ANS-C01_N01

Kubernetes 用の AWS ロード バランサー コントローラーをインストールします。 そのコントローラーを使用して、ポート 443 上の TCP リスナーを使用して Network Load Balancer を構成し、バックエンド サービス ポッドの IP アドレスにトラフィックを転送します。

HTTPS リスナーを使用して Application Load Balancer をデプロイします。 パスベースのルーティング ルールを使用して、トラフィックを正しいターゲット グループに転送します。 ターゲットへのトラフィックに X-Forwarded-For リクエスト ヘッダーを含めます。

VPC のプライベート サブネットに ALB を構成します。 インターネット ゲートウェイを指すようにサブネット ルート テーブルにルートを追加せずに、インターネット ゲートウェイを接続します。 ALB エンドポイントを含むエンドポイント グループを使用してアクセラレータを構成します。 ALB リスナー ポートでインターネットからの受信トラフィックのみを許可するように ALB のセキュリティ グループを構成します。

中央共有サービス VPC で AWS PrivateLink を利用した VPC エンドポイント サービスを作成します。各アプリケーション VPC に VPC エンドポイントを作成します

VirtualInterfaceBpsEgress と VirtualInterfaceBpsIngress の Amazon CloudWatch メトリクスを確認して、低速が観察されている期間中にどの VIF が最高のスループットを送信しているかを判断します。 新しい 10 Gbps 専用接続を作成します。 トラフィックを既存の専用接続から新しい専用接続に移行します。

SaaS サービス エンドポイントを Network Load Balancer の背後にデプロイします。, エンドポイント サービスを構成し、エンドポイント サービスへの接続を作成する権限を顧客に付与します。

クラウドへの接続には、MACsec サポートを備えた AWS Direct Connect を使用します。, ゲートウェイ ロード バランサーを使用して、インライン トラフィック検査用のサードパーティ ファイアウォールを挿入します。, AWS Shield Advanced を設定し、すべての公開アセットで設定されていることを確認します。

NAT ゲートウェイの Elastic Network Interface で VPC フロー ログを有効にします。 Amazon CloudWatch Logs のロググループにログを公開します。 CloudWatch Logs Insights を使用して、ログのクエリと分析を行います。, NAT ゲートウェイの Elastic Network Interface で VPC フロー ログを有効にします。 ログを Amazon S3 バケットに発行します。 Amazon Athena で S3 バケットのカスタムテーブルを作成し、ログ構造を記述します。 Athena を使用してログのクエリと分析を行います。

VPC にEgress専用インターネット ゲートウェイを作成します。既存のサブネット ルート テーブルにルートを追加して、IPv6 トラフィックが出力専用インターネット ゲートウェイを指すようにします。

Amazon OpenSearch Service (Amazon Elasticsearch Service) クラスターを宛先として含む Amazon Kinesis Data Firehose 配信ストリームを作成します。 ファイアウォールのフローログの設定 Kinesis Data Firehose 配信ストリームを Network Firewall フローログの宛先として設定します。

中央 VPC に Amazon Route 53 Resolver アウトバウンドエンドポイントを作成します。 名前解決に AmazonProvidedDNS を使用するようにすべての VPC DHCP オプション セットを更新します。, オンプレミス ドメインのクエリをオンプレミス DNS サーバーに転送する Amazon Route 53 リゾルバー ルールを作成します。 AWS Resource Access Manager (AWS RAM) を使用して、ルールを組織と共有します。 ルールをすべての VPC に関連付けます。

ネットワーク ロード バランサー (NLB) を作成します。 TCP リスナーを NLB に追加します。 NLB のターゲット グループにインスタンスを登録するように Auto Scaling グループを構成します。

ルーターの設定を変更して、広告されたルートを要約します。

共有アカウント VPC に Amazon Route 53 リゾルバー インバウンド エンドポイントを作成します。 オンプレミスの DNS サーバー上に aws.example.internal という名前のドメインの条件付きフォワーダーを作成します。 転送 IP アドレスを、作成された受信エンドポイントの IP アドレスに設定します。, このドメインのクエリを解決するには、共有 AWS アカウントに aws.example.internal という名前の Amazon Route 53 プライベートホストゾーンを作成します。, サービスを実行するアカウントごとに、共有 AWS アカウントにプライベートホストゾーンを作成します。 ドメイン内に aws.example.internal を含むようにプライベートホストゾーンを設定します (account1.aws.example.internal)。 プライベートホストゾーンを、サービスを実行する VPC および共有アカウント VPC に関連付けます。

アプライアンス モードのサポートを有効にして、共有サービス VPC 上のトランジット ゲートウェイ VPC アタッチメントを変更します。

EnableDnsHostnames VPC 属性とenableDnsSupport VPC 属性を true に設定して、VPC でプライベート DNS が有効になっていることを検証します。, VPC 内に次のインターフェイス VPC エンドポイントを作成します: com.amazonaws.us-west-2.logs および com.amazonaws.us-west-2.monitoring。 新しいセキュリティ グループをエンドポイント ネットワーク インターフェイスに関連付けます。, VPC エンドポイントまたは複数のエンドポイントを、プライベート サブネットが使用するルート テーブルに関連付けます。

AWS Global Accelerator でアクセラレータをセットアップします。 地域のエンドポイント グループとヘルス チェックを構成します。

Direct Connect 接続用に MACsec を構成します。 トランジット ゲートウェイに関連付けられている Direct Connect ゲートウェイにトランジット VIF を構成します。

ルート テーブル エントリのリソース宣言に dependsOn 属性を追加します。 仮想プライベートゲートウェイリソースを指定します。

他のリージョンとローカル VPC CIDR ブロックの集約 IP プレフィックスを、ローカル Direct Connect 接続を通じてアドバタイズされるサブネットのリストに追加します, ローカル Direct Connect 接続を通じてアドバタイズされたサブネットのリストからすべての VPC CIDR プレフィックスを削除します。 両方の地域集約 IP プレフィックスを、ネットワークの両側の Direct Connect 接続を通じてアドバタイズされるサブネットのリストに追加します。 受信した BGP コミュニティに基づいてルーティングを決定するようにデータセンター ルーターを構成します。

ネットワーク ロード バランサー (NLB) をトラフィック ミラー ターゲットとして展開します。 NLBの裏側。 Auto Scaling グループに EC2 インスタンスのフリートをデプロイします。 必要に応じてトラフィック ミラーリングを使用します。

aws.example.com ドメインクエリを受信エンドポイントの IP アドレスに転送するようにオンプレミスの DNS リゾルバーを設定します。, Route 53 リゾルバーのインバウンド エンドポイントと Route 53 リゾルバーのアウトバウンド エンドポイントを作成します。, Route 53 リゾルバー ルールを作成して、corp.example.com ドメイン クエリをオンプレミス DNS リゾルバーの IP アドレスに転送します。

指定された検査 VPC 内の複数のアベイラビリティーゾーンにまたがる複数のアプライアンスで構成される 2 つのクラスターをデプロイします。 VPC アタッチメントを使用して、検査 VPC をトランジット ゲートウェイに接続します。 ターゲット グループを作成し、アプライアンスをターゲット グループに登録します。 ゲートウェイ ロード バランサーを作成し、新しく作成したターゲット グループに転送するように設定します。 インスペクション VPC のトランジット ゲートウェイ サブネットに、ゲートウェイ ロード バランサー エンドポイントに向かうデフォルト ルートを設定します。, トランジットゲートウェイ上に 2 つのルートテーブルを設定します。 1 つのルート テーブルをアプリケーション VPC のすべてのアタッチメントに関連付けます。 他のルート テーブルを検査 VPC のアタッチメントに関連付けます。 すべての VPC アタッチメントを検査ルート テーブルに伝播します。 アプリケーションルートテーブルに静的デフォルトルートを定義します。 検査 VPC に接続するアタッチメントでアプライアンス モードを有効にします。

EC2 インスタンスがデプロイされている VPC 内のプライベート サブネットに NAT ゲートウェイをデプロイします。 NAT ゲートウェイのタイプをプライベートとして指定します。 NAT ゲートウェイに割り当てられた IP アドレスからの接続を許可するようにオンプレミスのファイアウォールを構成します。

各データセンターから新たに委託された複数の VPN 接続を使用して、各リージョンにトランジット ゲートウェイを作成します。 AWS Resource Access Manager (AWS RAM) を使用して、トランジットゲートウェイを各アカウントと共有します。 各リージョンで、トランジット ゲートウェイを各 VPCに接続します。仮想プライベート ゲートウェイに直接接続されている既存の VPN 接続を削除します。

Amazon S3 のゲートウェイ VPC エンドポイントを実装します。 VPC ルート テーブルを更新します。

Transit Gateway Network Manager を Amazon CloudWatch Logs Insights にオンボードします。 Amazon EventBridge (Amazon CloudWatch Events) を使用して、ルートが変更されたときに通知を送信します。

MACsec を使用して 10 GB Direct Connect 接続の新しいペアを展開します。 エッジルーターでMACsecを設定します。 トラフィックを新しい Direct Connect 接続に再ルーティングします。 元の Direct Connect 接続を廃止する 。

Amazon S3 バケットにログを保存するように ALB を設定します。 Amazon Athena を使用して、Amazon S3 のログを分析します。

AWS Certificate Manager (ACM) を使用して、service.example.com の証明書を作成します。 このカスタム SSL/TLS 証明書を使用するように CloudFront を設定します。 HTTP を HTTPS にリダイレクトするようにデフォルトの動作を変更します。, EC2 インスタンスの任意のドメイン名を使用して、サードパーティの証明書プロバイダーからパブリック証明書を作成します。 この証明書を HTTPS リスナーに使用するようにバックエンドを構成します。 ターゲットに HTTPS プロトコルを使用する新しいターゲット グループの作成時に、インスタンス ターゲット タイプを指定します。 既存の Auto Scaling グループをこの新しいターゲット グループにアタッチします。, AWS Certificate Manager (ACM) を使用して、service-alb.example.com の証明書を作成します。 ALB で、新しいターゲット グループと service-alb.example.com ACM 証明書を使用する新しい HTTPS リスナーを追加します。 HTTPS プロトコルのみを使用するように CloudFront オリジンを変更します。 ALB 上の HTTP リスナーを削除します。

NLB で新しいアベイラビリティーゾーンを有効にする

Auto Scaling グループの作成中に、プライマリ ネットワーク インターフェイスのサブネットを選択します。 ユーザーデータ オプションを使用して、cloud-init スクリプトを実行して 2 番目のネットワーク インターフェイスを割り当て、BYOIP プールから Elastic IP アドレスを関連付けます。

同じドメイン名に Route 53 プライベートホストゾーンを作成する アプリケーションの VPC を新しいプライベートホストゾーンに関連付けます。, アプリケーションの VPC の DNS ホスト名を有効にします。, 対応するプライベート IP アドレスを使用して、パブリック ホスト ゾーン内の名前ごとにプライベート ホスト ゾーンにエントリを作成します。

ECS サービスのロード バランサーのタイプとしてネットワーク ロード バランサー (NLB) を選択します。 サービス定義で NLB を指定します。 NLB の VPC エンドポイント サービスを作成します。 VPC エンドポイント サービスを他の AWS アカウントと共有します。

VPC エンドポイント サービスを作成します。 VPC エンドポイント サービスを Web サービスの NLB に関連付けます。 既存の本番 VPC に Web サービスのインターフェイス VPC エンドポイントを作成します。

Direct Connect トランジット VIF を更新し、AWS が割り当てた IPv6 ピアリング アドレスを使用して BGP ピアリングを構成します。 IPv6 接続をサポートする新しい VPN 接続を作成します。 下り専用インターネットゲートウェイを追加します。 影響を受ける VPC セキュリティ グループとルート テーブルを更新して、VPC 内および VPC とオンプレミス デバイス間の接続を提供します

ALB セキュリティ ポリシーを Forward Secrecy (FS) をサポートするポリシーに変更します。

トランジット ゲートウェイへの BGP ルートのセカンダリ SD-WAN 仮想アプライアンスで AS_PATH プリペンド属性を構成します。

新しい CIDR ブロックをトランジット ゲートウェイに割り当てます。 SD-WAN ハブ仮想アプライアンス用の新しい VPC を作成します。 VPC アタッチメントを使用して、新しい VPC をトランジット ゲートウェイに接続します。 トランジット ゲートウェイ接続アタッチメントを追加します。 Connect ピアを作成し、GRE および BGP パラメータを指定します。 SD-WAN ハブ仮想アプライアンスがトランジット ゲートウェイにルーティングするためのルートを適切な VPC に作成します。

トランジット ゲートウェイ内にインターネット グループ管理プロトコル (IGMP) マルチキャスト ドメインを作成します。 VPC および該当するサブネットをマルチキャスト ドメインに関連付けます。 マルチキャスト送信者のネットワーク インターフェイスをマルチキャスト ドメインに登録します。 ネットワーク ACL を調整して、送信元からすべての受信者への UDP トラフィックを許可し、マルチキャスト グループ アドレスに送信される UDP トラフィックを許可します。

X-Forwarded-For ヘッダーを使用してクライアント IP アドレスを取得します。, アプリケーション ロード バランサーを使用します。

入力 VPC と 10 個の各サービス VPC の間に VPC ピアリング接続を作成します。 サービス VPC の NLB にゾーン DNS 名を使用して、受信 VPC からサービス VPC へのクロス AZ トラフィックを最小限に抑えます。

アプライアンス モードは、共有サービス VPC へのトランジット ゲートウェイ接続では有効になっていません。

共有 VPC 内の VPC アタッチメントでトランジット ゲートウェイ アプライアンス モードを有効にします。

ポート 443 に VPC Reachability Analyzer パスを作成します。VPC のインターネット ゲートウェイをソースとして指定します。 宛先として EC2 インスタンスを指定します。 Amazon Simple Notice Service (Amazon SNS) トピックを作成して、セキュリティ グループへの変更が接続に影響を与えたときにネットワーク エンジニアに通知します。 AWS Lambda 関数を作成して、Reachability Analyzer を開始し、分析が失敗した場合にメッセージを SNS トピックに公開します。 セキュリティグループへの変更が発生したときに Lambda 関数を呼び出す Amazon EventBridge (Amazon CloudWatch Events) ルールを作成します。

カスタム形式で VPC フロー ログを作成します。 アプリケーションのサブネットをリソースとして設定します。 フロー ログに pkt-srcaddr フィールドと pkt-dstaddr フィールドを含めます。

Route 53 リゾルバーのアウトバウンド エンドポイントを作成します。 オンプレミスでホストされているドメイン名のクエリをオンプレミス DNS サーバーに転送する Route 53 リゾルバー ルールを作成します。 EC2 インスタンスベースの DNS サーバーの代わりにデフォルトの VPC リゾルバーを使用するように HPC クラスター ノードを再構成します。 EC2 インスタンスを終了します。

プライマリ データ センターからのすべてのプレフィックスの BGP コミュニティ タグを 7224:7300 に設定します。 フェールオーバー データ センターからのすべてのプレフィックスの BGP コミュニティ タグを 7224:7100 に設定します。

EC2 インスタンスをプライベート サブネットに配置します。 Amazon SQS のインターフェイス VPC エンドポイントを作成します。 Amazon S3 および DynamoDB のゲートウェイ VPC エンドポイントを作成します。

eu-west-2 の VPC を新しいトランジット ゲートウェイに接続します。 Direct Connect ゲートウェイと新しいトランジット VIF を使用して、ヨーロッパ データ センターを新しいトランジット ゲートウェイに接続します。 us-east-1 のトランジット ゲートウェイを同じ Direct Connect ゲートウェイに関連付けます。 両方のトランジット VIF に対して SiteLink を有効にします。 2 つのトランジット ゲートウェイをピアリングします。

Amazon SQS 用に設定されたインターフェイス VPC エンドポイントがありません。, Amazon SQS によって使用される IP アドレス範囲のサブネット ルート テーブルにルートが設定されていません 。

共有サービス アカウントで、AWS KMS のインターフェイス エンドポイントを作成します。 プライベート DNS 名を無効にして、インターフェイス エンドポイントを変更します。 インターフェイス エンドポイントを指すエイリアス レコードを使用して、共有サービス アカウントにプライベート ホスト ゾーンを作成します。 各 AWS アカウントのプライベートホストゾーンをスポーク VPC に関連付けます。

example.com ドメインにステージング example.com NS レコードを作成します。 staging.example.com ドメインのネーム サーバーを値に入力します。 ルーティング ポリシー タイプを単純ルーティングに設定します。, ステージング アカウントに staging.example.com のパブリック ホスト ゾーンを作成します。

EC2 インスタンスをプライベート サブネットにデプロイします。 エンドポイントの作成中にプライベート サブネットの VPSpecify ルート テーブルに S3 ゲートウェイ エンドポイントを作成し、Amazon S3 へのルートを作成します。

1. 接続アカウントで: AWS Resource Access Manager でトランジット ゲートウェイのリソース共有を作成します。 運用アカウント ID を指定します。 外部アカウントを許可する機能を有効にします。 2. 本番アカウントの場合: リソースを受け入れます。 3. 本番 アカウントで: VPC サブネットへのアタッチメントを作成します。 4. 接続アカウントで: 添付ファイルを受け入れます。 ルート テーブルをアタッチメントに関連付けます。

Amazon GuardDuty を使用して、DNS リクエストと VPC フロー ログを検査することでトラフィック パターンを分析します。

スティッキー属性を有効にして、ALB ターゲット グループ設定を変更します。 アプリケーションベースの Cookie を使用します。 期間をアプリケーション セッションの最大長に設定します。

クライアント EC2 インスタンスで TCP キープアライブを 300 秒未満の値で有効にします。

トランジットゲートウェイを作成し、VPC を接続します。 Direct Connect ゲートウェイを作成し、それをトランジット ゲートウェイに関連付けます。 Direct Connect ゲートウェイへのトランジット VIF を作成します。

専用の接続を 1 つ作成します。 トランジット VIF を使用して、us-east-1 のトランジット ゲートウェイに接続します。 プライベート VIF を使用して、eu-west-1 の VPC に接続します。 2 つの Direct Connect ゲートウェイ (VIF ごとに 1 つ) を使用して、Direct Connect の場所から対応する AWS リージョンに、レイテンシーが最も低いパスに沿ってルーティングします。

VPC フロー ログを使用します。 フロー ログを Amazon CloudWatch Logs のログ グループに公開します。 CloudWatch Logs Insights を使用してフロー ログをクエリし、不審なトラフィックを生成している AWS リソースを特定します。

TGW-B を Direct Connect ゲートウェイに関連付けます。 許可されたプレフィックスの下で VPC-B CIDR ブロックをアドバタイズします。, TGW-A と TGW-B の間のリージョン間トランジット ゲートウェイ ピアリングを構成します。 ピアリング ルートをトランジット ゲートウェイ ルート テーブルに追加します。 VPC-A と VPC-B の両方の CIDR ブロックを、Direct Connect ゲートウェイ関連付けの許可されたプレフィックス リストに追加します。

Amazon Route 53 リゾルバーのインバウンドエンドポイントを使用します。, Amazon Route 53 Resolver アウトバウンドエンドポイントを使用します。, Amazon Route 53 プライベートホストゾーンを作成します。

AWS Lambda@Edge 関数を使用して、GET/POST リクエスト ペイロード内の承認されたトークンを検査します。 Lambda@Edge 関数を使用して、認証された顧客リクエストを Web アプリケーションに通知するカスタマイズされたヘッダーを挿入することもできます。

共有サービス VPC のみの伝播ルートに関連付けられた実稼働および非実稼働 VPC アタッチメントを使用してルート テーブルを構成します。 実稼働 VPC および非実稼働 VPC から伝播されたルートに関連付けられた共有サービス VPC アタッチメントのみを含む追加のルート テーブルを作成します。

既存の仮想プライベート ゲートウェイと同じ AWS リージョンにトランジット ゲートウェイを構成します。 新しい高速サイト間 VPN 接続を作成します。 VPN アタッチメントを使用して、新しい接続をトランジット ゲートウェイに接続します。 新しいサイト間 VPN 接続を使用するようにカスタマー ゲートウェイ デバイスを更新します。 既存のサイト間 VPN 接続を削除します。

各リージョンのトランジット ゲートウェイをピアリングします。 各リージョンの IP アドレスに対して 2 つのトランジット ゲートウェイ間のルーティングを構成します。

EC2 インスタンスを Network Load Balancer (NLB) の背後に配置します。 TCP リスナーを構成します。 Global Accelerator を使用してオンプレミス ネットワークから NLUse Bring Your Own IP (BYOIP) の前に AWS Global Accelerator アクセラレータを作成します。

Amazon S3 バケットの宛先を構成します。 Amazon Athena を使用して、ALB がどのエラーメッセージを受信して​​いるかを確認します。

トランジット VIF 経由で IPsec VPN 接続を作成します。 VPC を作成し、その VPC をトランジット ゲートウェイにアタッチします。 VPC で、Amazon S3 のインターフェイス VPC エンドポイントをプロビジョニングします。 通信にはHTTPSを使用します。

DNS ファイアウォール VPC 構成を更新して、VPC のフェールオープンを有効にします。

ネットワーク ロード バランサーを作成します。 ターゲットグループを作成します。 ターゲット グループのプロトコルを TCP に、ポートを 443 に設定します。 セッション アフィニティ (スティッキー セッション) をオンにします。 EC2インスタンスをターゲットとして登録します。 リスナーを作成します。 リスナーのプロトコルを TCP に、ポートを 443 に設定します。 SSL 証明書を EC2 インスタンスにデプロイします。

Network Load Balancer (NLB) エンドポイントで AWS Global Accelerator アクセラレータを使用します。 EC2 Auto Scaling グループを作成します。 Auto Scaling グループを NLB にアタッチします。 アクセラレータの IP アドレスに接続するように IoT デバイスをセットアップします。

AWS Global Accelerator で新しいアクセラレータを作成します。 ALB をアクセラレータ エンドポイントとして追加します。

中央共有サービス VPC を作成する中央共有サービス VPC で、Amazon S3 と Systems Manager がアクセスするためのインターフェイス VPC エンドポイントを作成します。 プライベート DNS がオフになっていることを確認します。 AWS Transit Gateway を使用して、すべての VPC を中央共有サービス VPC に接続します。 Amazon S3 および Systems Manager の完全なサービスエンドポイント名を使用して、Amazon Route 53 プライベートホストゾーンを作成します。 プライベートホストゾーンをすべての VPC に関連付けます。 共有サービス VPC 内のインターフェイス VPC エンドポイントを指す完全な AWS サービス エンドポイントを使用して、各プライベート ホスト ゾーンにエイリアス レコードを作成します。

aws.example.com 用に Amazon Route 53 プライベートホストゾーンを 1 つ作成します。 プライベートホストゾーンをリソースを持つすべての VPC に関連付けます。 プライベートホストゾーンで、すべてのリソースの DNS レコードを作成します。

各アプリケーションVPCにプライベートホストゾーンを構成し、必要なレコードを作成します。egress VPCにAmazon Route 53 Resolverのインバウンドおよびアウトバウンドエンドポイントのセットを作成します。オンプレミスドメインのリクエストをオンプレミスDNSリゾルバに転送するRoute 53 Resolverルールを定義します。アプリケーション VPC のプライベートホストゾーンを egress VPC に関連付け、Route 53 Resolver のルールを AWS Resource Access Manager を使用してアプリケーションアカウントと共有します。クラウドドメインを Route 53 インバウンドエンドポイントに転送するように、オンプレミスの DNS サーバを構成します。

新しい Site-to-Site VPN 接続を作成します。トランジットゲートウェイをターゲットゲートウェイに設定します。新しい Site-to-Site VPN 接続でアクセラレーションを有効にします。ロンドンオフィスのVPNデバイスを新しい接続の詳細で更新する。

プライベートDNS名のオプションをオフにして、Amazon SQSのインターフェイスエンドポイントを作成します。, sqs.us-east-1.amazonaws.comのプライベートホストゾーンを手動で作成します。インターフェイスエンドポイントを指す必要なレコードを追加します。プライベートホストゾーンを他のVPCに関連付けます。, VPCおよび構内で、インターフェイス・エンドポイントのプライベートDNS名.sqs.us-east-1.vpce.amazonaws.comを使用してSQSエンドポイントにアクセスします。

AWS Configを使用して、ネットワークリソースの現在の状態を記録する。望ましいコンフィギュレーション設定を反映したルールを作成する。非準拠リソースに対する修復を設定する。

オンプレミスとAWS間のAWS Site-to-Site VPN接続をセットアップします。VPCをホストしているリージョンにAmazon Route 53 Resolverアウトバウンドエンドポイントをデプロイします。

AWS Config ルールを設定して、目的のセキュリティ グループ設定と現在のセキュリティ グループ設定の間の不一致を検出します。 AWS Systems Manager Automation Runbook を作成して、非準拠のセキュリティ グループを修復します。

ファイアウォール アプライアンスをターゲットとしてゲートウェイ ロード バランサーを展開します。 ファイアウォール アプライアンスを 2 つのネットワーク インターフェイスで構成します。1 つのネットワーク インターフェイスはプライベート サブネットに、もう 1 つのネットワーク インターフェイスはパブリック サブネットにあります。 ファイアウォール アプライアンスの NAT 機能を使用して、検査後にトラフィックをインターネットに送信します。

共有サービス VPC に新しい Route 53 リゾルバー アウトバウンド エンドポイントを作成します。 オンプレミスでホストされているドメインの転送ルールを作成します。 ルールを新しいリゾルバー エンドポイントおよび各アプリケーション VPC に関連付けます。

VPC フロー ログが Amazon S3 バケットに配信されるように設定します。 Amazon Athena を使用してデータをクエリし、古いプロトコルで使用されているポート番号をフィルタリングします。

すべてのアプリケーションVPCに対して別のトランジットゲートウェイ経路表を構成します。すべてのアプリケーションVPCをこのトランジットゲートウェイのルートテーブルに関連付けます。共有サービスVPCアタッチメントとVPNアタッチメントをこのトランジットゲートウェイルートテーブルに伝搬します。, 構内と共有サービスVPC用に別々のトランジット・ゲートウェイ・ルート・テーブルを構成します。VPNアタッチメントと共有サービスVPCアタッチメントをこのトランジットゲートウェイルートテーブルに関連付けます。すべてのアプリケーション VPC アタッチメントをこのトランジットゲートウェイルートテーブルに伝播します。

Amazon Route 53 リゾルバー ルールを作成します。 ルールを VPC に関連付けます。 ドメイン名が example.internal と一致する場合、DNS クエリをオンプレミスの Windows DNS サーバーに転送するルールを構成します。

新しいプレフィックスリストを作成する。プレフィックスリストに、許可されるすべての IP アドレス範囲を追加します。AWS Resource Access Manager（AWS RAM）を使用して、異なるアカウント間でプレフィックスリストを共有する。セキュリティグループを更新して、パートナー IP アドレス範囲の代わりにプレフィックスリストを使用する。会社が新しいパートナーを追加したときに、新しいIPアドレス範囲でプレフィックスリストを更新する。

既存の 1 Gbps Direct Connect 接続を 2 つの新しい 2 Gbps Direct Connect ホスト型接続に置き換えます。 アプリケーション VPC に AWS クライアント VPN エンドポイントを作成します。 リモートの従業員にクライアント VPN エンドポイントに接続するように指示します。

AWS Network Manager Route Analyzer を使用して、トランジットゲートウェイのルートテーブルのルートを分析します。VPC のルートテーブルが正しいことを確認します。VPCフローログを使用して、VPCでセキュリティグループルールおよびネットワークACLルールが受け入れる、または拒否するIPトラフィックを分析します。

APNパートナーにホスト接続を要求する。, AWS Site-to-Site VPN接続を作成する。, パブリックVIFを作成する。

拡張ネットワークをサポートするEC2インスタンスを使用する。, EC2インスタンスサイズを大きくする。

172.17.0.0/16

1. UDP データをキャプチャするようにトラフィック ミラー フィルターを構成します。 2. EC2 インスタンスの Elastic Network Interface のトラフィックをキャプチャするようにトラフィック ミラーリングを設定します。 3. モニタリング アカウントの新しい EC2 インスタンスにパケット検査パッケージを設定します。 新しい EC2 インスタンスの Elastic Network Interface をトラフィック ミラーのターゲットとして使用します。 4. パケット検査パッケージを使用してデータを抽出します。 5. データをサードパーティ ベンダーに提供します。

非対称ルーティングを許可するようにカスタマー ゲートウェイ上の仮想トンネル インターフェイスを構成します。

NAT ゲートウェイの IdleTimeoutCount Amazon CloudWatch メトリックの増加をチェックします。アプリケーションEC2インスタンスでTCP keepaliveを構成する。

AWS PrivateLink を使用して AWS 顧客を接続します。 SaaS アプリケーション VPC でサードパーティのルーティング アプライアンスを使用して、オンプレミスのサイト間 VPN 接続を終了します。

新しいサブネットのアプリケーション VPC に GLB エンドポイントをプロビジョニングします。 アプリケーション サブネット CIDR ブロックを宛先として、GLB エンドポイントをターゲットとして指定するルートを含むゲートウェイ ルート テーブルを作成します。 ゲートウェイ ルート テーブルをアプリケーション VPC のインターネット ゲートウェイに関連付けます。アプリケーションのサブネット ルート テーブルのデフォルトのルート宛先を GLB エンドポイントに更新します。

デッド ピア検出 (DPD) のタイムアウト アクションを [再起動] に設定します。 オンプレミスから VPC へのトラフィックを開始します。