性問題的相應日志和指標(例如數據包丟失)
用于收集和分析日志及指標的工具(例如CIoudWatch、VPC流日志、
VPC流量鏡像)
用于分析路由模式和問題的工具(例如,ReachabilityAnalyzer、
TransitGatewayNetworkManager)
具備以下技能:
分析工具輸出,以便評估網絡性能和排除連接故障(例如VPC流日志、
AmazonCIoudWatchLogs)
繪制或了解網絡拓撲(例如,TransitGatewayNetworkManager)
分析數據包以確定數據包整形中的問題(例如VPC流量鏡像)
排除由網絡配置錯誤導致的連接問題(例如ReachabilityAnalyzer)
.驗證網絡配置是否符合網絡設計要求(例如ReachabilityAnalyzer)
在網絡配置更改時自動驗證連接意圖(例如ReachabilityAnalyzer)
對vpc中的數據包大小不匹配進行故障排除,以便恢復網絡連接
任務說明3.3:優化AWS網絡從而提高性能、可靠性和成本效益。
掌握以下知識:
適合使用VPC對等連接或TransitGateway的情況
減少帶寬占用的不同方法(例如,單播與多播對比,CIoudFront)
在VPC與本地部署環境之間進行數據傳輸的經濟高效的連接選項
AWS上不同類型的網絡接口
Route53中的高可用性功能(例如,使用具有延遲和加權記錄集的運行狀況
檢查實現的DNS負載均衡)
Route53中提供可靠性的選項的可用性
負載均衡和流量分配模式
VPC子網優化
針對各種連接類型上帶寬的幀大小優化
具備以下技能:
針對網絡吞吐量進行優化
選擇合適的網絡接口以便獲得最佳性能(例如,彈性網絡接口、EIastic
NetworkAdapter[ENA]、ElasticFabricAdapter[EFA])
分析所提供的網絡需求,在VPC對等連接、代理模式或TransitGateway連扌
之間做出選擇
在適當的網絡連接服務上實施解決方案以便滿足網絡要求(例如VPC對等
連接、TransitGateway、VPN連接)
在VPC和本地部署環境中實施多播功能
創建Route53公有托管區域和私有托管區域及記錄,以便優化應用程序的
可用性(例如,通過私有區域DNS條目將流量路由到多個可用區)
針對彈性伸縮配置更新和優化子網,以便支持應用程序負載增長
更新和優化子網以防VPC中的可用|P地址耗盡〈例如,輔助CIDR)
配置跨連接類型的巨型幀支持
使用GlobalAccelerator優化網絡連接,以便提高網絡性能和應用程序可用性
任務說明4.1:主實施和維護網絡功能,以便滿足安全和合規性需求及要求。
掌握以下知識:
基于應用程序架構的不同威脅模型
·常見的安全威脅
保護不同應用程序流的機制
滿足安全性和合規性要求的AWS網絡架構
具備以下技能:
保護流入AWS的入站流量(例如AWSWAF、AWSShieId、
NetworkFirewalI)
保護來自AWs的出站流量(例如,NetworkFirewaII、代理、
GatewayLoadBaIancer)
保護賬戶內或跨多個賬戶的VPC間流量安全(例如,安全組、網絡ACL、
VPC終端節點策略)
實施AWS網絡架構以便滿足安全性和合規性要求(例如,不受信任的網絡、
外圍三層架構)
為給定的網絡架構開發威脅模型并確定適當的緩解策略
·測試是否符合初始要求(例如,故障轉移測試、彈性)
使用AWS自動報告安全事件和警報
任務說明4.2:使用網絡監控和日志記錄服務驗證和審計安全性。
掌握以下知識:
。AWS中可用的網絡監控和日志記錄服務(例如CIoudWatch、AWS
CIoudTraiI、VPC流量鏡像、VPC流日志、TransitGatewayNetwork
Manager)
警報機制(例如CIoudWatch警報)
不同AWS服務中的日志創建(例如,VPC流日志、負載均衡器訪問日志、
CIoudFront訪問日志)
日志傳輸機制(例如AmazonKinesis、Route53、CloudWatch)
審計網絡安全配置的機制(例如,安全組、AWSFirewallManager、
AWSTrustedAdvisor)
具備以下技能:
創建和分析VPC流日志(包括流日志的基本字段和擴展字段)
創建和分析網絡流量鏡像(例如,使用VPC流量鏡像)
使用CIoudWatch實施自動警報
使用CIoudWatch實施自定義指標
跨單個或多個AWS日志源關聯和分析信息
實施日志傳送解決方案
跨單個或多個AWs網絡服務和賬戶實施網絡審計策略(例如,
FirewallManager、安全組、網絡ACL)
任務說明4.3:實施和維護數據及網絡通信的機密性。
掌握以下知識:
AWS上可用的網絡加密選項
通過DirectConnect建立VPN連接
傳輸中數據的加密方法(例如IPsec)
AWS責任共擔模式下的網絡加密
適用于DNS通信的安全方法(例如DNSSEC)
具備以下技能:
實施網絡加密方法以便滿足應用程序合規性要求(例如lPsec、TLS)
實施加密解決方案來保護傳輸中的數據(例如,CIoudFront、
ApplicationLoadBaIancer和NetworkLoadBalancer、DirectConnect上的
VPN、AWS托管式數據庫、AmazonS3、AmazonEC2上的自定義解決方案、
TransitGateway)
使用證書頒發機構實施證書管理解決方案(例如,ACMNAWSPrivate
CertificateAuthority[ACMPCA])
實施安全的DNS通信