AWS Certified Advanced Networking - Specialty
• 内容领域1:网络设计(占评分内容的30%)
• 内容领域2:网络实现(占评分内容的26%)
• 内容领域3:网络管理与运行(占评分内容的20%)
• 内容领域4:网络安全、合规与治理(占评分内容的24%)
任务1.1:设计一个集成边缘网络服务的解决方案,以优化全球架构的用户性能和流量管理
知识包括:
内容分发网络(例如亚马逊云前线)使用设计模式
全球流量管理设计模式(例如,AWS Global Accelerator)
内容分发网络的集成模式以及与其他服务(例如,弹性负载均衡(ELB)、亚马逊API网关)之间的全球流量管理。
技能包括:
评估全球互联网入站和出站流量的需求,设计合适的内容分发解决方案
任务1.2:设计满足公共、私有和混合需求的DNS解决方案
知识包括:
DNS协议(例如,DNS记录、TTL、DNSSEC、DNS委任、区域)
DNS日志记录与监控
亚马逊53号路由的功能(例如,别名记录、交通政策、解析器、健康检查)
Route 53与其他AWS网络服务(例如Amazon VPC)集成
53号公路与混合、多账户和多区域选项的整合
域名注册
技能包括:
使用53号公路公共托管区域
使用 53 路的私人托管区域
在混合和AWS架构中使用Route 53 Resolver端点
使用53号公路进行全球交通管理
创建和管理域名注册
任务1.3:设计集成负载均衡以满足高可用性、可扩展性和安全性需求的解决方案
知识包括:
OSI模型的第3层、第4层和第7层的负载均衡工作原理
不同类型的负载均衡器及其满足网络设计、高可用性和安全要求的方式
基于用例应用的负载均衡连接模式(例如,内部负载均衡器、外部负载均衡器)
负载均衡器的缩放因子
负载均衡器及其他AWS服务的集成(例如,Global Accelerator、CloudFront、AWS WAF、Route 53、Amazon Elastic Kubernetes Service(亚马逊EKS)、AWS证书管理器(ACM))
负载均衡器的配置选项(例如,代理协议、跨区负载均衡、会话亲和性[粘性会话]、路由算法)
负载均衡器目标组的配置选项(例如,TCP、GENEVE、IP 与实例的对比)
适用于Kubernetes集群的AWS负载均衡控制器
关于负载均衡器的加密和认证(例如,TLS终止、TLS直通)的考虑
技能包括:
根据用例选择合适的负载均衡器
将自动缩放与负载均衡解决方案整合
将负载均衡器与现有应用部署集成
任务1.4:定义AWS和混合网络的日志和监控需求
知识包括:
Amazon CloudWatch 的指标、代理、日志、警报、仪表盘和 AWS 架构中的洞察,以提供可视化
AWS Transit Gateway Network Manager 架构提供可视化
架构中的VPC可达性分析仪以提供可视化
在架构中通过流量日志和流量镜像来提供可视化
访问日志(例如,负载均衡器、CloudFront)
技能包括:
确定日志和监控需求
推荐合适的指标以提供网络状态的可视化
捕捉基线网络性能
任务1.5:设计本地网络与AWS云之间的路由策略和连接架构
知识包括:
路由基础(例如动态与静态、BGP)
物理互联的第1层和第2层概念(例如,VLAN、链路聚合组[LAG]、光学、巨型帧)
封装和加密技术(例如,通用路由封装 [GRE],IPsec)
AWS 账户间的资源共享
叠加网络
技能包括:
识别混合连接的需求
设计一个冗余的混合连接模型,配合AWS服务(例如,AWS Direct Connect、AWS站点对站点VPN)
设计带有BGP属性的BGP路由,以根据期望的流量模式(负载共享、主动/被动)影响流量
设计软件定义广域网(SD-WAN)与AWS(例如Transit Gateway Connect、叠加网络)的集成
任务1.6:设计一个路由策略和连接架构,包含多个AWS账户、AWS区域和VPC,以支持不同的连接模式
知识包括:
不同的连接模式和使用场景(例如,VPC对等、Transit Gateway、AWS PrivateLink)
VPC 共享的能力与优势
IP子网及考虑IP地址重叠的解决方案
技能包括:
根据需求使用最合适的服务连接多个VPC(例如,使用VPC对等、Transit Gateway、PrivateLink)
在多账户设置中使用VPC共享
通过使用不同的可用服务和选项(例如,NAT、私有链路、中转网关路由)来管理IP的重叠
任务2.1:实现本地网络与AWS云之间的路由和连接
知识包括:
路由协议(例如静态、动态)
VPN(例如,安全、加速VPN)
第1层及所需硬件类型(例如授权书[LOA]文档、托管设施、Direct Connect)
第2层和第3层(例如,VLAN、IP地址、网关、路由、交换)
流量管理与SD-WAN(例如,Transit Gateway Connect)
DNS(例如,条件转发、托管区域、解析器)
安全设备(例如防火墙)
负载均衡(例如,第4层与第7层的对比,反向代理,第3层)
基础设施自动化
AWS 组织和 AWS 资源访问管理器(AWS RAM)(例如,多账户中转网关、Direct Connect、Amazon VPC、Route 53)
测试连接性(例如,路由分析仪、可达性分析仪)
VPC的网络服务
技能包括:
配置混合连接解决方案的物理网络需求
配置静态或动态路由协议以配合混合连接解决方案
配置现有本地网络以连接AWS云
如何配置现有的本地名称解析,使用 AWS 云
配置和实施负载均衡解决方案
为AWS服务配置网络监控和日志
测试和验证环境间的连接性
任务2.2:实现跨多个AWS账户、区域和VPC的路由和连接,以支持不同的连接模式
知识包括:
VPC间和多账户连接(例如,VPC对等、中转网关、VPN、第三方供应商、SD-WAN、多协议标签交换[MPLS])
私有应用连接(例如,PrivateLink)
扩展AWS网络连接的方法(例如,组织、AWS RAM)
应用程序和客户端(例如DNS)的主机和服务名称解析
基础设施自动化
认证与授权(例如,SAML、Active Directory)
安全性(例如,安全组、网络ACL、AWS网络防火墙)
测试连接性(例如,路由分析仪、可达性分析仪、工具)
技能包括:
通过单一 VPC 或多 VPC 设计(例如 DHCP、路由、安全组)配置 AWS 服务来配置网络连接架构
与现有第三方供应商解决方案配置混合连接
配置枢纽辐射网络架构(例如,Transit Gateway、transit VPC)
配置DNS解决方案以实现混合连接
网络边界间的安全实施
使用AWS解决方案配置网络监控和日志
任务2.3:实现复杂的混合和多账户DNS架构
知识包括:
何时使用私有托管区域和公共托管区域
改变流量管理的方法(例如基于延迟、地理位置、权重)
DNS委托与转发(例如,条件转发)
不同的DNS记录类型(例如,A、AAAA、TXT、指针记录、别名记录)
DNSSEC
如何在账户之间共享DNS服务(例如,AWS RAM)
出站和入站端点的需求与实现选项
技能包括:
配置DNS区域和条件转发
通过使用DNS解决方案配置流量管理
为混合网络配置DNS。
配置合适的DNS记录
在53号公路上配置DNSSEC
在集中式或分布式网络架构中配置DNS系统
在53号公路上配置DNS监控和日志
任务2.4:自动化和配置网络基础设施
知识包括:
基础设施即代码(IaC)(例如,AWS Cloud Development Kit [AWS CDK]、AWS CloudFormation、AWS CLI、AWS SDK、APIS)
事件驱动网络自动化
在配置云网络资源时,使用硬编码指令在IaC模板中常见的问题
技能包括:
创建和管理可重复的网络配置
集成事件驱动网络功能
将混合网络自动化选项与AWS原生IaC集成
在云网络环境中消除风险并实现效率,同时保持尽可能低的成本
利用IaC自动化优化云网络资源的过程
任务3.1:维护AWS和混合网络的路由和连接性
知识包括:
AWS混合网络中使用的行业标准路由协议(例如,基于Direct Connect的BGP)
AWS和混合网络的连接方式(例如,Direct Connect网关、Transit Gateway、VIF)
限制和配额如何影响AWS网络服务(例如带宽限制、路由限制)
可用于定制服务的私有和公共访问方法(例如,PrivateLink、VPC 对等)
可用的区域间和区域内通信模式
技能包括:
管理AWS和混合连接选项的路由协议(例如通过Direct Connect连接、VPN)
维护对自定义服务(例如,PrivateLink、VPC 对等)的私有访问
使用路由表来适当引导流量(例如自动传播,BGP)
设置对AWS服务的私有访问或公共访问(例如,Direct Connect、VPN)
优化动态和静态路由协议的路由(例如,路由汇总、CIDR重叠)
任务3.2:监控和分析网络流量,排查并优化连接模式
知识包括:
网络性能指标和可达性约束(例如,路由、数据包大小)
适当的日志和指标用于评估网络性能和可达性问题(例如丢包)
收集和分析日志及指标的工具(例如,CloudWatch、VPC流量日志、VPC流量镜像)
分析路由模式和问题的工具(例如,可达性分析器、交通网关网络管理器)
技能包括:
分析工具输出以评估网络性能并排查连接性问题(例如,VPC流量日志、亚马逊CloudWatch日志)
映射或理解网络拓扑(例如,Transit Gateway Network Manager)
分析数据包以识别数据包整形中的问题(例如,VPC流量镜像)
排查因网络配置错误引起的连接问题(例如,可达性分析器)
验证网络配置是否符合网络设计要求(例如,可达性分析仪)
自动化在网络配置变化时验证连接意图(例如,可达性分析器)
排查VPC中数据包大小不匹配以恢复网络连接
任务3.3:优化AWS网络以提升性能、可靠性和成本效益
知识包括:
VPC 对等端或中转网关适合使用的情况
减少带宽使用率的不同方法(例如,单播与多播、CloudFront)
VPC与本地环境之间数据传输的经济性连接选项
AWS 上不同类型的网络接口
Route 53 的高可用性功能(例如,利用带有延迟和加权记录集的健康检查实现 DNS 负载均衡)
53路提供的可靠选项
负载均衡与流量分配模式
VPC 子网优化
不同连接类型带宽的帧大小优化
技能包括:
优化网络吞吐量
选择最佳性能的网络接口(例如,弹性网络接口、弹性网络适配器[ENA]、弹性织物适配器[EFA])
根据网络需求分析,在VPC对等、代理模式或中转网关连接之间做出选择
在合适的网络连接服务(例如VPC对等、中转网关、VPN连接)上实现解决方案以满足网络需求
在VPC和本地环境中实现多播能力
创建Route 53公共托管区域和私有托管区域及记录以优化应用可用性(例如,私有区域DNS条目用于将流量路由到多个可用性区域)
更新和优化子网以支持自动扩展配置,以支持增加的应用负载
更新和优化子网以防止VPC内可用IP地址的耗尽(例如,次级CIDR)
配置跨连接类型的巨型帧支持
通过使用全球加速器优化网络连接,提升网络性能和应用可用性
任务4.1:实现并维护网络功能以满足安全和合规需求
知识包括:
基于应用架构的不同威胁模型
常见的安全威胁
保护不同应用流的机制
满足安全和合规要求的AWS网络架构
技能包括:
保护流入AWS的流量(例如:AWS WAF、AWS Shield、网络防火墙)
保护来自AWS的出站流量(例如,网络防火墙、代理、网关负载均衡器)
保护账户内或跨多个账户(例如安全组、网络ACL、VPC端点策略)之间的VPC间流量
实现AWS网络架构以满足安全和合规要求(例如,不受信任网络、外围VPC、三层架构)
构建威胁模型并确定针对特定网络架构的适当缓解策略
测试符合初始要求(例如故障转移测试、韧性)
利用AWS自动化安全事件报告和警报
任务4.2:通过使用网络监控和日志服务验证和审计安全性
知识包括:
AWS 提供的网络监控和日志服务(例如 CloudWatch、AWS CloudTrail、VPC 流量镜像、VPC 流日志、Transit Gateway Network Manager)
警报机制(例如,CloudWatch报警)
不同AWS服务中的日志创建(例如,VPC流日志、负载均衡访问日志、CloudFront访问日志)
日志传递机制(例如,Amazon Kinesis、Route 53、CloudWatch)
网络安全配置审计机制(例如,安全组、AWS 防火墙管理器、AWS Trusted Advisor)
技能包括:
创建和分析VPC流程日志(包括基础和扩展流程日志字段)
创建和分析网络流量镜像(例如,使用 VPC 流量镜像)
利用CloudWatch实现自动闹钟
通过CloudWatch实现定制指标
关联和分析跨单一或多个AWS日志源的信息
日志交付解决方案的实施
在单个或多个AWS网络服务和账户(例如,防火墙管理器、安全组、网络ACL)之间实施网络审计策略
任务4.3:实施并维护网络数据和通信的机密性
知识包括:
AWS 提供的网络加密选项
通过Direct Connect实现VPN连接
传输中数据的加密方法(例如IPsec)
AWS共同责任模型下的网络加密
DNS通信的安全方法(例如DNSSEC)
技能包括:
实现网络加密方法以满足应用合规要求(例如,IPsec、TLS)
实施加密解决方案以保护传输中的数据安全(例如,CloudFront、应用负载均衡器和网络负载均衡器、VPN over Direct Connect、AWS管理数据库、Amazon S3、Amazon EC2定制解决方案、Transit Gateway)
通过使用证书授权机构(例如ACM,AWS私人证书授权机构[ACM PCA])实现证书管理解决方案
实现安全DNS通信