Для внутренних адресов можно выбрать несколько регионов, описанных в RFC1918:

10.0.0.0    - 10.255.255.255  (10.0.0.0/8     prefix)
172.16.0.0  - 172.31.255.255  (172.16.0.0/12  prefix)
192.168.0.0 - 192.168.255.255 (192.168.0.0/16 prefix)

и RFC6598:

100.64.0.0 - 100.127.255.255 (100.64.0.0/10 prefix)

Из четырёх "удобными" являются лишь два - 10.0.0.0/8 и 192.168.0.0/16. Их подсети описываются очевидной схемой 10.х.х.х и 192.168.х.х, хорошо запоминаются и потому вероятность ошибиться минимальна, не путая локальные адреса с публичными.

Кроме того, Docker использует по умолчанию регион 172.17.0.0/16 - пересечение с ним обеспечит незабываемые ощущения при отладке. Равно как и дефолтная подсеть VPC в Амазоне это 172.31.0.0/16, что сделает проблемным возможный пиринг при использовании такого же региона.

Потому в общем случае не стоит мудрить и использовать для CIDR block подсети из 10.х.х.х (10.0.0.0/8) — много адресов и обычно они банально короче (меньше кнопок жать).

#VPC #CIDR

Ответы на Билет 4 по DNS

Вопрос был по теме DNS и с учётом этого потому ответ можно было найти весьма просто - отбросив ответы, не влияющие и никак не связанные с DNS.

1. Route Tables - точно никакой связи с DNS - сразу отбрасываем, это неправильный ответ.

2. VPC peering - не только не связан с DNS, но и просто нет, понятно, такого функционала - VPC пиринг из AWS к Яндекс.Облаку (было бы прикольно, если бы был, но нет), всё-таки это разные сущности разных облаков, хоть и реализуют одинаковую функцию. Это неправильный ответ.

3. Internet Gateway - можно, в принципе, связать с DNS, например, предполагая гугловые DNS, но, всё же, это просто обеспечение доступа. Кроме того, была речь о VPC, а значит - приватная часть. Это неправильный ответ.

4. DHCP option set - оставшийся последним правильный ответ. Он непосредственно связан с DNS — с его помощью можно задать используемые EC2-виртуалками DNS-сервера.

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html#DHCPOptionSets

Можно добавить, что ровно этот способ применяется, чтобы разрешать внутри AWS VPC адреса внешних по отношению к Амазону ресурсов. Так что пример с #yandex тут совершенно уместен.

#AWS_Certification #training #answers #VPC #DHCP

VPC Ingress Routing:

https://aws.amazon.com/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/

Возможность пропускать исходящий и входящий в VPC трафик через собственную виртуалку. Актуально для систем, где требуется обязательная фильтрация трафика к и из VPC. В то время как обычный IGW не позволяет такого .

#VPC

Что у VPC под капотом — Mapping Service, Virtual Router и Blackfoot.

https://www.sentiatechblog.com/amazon-vpc-the-picasso-of-software-defined-networking

Детальная и при этом просто красивая статья о том, как работает VPC под капотом. Очень рекомендуется для глубокого понимания.

Кроме того добавлю, что статья примерно-показательная в том плане, что написана по открытым источникам и в ней много того, что в том числе неоднократно рассказывал Василий Пантюхин в своих обязательных к просмотру видео о внутренностях AWS сервисов.

Сам делаю также, когда надо хорошо разобраться в какой-то теме. Собираю информацию в кучу из разных источников, смотрю Deep Dive видео и конспектирую ссылки. После, если требуется — можно легко погрузиться и освежить знания.

У автора такой же подробный (длинный — и это правильно) список ссылок по теме VPC (в конце статьи). Отлично и уже сделанная работа — сам буду использовать и вам рекомендую. :)

#VPC

VPC ­­- главные фичи 2020

• 1-minute Aggregation Intervals for VPC Flow Logs
• Enriched metadata to VPC flow logs
• VPC supports Bring Your Own IPv6 Addresses (BYOIPv6)
• VPC Prefix Lists
• AWS Transfer Family for Shared VPC
• AWS Network Firewall

Предыдущие ­- главные VPC фичи 2019.

#итоги #VPC

Лучшие посты из AWS блога по VPC за 2020-ый год:

• Securing VPCs Egress using IDS/IPS leveraging Transit Gateway
• New – Amazon Simple Email Service (SES) for VPC Endpoints
• Building an egress VPC with AWS Transit Gateway and the AWS CDK
• Use Amazon VPC Endpoint Policies for granular control of Amazon EC2 APIs
• Migrate from Transit VPC to AWS Transit Gateway
• Using VPC Sharing for a Cost-Effective Multi-Account Microservice Architecture
• Using VPC Flow Logs to capture and query EKS network communications
• Use AWS Firewall Manager and VPC security groups to protect your applications hosted on EC2 instances
• Using AWS Lambda IAM condition keys for VPC settings
• Reduce Cost and Increase Security with Amazon VPC Endpoints
• VPC Flow Log automation using AWS Control Tower LifeCycle
• Managing Amazon S3 access with VPC endpoints and S3 Access Points

#VPC

​​VPC Reachability Analyzer:

https://aws.amazon.com/blogs/aws/new-vpc-insights-analyzes-reachability-and-visibility-in-vpcs/

Позволяет проверить доступность между различными элементами в одной или разных VPC. В простом случае – между двумя виртуалками (на картинке).

Может быть хорошим инструментом для быстрого поиска причин недоступности — чтобы найти и визуально показать забытые NACL или отвалившийся пиринг.

#VPC

​​Нажав в AWS Console для VPC кнопку See all regions можно быстро увидеть количество различных ресурсов по всем регионам в аккаунте. Что удобно для поиска, где находятся забытые VPC с NAT GW, незаметно пожирающих деньги, Elastic IP или просто быстро найти используемые регионы с поднятыми виртуалками.

p.s. Полезную кнопку подсказал вопросом Виктор, за что ему большое спасибо.

#AWS_Console #VPC

Приятный бонус для систем с VPC Peering — передача данных между инстансами в разных VPC, находящимисия при этом в одной и той же AZ-подзоне — бесплатна:

https://aws.amazon.com/about-aws/whats-new/2021/05/amazon-vpc-announces-pricing-change-for-vpc-peering/

То есть тарификация такая же, как если бы инстансы были внутри одной VPC. До этого тарификация взималась за исходящий и входящий трафик в каждом из аккаунтов.

#VPC

Теперь можно вешать целую подсетку (/28 для IPv4 и /80 для IPv6) на каждый сетевой интерфейс:

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-prefix-eni.html

Это значит вскоре лимиты количества подов на одну виртуалку резко увеличится и можно будет даже на самых слабеньких инстансах крутить сотни подов, а также позволит внедрить полноценный IPv6 для них.

#VPC

Как объединить сеть проектов в Azure и AWS с помощью managed решения:

https://techcommunity.microsoft.com/t5/fasttrack-for-azure/how-to-create-a-vpn-between-azure-and-aws-using-only-managed/ba-p/2281900

Отличная штука, чтобы не плодить свои костыли для соединения в общую сеть — полностью managed решение на базе сервисов Azure VPN Gateway и AWS Virtual Private Gateway. Особенно круто, что аналогично можно подключить и к AWS Transit Gateway.

#Azure #VPC

Advanced Amazon VPC design and new capabilities:

https://www.youtube.com/watch?v=fi3vcenH6UY

🔸 VPC networking overview
🔸 IPv6 only subnets
🔸 DNS64
🔸 NAT64
🔸 Resource-based instance naming
🔸 IPv6 targets for ALB/NLB
🔸 IPAM (IP Address Manager)
🔸 VPC enhanced routing
🔸 Private NATGW
🔸 S3 Interface Endpoint
🔸 PrivateLink: ALB + NLB integration
🔸 TGW Connect
🔸 TGW intra-region peering
🔸 Direct Connect overview
🔸 Direct Connect MACsec
🔸 Direct Connect + Local Zones
🔸 Direct Connect SiteLink
🔸 AWS Cloud WAN
🔸 Network Access Analyzer
🔸 VPC Reachability Analyzer

#VPC #TGW #IPv6 #reInvent #video