AWS Certified Advanced Networking - Specialty
2.0 ANS-C01
·领域1:网络设计(占计分内容的30%)
·领域2:网络实施(占计分内容的26%)
·领域3:网络管理和运营(占计分内容的20%)
·领域4:网络安全、合规性和监管〈占计分内容的24%)
任务说明1.1:主设计一个纳入了边缘网络服务的解决方案,以便优化全球架构的用户性能
和流量管理。
掌握以下知识:
。内容分发网络使用的设计模式(例如AmazonCIoudFront)
全球流量管理的设计模式(例如AWSGIobaIAcceIerator)
。内容分发网络和全球流量管理与其他服务(例如ElasticLoadBalancing
[ELB]、AmazonAPIGateway)的集成模式
具备以下技能:
·评估面向互联网的全球入站和出站流量需求,以便设计合适的内容分发解决方案
任务说明1.2:设计满足公有、私有和混合使用要求的DNS解决方案。
掌握以下知识:
.DNS协议(例如DNS记录、仃L、DNSSEC、DNS委派、区域)
.DNS日志记录和监控
.AmazonRoute53功能(例如别名记录、流量策略、解析程序、运行状况检查)
将Route53与其他AWS联网服务(例如AmazonVPC)集成
将Route53与混合、多账户和多区域选项集成
.域名注册
具备以下技能:
使用Route53公有托管区域
使用Route53私有托管区域
在混合架构和AWS架构中使用Route53ResoIver终端节点
使用Route53进行全球流量管理
创建和管理域名注册
任务说明1.3:设计集成负载均衡功能的解决方案,以便满足高可用性、可扩展性和
安全性要求。
掌握以下知识:
负载均衡在OSI模型的第3层、第4层和第7层的工作原理
不同类型的负载均衡器,以及它们如何满足网络设计、高可用性和安全性的要求
根据使用案例应用到负载均衡的连接模式(例如,内部负载均衡器、外部负载
均衡器)
负载均衡器的缩放系数
负载均衡器和其他AWS服务的集成(例如,GIobaIAcceIerator、
CloudFront、AWSWAF、Route53、AmazonElasticKubernetesService
[AmazonEKS]、AWSCertificateManager[ACM])
负载均衡器的配置选项(例如,代理协议、跨区域负载均衡、会话关联性[粘
性会话]、路由算法)
负载均衡器目标组的配置选项(例如,TCP、GENEVE、IP与实例的对比)
适用于Kubernetes集群的AWS负载均衡器控制器
使用负载均衡器进行加密和身份验证的注意事项(例如TLS终止、TLS直通)
具备以下技能.
根据使用案例选择合适的负载均衡器
将弹性伸缩与负载均衡解决方案集成
·将负载均衡器与现有应用程序部署集成
任务说明1.4:定义跨AWS和混合网络的日志记录和监控要求。
掌握以下知识:
AWS架构中的AmazonCIoudWatch指标、代理、日志、警报、控制面板和
见解,以便提供监控能力
架构中的AWSTransitGatewayNetworkManager,以便提供监控能力
架构中的VPCReachabilityAnalyzer,以便提供监控能力
架构中的流日志和流量镜像,以便提供监控能力
访问日志记录(例如,负载均衡器、CIoudFront)
具备以下技能:
·确定日志记录和监控要求
推荐适当的指标以提供对网络状态的监控能力
捕获基准网络性能
任务说明1.5:设计本地部署网络与AWS云之间的路由策略和连接架构。
掌握以下知识:
路由基础知识(例如,动态和静态对比,BGP)
物理互连的第1层和第2层概念(例如VLAN、链路聚合组[G]、光缆、
巨型帧)
封装和加密技术(例如GenericRoutingEncapsulation[GRE]、lPsec)
跨AWS账户共享资源
重叠网络
具备以下技能:
·确定混合连接的要求
使用AWS服务设计冗余混合连接模型(例如AWSDirectConnect、
AWSSite-to-SiteVPN)
使用BGP属性设计BGP路由,以便根据所需的流量模式(负载共享
主动/被动)影响流量流动
在设计中,将软件定义的广域网(SD-WAN)与AWS集成(例如,
TransitGatewayConnect、重叠网络)
任务说明1.6:设计包括多个AWS账户、AWS区域和VPC的路由策略和连接架构,
以便支持不同的连接模式。
掌握以下知识:
不同的连接模式和使用案例(例如VPC对等连接、TransitGateway、
AWSPrivateLink)
·VPC共享的功能和优势
·IP子网和应对IP地址重叠的解决方案
具备以下技能:
根据需求使用最合适的服务来连接多个VPC〈例如,使用VPC对等连接、
TransitGateway、PrivateLink)
在多账户设置中使用VPC共享
通过使用可用的不同服务和选项(例如,NATSPrivateLink、TransitGateway
路由)来管理IP重叠
任务说明2.1:主在本地部署网络和AWS云之间实施路由和连接。
掌握以下知识:
路由协议(例如,静态、动态)
VPN(例如,安全性、加速的VPN)
第1层和要使用的硬件类型(例如,授权证书[LOA]文档、主机托管设施、
DirectConnect)
第2层和第3层(例如VLAN、IP寻址、网关、路由、交换)
流量管理和SD-WAN(例如TransitGatewayConnect)
DNS(例如,条件转发、托管区域、解析程序)
安全设备(例如,防火墙)
负载均衡(例如,第4层对比第7层、反向代理、第3层)
基础设施自动化
AWSOrganizations和AWSResourceAccessManager(AWSRAM)(例如,
多账户TransitGateway、DirectConnect、AmazonVPC、Route53)
测试连接(例如,RouteAnalyzer、ReachabilityAnalyzer)
VPC的联网服务
具备以下技能:
为混合连接解决方案配置物理网络要求
配置静态或动态路由协议,与混合连接解决方案结合使用
配置现有本地部署网络以便连接到AWS云
使用AWS云配置现有的本地部署名称解析
配置和实施负载均衡解决方案
为AWS服务配置网络监控和日志记录
测试和验证环境之间的连接
任务说明2.2:跨多个AWS账户、区域和VPC实施路由及连接,以便支持不同的连接模式。
掌握以下知识:
VPC间和多账户连接(例如VPC对等连接、TransitGateway、VPN、第三方
供应商、SD-WAN、多协议标签交换[MPLS])
私有应用程序连接(例如PrivateLink)
扩展AWS网络连接的方法(例如,Organizations、AWSRAM)
应用程序及客户端的主机和服务名称解析(例如DNS)
基础设施自动化
身份验证和授权(例如SAML、ActiveDirectory)
安全性(例如,安全组、网络ACL、AWSNetworkFirewaII)
·测试连接(例如,RouteAnalyzer、ReachabilityAnalyzer、工具)
具备以下技能:
在单VPC或多VPC设计中使用AWS服务来配置网络连接架构(例如,
DHCP、路由、安全组)
使用现有的第三方供应商解决方案配置混合连接
配置星型网络架构(例如,TransitGateway、TransitVPC)
配置DNS解决方案以便实现混合连接
在网络边界之间实施安全性
使用AWS解决方案配置网络监控和日志记录
任务说明2.3:实施复杂的混合和多账户DNS架构。
掌握以下知识:
何时使用私有托管区域和公有托管区域
变更流量管理模式的方法(例如,基于延迟、地理位置、权重)
DNS委派和转发(例如,条件转发)
不同的DNS记录类型(例如A、AAAA、TXTN指针记录、别名记录)
DNSSEC
如何在账户之间共享DNS服务(例如AWSRAM)
出站和入站终端节点的要求和实施选项
具备以下技能:
配置DNS区域和条件转发
使用DNS解决方案配置流量管理
为混合网络配置DNS
配置合适的DNS记录
在Route53上配置DNSSEC
在集中式或分布式网络架构中配置DNS
在Route53上配置DNS监控和日志记录
任务说明2.4:自动化和配置网络基础设施。
掌握以下知识:
基础设施即代码(IaC)(例如,AWSCloudDevelopmentKit[AWSCDK]、
AWSCIoudFormation、AWSC凵、AWSSDK、API)
事件驱动型网络自动化
·预置云联网资源时,在lac模板中使用硬编码指令的常见问题
具备以下技能.
创建和管理可重复的网络配置
集成事件驱动型联网功能
将混合网络自动化选项与AWS原生IaC集成
·消除云联网环境中的风险并提高效率,同时保持尽可能低的成本
利用lac实现云网络资源优化流程的自动化
任务说明3.1:主维护AWS和混合网络上的路由和连接。
掌握以下知识:
·AWS混合网络中使用的行业标准路由协议(例如,DirectConnect上的BGP)
·AWS和混合网络的连接方法(例如,DirectConnect网关、
TransitGateway、VIF)
限制和配额如何影响AWS联网服务(例如,带宽限制、路由限制)
·可供自定义服务使用的私有和公有访问方法(例如PrivateLinksVPC对等连接)
·可用的区域间和区域内通信模式
具备以下技能:
管理AWS的路由协议和混合连接选项(例如,通过DirectConnect连接、VPN)
维护对自定义服务的私有访问(例如PrivateLinkNVPC对等连接)
使用路由表正确地引导流量(例如,自动传播、BGP)
设置对AWS服务的私有访问或公有访问(例如,DirectConnect、VPN)
通过动态和静态路由协议优化路由(例如,聚合路由、CIDR重叠)
任务说明3.2:监控和分析网络流量以便排除故障并优化连接模式。
掌握以下知识:
网络性能指标和可到达性约束(例如,路由、数据包大小)
用于评估网络性能和可到达性问题的相应日志和指标(例如数据包丢失)
用于收集和分析日志及指标的工具(例如CIoudWatch、VPC流日志、
VPC流量镜像)
用于分析路由模式和问题的工具(例如,ReachabilityAnalyzer、
TransitGatewayNetworkManager)
具备以下技能:
分析工具输出,以便评估网络性能和排除连接故障(例如VPC流日志、
AmazonCIoudWatchLogs)
绘制或了解网络拓扑(例如,TransitGatewayNetworkManager)
分析数据包以确定数据包整形中的问题(例如VPC流量镜像)
排除由网络配置错误导致的连接问题(例如ReachabilityAnalyzer)
.验证网络配置是否符合网络设计要求(例如ReachabilityAnalyzer)
在网络配置更改时自动验证连接意图(例如ReachabilityAnalyzer)
对vpc中的数据包大小不匹配进行故障排除,以便恢复网络连接
任务说明3.3:优化AWS网络从而提高性能、可靠性和成本效益。
掌握以下知识:
适合使用VPC对等连接或TransitGateway的情况
减少带宽占用的不同方法(例如,单播与多播对比,CIoudFront)
在VPC与本地部署环境之间进行数据传输的经济高效的连接选项
AWS上不同类型的网络接口
Route53中的高可用性功能(例如,使用具有延迟和加权记录集的运行状况
检查实现的DNS负载均衡)
Route53中提供可靠性的选项的可用性
负载均衡和流量分配模式
VPC子网优化
针对各种连接类型上带宽的帧大小优化
具备以下技能:
针对网络吞吐量进行优化
选择合适的网络接口以便获得最佳性能(例如,弹性网络接口、EIastic
NetworkAdapter[ENA]、ElasticFabricAdapter[EFA])
分析所提供的网络需求,在VPC对等连接、代理模式或TransitGateway连扌
之间做出选择
在适当的网络连接服务上实施解决方案以便满足网络要求(例如VPC对等
连接、TransitGateway、VPN连接)
在VPC和本地部署环境中实施多播功能
创建Route53公有托管区域和私有托管区域及记录,以便优化应用程序的
可用性(例如,通过私有区域DNS条目将流量路由到多个可用区)
针对弹性伸缩配置更新和优化子网,以便支持应用程序负载增长
更新和优化子网以防VPC中的可用|P地址耗尽〈例如,辅助CIDR)
配置跨连接类型的巨型帧支持
使用GlobalAccelerator优化网络连接,以便提高网络性能和应用程序可用相
任务说明4.1:主实施和维护网络功能,以便满足安全和合规性需求及要求。
掌握以下知识:
基于应用程序架构的不同威胁模型
·常见的安全威胁
保护不同应用程序流的机制
满足安全性和合规性要求的AWS网络架构
具备以下技能:
保护流入AWS的入站流量(例如AWSWAF、AWSShieId、
NetworkFirewalI)
保护来自AWs的出站流量(例如,NetworkFirewaII、代理、
GatewayLoadBaIancer)
保护账户内或跨多个账户的VPC间流量安全(例如,安全组、网络ACL、
VPC终端节点策略)
实施AWS网络架构以便满足安全性和合规性要求(例如,不受信任的网络、
外围三层架构)
为给定的网络架构开发威胁模型并确定适当的缓解策略
·测试是否符合初始要求(例如,故障转移测试、弹性)
使用AWS自动报告安全事件和警报
任务说明4.2:使用网络监控和日志记录服务验证和审计安全性。
掌握以下知识:
。AWS中可用的网络监控和日志记录服务(例如CIoudWatch、AWS
CIoudTraiI、VPC流量镜像、VPC流日志、TransitGatewayNetwork
Manager)
警报机制(例如CIoudWatch警报)
不同AWS服务中的日志创建(例如,VPC流日志、负载均衡器访问日志、
CIoudFront访问日志)
日志传输机制(例如AmazonKinesis、Route53、CloudWatch)
审计网络安全配置的机制(例如,安全组、AWSFirewallManager、
AWSTrustedAdvisor)
具备以下技能:
创建和分析VPC流日志(包括流日志的基本字段和扩展字段)
创建和分析网络流量镜像(例如,使用VPC流量镜像)
使用CIoudWatch实施自动警报
使用CIoudWatch实施自定义指标
跨单个或多个AWS日志源关联和分析信息
实施日志传送解决方案
跨单个或多个AWs网络服务和账户实施网络审计策略(例如,
FirewallManager、安全组、网络ACL)
任务说明4.3:实施和维护数据及网络通信的机密性。
掌握以下知识:
AWS上可用的网络加密选项
通过DirectConnect建立VPN连接
传输中数据的加密方法(例如IPsec)
AWS责任共担模式下的网络加密
适用于DNS通信的安全方法(例如DNSSEC)
具备以下技能:
实施网络加密方法以便满足应用程序合规性要求(例如lPsec、TLS)
实施加密解决方案来保护传输中的数据(例如,CIoudFront、
ApplicationLoadBaIancer和NetworkLoadBalancer、DirectConnect上的
VPN、AWS托管式数据库、AmazonS3、AmazonEC2上的自定义解决方案、
TransitGateway)
使用证书颁发机构实施证书管理解决方案(例如,ACMNAWSPrivate
CertificateAuthority[ACMPCA])
实施安全的DNS通信