Для внутренних адресов можно выбрать несколько регионов, описанных в RFC1918:
Кроме того, Docker использует по умолчанию регион
Потому в общем случае не стоит мудрить и использовать для CIDR block подсети из 10.х.х.х (
#VPC #CIDR
10.0.0.0 - 10.255.255.255 (10.0.0.0/8 prefix)и RFC6598:
172.16.0.0 - 172.31.255.255 (172.16.0.0/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168.0.0/16 prefix)
100.64.0.0 - 100.127.255.255 (100.64.0.0/10 prefix)
Из четырёх "удобными" являются лишь два - 10.0.0.0/8 и 192.168.0.0/16. Их подсети описываются очевидной схемой 10.х.х.х и 192.168.х.х, хорошо запоминаются и потому вероятность ошибиться минимальна, не путая локальные адреса с публичными.Кроме того, Docker использует по умолчанию регион
172.17.0.0/16 - пересечение с ним обеспечит незабываемые ощущения при отладке. Равно как и дефолтная подсеть VPC в Амазоне это 172.31.0.0/16, что сделает проблемным возможный пиринг при использовании такого же региона.Потому в общем случае не стоит мудрить и использовать для CIDR block подсети из 10.х.х.х (
10.0.0.0/8) — много адресов и обычно они банально короче (меньше кнопок жать).#VPC #CIDR
Ответы на Билет 4 по DNS
Вопрос был по теме DNS и с учётом этого потому ответ можно было найти весьма просто - отбросив ответы, не влияющие и никак не связанные с DNS.
1. Route Tables - точно никакой связи с DNS - сразу отбрасываем, это неправильный ответ.
2. VPC peering - не только не связан с DNS, но и просто нет, понятно, такого функционала - VPC пиринг из AWS к Яндекс.Облаку (было бы прикольно, если бы был, но нет), всё-таки это разные сущности разных облаков, хоть и реализуют одинаковую функцию. Это неправильный ответ.
3. Internet Gateway - можно, в принципе, связать с DNS, например, предполагая гугловые DNS, но, всё же, это просто обеспечение доступа. Кроме того, была речь о VPC, а значит - приватная часть. Это неправильный ответ.
4. DHCP option set - оставшийся последним правильный ответ. Он непосредственно связан с DNS — с его помощью можно задать используемые EC2-виртуалками DNS-сервера.
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html#DHCPOptionSets
Можно добавить, что ровно этот способ применяется, чтобы разрешать внутри AWS VPC адреса внешних по отношению к Амазону ресурсов. Так что пример с #yandex тут совершенно уместен.
#AWS_Certification #training #answers #VPC #DHCP
Вопрос был по теме DNS и с учётом этого потому ответ можно было найти весьма просто - отбросив ответы, не влияющие и никак не связанные с DNS.
1. Route Tables - точно никакой связи с DNS - сразу отбрасываем, это неправильный ответ.
2. VPC peering - не только не связан с DNS, но и просто нет, понятно, такого функционала - VPC пиринг из AWS к Яндекс.Облаку (было бы прикольно, если бы был, но нет), всё-таки это разные сущности разных облаков, хоть и реализуют одинаковую функцию. Это неправильный ответ.
3. Internet Gateway - можно, в принципе, связать с DNS, например, предполагая гугловые DNS, но, всё же, это просто обеспечение доступа. Кроме того, была речь о VPC, а значит - приватная часть. Это неправильный ответ.
4. DHCP option set - оставшийся последним правильный ответ. Он непосредственно связан с DNS — с его помощью можно задать используемые EC2-виртуалками DNS-сервера.
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html#DHCPOptionSets
Можно добавить, что ровно этот способ применяется, чтобы разрешать внутри AWS VPC адреса внешних по отношению к Амазону ресурсов. Так что пример с #yandex тут совершенно уместен.
#AWS_Certification #training #answers #VPC #DHCP
Amazon
DHCP option sets in Amazon VPC - Amazon Virtual Private Cloud
Configure DHCP options to control DNS, domain, and NTP settings for network devices in your VPC. Manage DNS resolution capabilities.
Forwarded from aws_update
VPC Ingress Routing:
https://aws.amazon.com/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/
Возможность пропускать исходящий и входящий в VPC трафик через собственную виртуалку. Актуально для систем, где требуется обязательная фильтрация трафика к и из VPC. В то время как обычный IGW не позволяет такого .
#VPC
https://aws.amazon.com/blogs/aws/new-vpc-ingress-routing-simplifying-integration-of-third-party-appliances/
Возможность пропускать исходящий и входящий в VPC трафик через собственную виртуалку. Актуально для систем, где требуется обязательная фильтрация трафика к и из VPC. В то время как обычный IGW не позволяет такого .
#VPC
Amazon
New – VPC Ingress Routing – Simplifying Integration of Third-Party Appliances | Amazon Web Services
When I was delivering the Architecting on AWS class, customers often asked me how to configure an Amazon Virtual Private Cloud to enforce the same network security policies in the cloud as they have on-premises. For example, to scan all ingress traffic with…
Что у VPC под капотом — Mapping Service, Virtual Router и Blackfoot.
https://www.sentiatechblog.com/amazon-vpc-the-picasso-of-software-defined-networking
Детальная и при этом просто красивая статья о том, как работает VPC под капотом. Очень рекомендуется для глубокого понимания.
Кроме того добавлю, что статья примерно-показательная в том плане, что написана по открытым источникам и в ней много того, что в том числе неоднократно рассказывал Василий Пантюхин в своих обязательных к просмотру видео о внутренностях AWS сервисов.
Сам делаю также, когда надо хорошо разобраться в какой-то теме. Собираю информацию в кучу из разных источников, смотрю Deep Dive видео и конспектирую ссылки. После, если требуется — можно легко погрузиться и освежить знания.
У автора такой же подробный (длинный — и это правильно) список ссылок по теме VPC (в конце статьи). Отлично и уже сделанная работа — сам буду использовать и вам рекомендую. :)
#VPC
https://www.sentiatechblog.com/amazon-vpc-the-picasso-of-software-defined-networking
Детальная и при этом просто красивая статья о том, как работает VPC под капотом. Очень рекомендуется для глубокого понимания.
Кроме того добавлю, что статья примерно-показательная в том плане, что написана по открытым источникам и в ней много того, что в том числе неоднократно рассказывал Василий Пантюхин в своих обязательных к просмотру видео о внутренностях AWS сервисов.
Сам делаю также, когда надо хорошо разобраться в какой-то теме. Собираю информацию в кучу из разных источников, смотрю Deep Dive видео и конспектирую ссылки. После, если требуется — можно легко погрузиться и освежить знания.
У автора такой же подробный (длинный — и это правильно) список ссылок по теме VPC (в конце статьи). Отлично и уже сделанная работа — сам буду использовать и вам рекомендую. :)
#VPC
Лучшие посты из AWS блога по VPC за 2020-ый год:
• Securing VPCs Egress using IDS/IPS leveraging Transit Gateway
• New – Amazon Simple Email Service (SES) for VPC Endpoints
• Building an egress VPC with AWS Transit Gateway and the AWS CDK
• Use Amazon VPC Endpoint Policies for granular control of Amazon EC2 APIs
• Migrate from Transit VPC to AWS Transit Gateway
• Using VPC Sharing for a Cost-Effective Multi-Account Microservice Architecture
• Using VPC Flow Logs to capture and query EKS network communications
• Use AWS Firewall Manager and VPC security groups to protect your applications hosted on EC2 instances
• Using AWS Lambda IAM condition keys for VPC settings
• Reduce Cost and Increase Security with Amazon VPC Endpoints
• VPC Flow Log automation using AWS Control Tower LifeCycle
• Managing Amazon S3 access with VPC endpoints and S3 Access Points
#VPC
• Securing VPCs Egress using IDS/IPS leveraging Transit Gateway
• New – Amazon Simple Email Service (SES) for VPC Endpoints
• Building an egress VPC with AWS Transit Gateway and the AWS CDK
• Use Amazon VPC Endpoint Policies for granular control of Amazon EC2 APIs
• Migrate from Transit VPC to AWS Transit Gateway
• Using VPC Sharing for a Cost-Effective Multi-Account Microservice Architecture
• Using VPC Flow Logs to capture and query EKS network communications
• Use AWS Firewall Manager and VPC security groups to protect your applications hosted on EC2 instances
• Using AWS Lambda IAM condition keys for VPC settings
• Reduce Cost and Increase Security with Amazon VPC Endpoints
• VPC Flow Log automation using AWS Control Tower LifeCycle
• Managing Amazon S3 access with VPC endpoints and S3 Access Points
#VPC
VPC Reachability Analyzer:
https://aws.amazon.com/blogs/aws/new-vpc-insights-analyzes-reachability-and-visibility-in-vpcs/
Позволяет проверить доступность между различными элементами в одной или разных VPC. В простом случае – между двумя виртуалками (на картинке).
Может быть хорошим инструментом для быстрого поиска причин недоступности — чтобы найти и визуально показать забытые NACL или отвалившийся пиринг.
#VPC
https://aws.amazon.com/blogs/aws/new-vpc-insights-analyzes-reachability-and-visibility-in-vpcs/
Позволяет проверить доступность между различными элементами в одной или разных VPC. В простом случае – между двумя виртуалками (на картинке).
Может быть хорошим инструментом для быстрого поиска причин недоступности — чтобы найти и визуально показать забытые NACL или отвалившийся пиринг.
#VPC
Нажав в AWS Console для VPC кнопку See all regions можно быстро увидеть количество различных ресурсов по всем регионам в аккаунте. Что удобно для поиска, где находятся забытые VPC с NAT GW, незаметно пожирающих деньги, Elastic IP или просто быстро найти используемые регионы с поднятыми виртуалками.
p.s. Полезную кнопку подсказал вопросом Виктор, за что ему большое спасибо.
#AWS_Console #VPC
p.s. Полезную кнопку подсказал вопросом Виктор, за что ему большое спасибо.
#AWS_Console #VPC
Приятный бонус для систем с VPC Peering — передача данных между инстансами в разных VPC, находящимисия при этом в одной и той же AZ-подзоне — бесплатна:
https://aws.amazon.com/about-aws/whats-new/2021/05/amazon-vpc-announces-pricing-change-for-vpc-peering/
То есть тарификация такая же, как если бы инстансы были внутри одной VPC. До этого тарификация взималась за исходящий и входящий трафик в каждом из аккаунтов.
#VPC
https://aws.amazon.com/about-aws/whats-new/2021/05/amazon-vpc-announces-pricing-change-for-vpc-peering/
То есть тарификация такая же, как если бы инстансы были внутри одной VPC. До этого тарификация взималась за исходящий и входящий трафик в каждом из аккаунтов.
#VPC
Amazon
Amazon VPC Announces Pricing Change for VPC Peering
Теперь можно вешать целую подсетку (
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-prefix-eni.html
Это значит вскоре лимиты количества подов на одну виртуалку резко увеличится и можно будет даже на самых слабеньких инстансах крутить сотни подов, а также позволит внедрить полноценный IPv6 для них.
#VPC
/28 для IPv4 и /80 для IPv6) на каждый сетевой интерфейс: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-prefix-eni.html
Это значит вскоре лимиты количества подов на одну виртуалку резко увеличится и можно будет даже на самых слабеньких инстансах крутить сотни подов, а также позволит внедрить полноценный IPv6 для них.
#VPC
Amazon
Prefix delegation for Amazon EC2 network interfaces - Amazon Elastic Compute Cloud
Understand the key concepts and behavior for network interface prefix delegation.