やったこと ネスペ 過去問（令和三年度春期 午後Ⅰ 1問） 学んだこと リンクアグリゲーション 複数の物理線を集約し、一つの論理的な線として扱うことができる技術。 帯域の増加、冗長化が期待できる。 制約 集約したい線は、以下を満たす必要がある。 * いずれも同じ転送速度であること * 全二重であること https://www.infraexpert.com/study/etherchannel.html VoIP 音声をITパケット化する場合、アプリケーション層のプロトコルではRTPを、トランスポート層のプロトコルではUDPを使用する。 * 音声データは、多少のパケットロスよりも速度が優先されるため、UDPが使用される バッファの蓄積時間 = 音声化にかかる遅延時間 パケットのジッタを解消するために、「パケットをバッファに格納し、均一化して音声に変換する」という手法が良く取られる。 バッファのサイズを大きくすれば、それだけ音声へ変換するまでの時間がかかることになる。 PoE (Power over Ethernet) 給電機能を持つスイッチ。 PoE対応端末をLANケーブルにて接続することで、通信に加えて給電まで実現する。 PoE未対応端末を接続した場合、給電は行わず、L2スイッチとして機能する。

やったこと ネスペ 過去問（令和三年度春期 午後Ⅰ 1問） 学んだこと OSPF LSA (Link State Advertisement) ルーターが、自身の持つリンク情報を、隣接する他のルーターに知らせる行為。 LSAタイプ LSAには、いくつかタイプがある。 https://www.infraexpert.com/study/ospfz17.html https://www.infraexpert.com/study/ospfz15.html LSDB (Link State Database) AS内ネットワークのトポロジーテーブルを管理するDB。 LSAを受け取り次第、更新する。 (OSPFにおける)コスト 宛先ネットワークへ到達するまでの距離。 コスト = 100Mbps / リンクの帯域幅（bps） 帯域が狭いほど、コストが大きくなる。 言い換えると、コストが小さいほど、宛先ネットワークまでの距離が短い。 https://www.infraexpert.com/study/ospfz2.html エリア LSAを交換する範囲をしめす論理的なグループ。 一つの巨大なエリアから、複数のエリアに分割することで、以下の利点が得られる。 LSDBサイズの減少 SPF計算頻度の減少 ルーティングテーブルのサイズ縮小 シングルエリア エリアを分割しない状態。 マルチエリア エリア分割した状態。 一つの根っことなるエリア０（バックボーンエリア）と、エリア０に隣接する他のエリア...という構成になる。 https://www.infraexpert.com/study/ospfz4.html ABR (Area Border Router) 同一AS内、かつ異なるエリアの境界に配置されているルーターのこと。 ASBR (AS Boundary Router) 異なるASとの境界に配置されているルーター。 Boundary ... (最も外側の)境界 Border ... (二つの何かを分ける)境界 仮想リンク 物理的に分割されたバックボーンエリアを接続し、あたかもつながっているように扱えるようになる技術。 https://www.infraexpert.com/study/ospfz25.html ルーティング ループ 3層レベルのルーティングにおいて、無限ループが発生している状態。 集約されたネットワークが、集約対象外のネットワークを包含している場合に発生し得る。 集約対象外（空白地帯）あてのパケットを送信すると、デフォルトルートと集約されたネットワーク間でルーティングの無限ループが発生する。 例え） 総務部にて 「第七グループ（そんなグループない）あての荷物？何とかグループ宛ては全部hoge部にまわそう」 hoge部にて 「第七グループ？うちにそんなグループないぞ。宛先不明の荷物だから総務部に送ろう。」 再び総務部にて 「第七グループ（そんなグループない）あての荷物？何とか(ry」

やったこと ネスペ 過去問（令和三年度春期 午後Ⅰ 1問） 学んだこと Proxy ARP ARPの代理応答を行う機能。 背景 昔はサブネットを認識できない機器が存在していた。 そういった機器に代わってARPの応答を代理する仕組みがProxy ARP だった。 DHCP あれこれ port番号 DHCP クライアント : 68 DCHP サーバ : 67 フロー DHCPDISCOVER DHCPOFFER DHCPQUEST DHCPACK(またはDHCPNACK) DHCPOFFER によってIPアドレスを受け取った時、GARPを使用して受け取ったIPアドレスの重複確認を行う。 DHCP リレーエージェント DHCPサーバが、クライアントと異なるIPネットワーク上に存在する場合、DHCPDISCOVERが届かない。 DHCPDISCOVERを異なるIPネットワークへ中継してくれる機能がDHCPリレーエージェント。 DHCP スヌーピング 正規のDHCPサーバからIPアドレスを割り当てられた端末のみ通信を許可する機能。 スイッチで実装される。 NAT 444 キャリアグレードNATを実現する一つの解。 ISPにて、顧客に割り当てるグローバルIPを共有させ、グローバルIPを節約する。 NAT二段構え。 https://itmanabi.com/cgn/ インターネットVPN NAT越え NATトラバーサル UDPでカプセル化することで、NAPT機器でポート番号の書き換えを可能にする。 VPNパススルー VPNパケットをそのままインターネットへ通過させる。 個別対応が必要。 https://www.infraexpert.com/study/ipsec15.html https://e-words.jp/w/VPN%E3%83%91%E3%82%B9%E3%82%B9%E3%83%AB%E3%83%BC.html インテリジェントSW IPアドレスを保持できるSW。 SSHログインしたり、SNMPで管理したりと、IPアドレスが必要なサービスを使用できるようになる。

学んだこと ファイバーチャネル 光ファイバーを用いた、高速な接続規格。 主に、ストレージネットワーク（SAN）構築時に使用される。 ファイバーチャネル用の通信プロトコルを使用して通信する。 対抗馬は、TCP/IPを活用したIP-SAN。 https://www.infraexpert.com/study/networking6.html 輻輳制御 復習 基本 ■ウィンドウ制御 通信相手のackを待たず、連続してデータを転送する技術。 無制限に送信するのではなく、通信する機器同士で事前に「XXXXバイト（ウィンドウサイズ）まではackを待たずに送信するね」という取り決めを交わす。 加えて、スライディングウィンドウという技術を用いて、更に効率的なデータ転送を実現している。 ■フロー制御 ネットワークの通信状況に合わせて、ウィンドウサイズを増減させる制御のこと。 複勝制御系 ■輻輳制御 輻輳を発生させないために、一度の通信でやり取りするデータ量を制御する機能。 やり取りするデータ量には、以下の値を比較し、小さいほうの値を採用する。 通信する機器同士でやり取りするウィンドウサイズ 輻輳ウィンドウと呼ばれる値 輻輳が発生した場合、後述する再送制御系アルゴリズムを実行する。 ■スロースタート 輻輳ウィンドウの値を変更するアルゴリズム。 最も小さい1から始まり、パケットのやり取りを繰り返すたびに2->4->8->16 と指数関数的に増加させる。 通信開始時、および再送タイムアウト発生時（後述）に採用される。 ■輻輳回避 輻輳ウィンドウの値を変更するアルゴリズム。 輻輳発生時、以下の処理を行う。 輻輳ウィンドウの値を半減させる 以降は輻輳ウィンドウの値を線形増加させる 高速再転送に採用される。 再送制御系 輻輳が発生した時、輻輳に対処するためのアルゴリズム。 ■高速再転送 通信相手から3回パケットの喪失通知を受け取った時の処理。 ■再送タイムアウト 通信相手からの返信が届かなくなった時の処理。 https://gihyo.jp/admin/serial/01/tcp-cc/0001 https://www.infraexpert.com/study/tcpip11.html

学んだこと FCoE (Fibre Channel over Ethernet) 高速なイーサネット上でFibre Channel を動作させることができるプロトコル。 ユニファイドコミュニケーション 様々な通信手段を統合したふぃじゅつやシステムのこと。 システムであれば、slack(ビデオ会議、音声通話、チャット機能内包)やteams(ビデオ会議、チャット機能、Wikiなど)あたりが該当しそう。 SIP (Session Initiation Protocol) 二つ以上のクライアント間でセッションを確立するためのプロトコル。 音声通話系のシステムで活用されている。 SIPの文脈において、端末のことをユーザエージェントと呼ぶ。 機能 セッション制御 インスタントメッセージ イベント通知 構成要素 ユーザエージェント ** 「sip:利用者識別子@ドメイン名」という書式のURIにより、ユーザエージェントを識別 SIPサーバ ** 利用者識別子からIPアドレスを解決する役割を持つサーバ（イメージはDNS） 課題 ■NAT越え問題 private IPアドレス相手とセッションを張る手段が課題 ■独自SIP拡張の乱立問題 拡張性が高いゆえに、各社独自の拡張が乱立 SDP(Session Description Protocol) SIPが規定するセッションの記述方法を規定したプロトコル。 通信に必要な情報一式をやり取りする。

学んだこと FTTx (xにはH,C,Bなどが当てはまる) Fiber To The x(Home,Curb,Buildingなど) 通信事業者から、各家庭、街区、ビルまでを、光ファイバー回線で接続することを指す。 利用者側の光終端装置はONU(Optical Network Unit)、収容局側の光終端装置はOLT(Optical Line Terminal)と呼ばれる。 主要なWANサービス IP-VPN IPを使用し、通信事業者の提供する閉域網を利用してVPNを実現するサービス。 VPNサービスは、MPLSを使用して実現している。 レイヤー3レベルのサービス。 広域イーサネット 通信事業者が提供するイーサネット閉域網を利用してVPNを実現するサービス。 VPNサービスは、VLANタグ（拡張VLANタグ）を使用して実現している。 レイヤー2レベルのサービス。 WAN高速化装置（WAS） 独自のデータ一括転送技術により、ファイル転送を高速化する。 WAN回線の拠点間に設置して使用する。 WAN上でファイルを転送する時のボトルネック ファイル転送のボトルネックはRTT(Round Trip Time)。 ファイル転送時、（ファイルサイズが大きいなどの理由で）ファイルを三分割して送信する場合を考える。 PC側がFileSystem(以降FS)にファイル転送を要求する FSは、分割したファイルを一つ送信する PC側は、FSにリクエストを出してから最初のデータを受け取るまでの間が待ち時間になる。 この待ち時間がRTT。 ファイルの分割数だけ、上記1と2のやりとりが発生する。 -> 三分割であれば、RTTが３回分発生する ボトルネック改善による高速化 PC側とFS側の両方にWASを導入する。 WASがキャッシュ兼プロキシとして、PCとFSの通信を代理する。 WASはデータを一括転送する。 一度のリクエストで、三分割したファイルを全部送信する 結果、ファイルを何分割しようとWANの間で発生するRTTは一回分となり、RTTにかかっていた時間が短縮される。 なお、PCとPC側のWAS、FSとFS側のWASでもRTTが発生するが、同一LAN内の通信となるので気にならない程度の時間に収まる。 ストレージネットワークの種類 ブロックストレージ DAS SAN ファイルストレージ NAS DAS サーバOSと直接（Directに）接続されたブロックストレージ。 ストレージとして領域を提供するのみ。ファイルシステムを理解しない。 サーバOSは、DASから提供された領域をフォーマットすることでファイルシステムとして認識する。そのうえで、SCSIコマンドによりブロックレベルでアクセスする。 SAN サーバOSとネットワーク越しに接続されたブロックストレージ。 iSCSIプロトコルを使用する以外は、大体DASと同じ。 NAS ネットワークに接続して使用できるファイルストレージ。 NAS自身がファイルシステムを構築・提供する。 https://milestone-of-se.nesuke.com/sv-basic/architecture/das-nas-san-storage/

学んだこと SAP (Service Access Point) OSI参照モデルにおいて、ネットワークエンドポイントを区別するためのラベル。 データリンク層におけるLLC（Logical Link Control）副層にて規制されている。 IEEE802.3規格 LLC(Logical Link Control)副層 あらゆる物理媒体にて、同じ手順でデータ転送を行うための規格。 MAC（Media Access Control）副層 LLC層で規定された手順に従い、物理媒体を制御してビット転送を行う。 SAPもLLCも聞いたことないなぁと思ったら、イーサネットではなくIEEE802.3規格の話だった 無線LAN BSS (Basic Service Set) 一つのAPと、そのAPと通信しているクライアントにて構成されるネットワークのこと。 ESS（Extended Service Set） 複数のBSSで構成される無線LANネットワークのこと。 一般のご家庭で使用するような家庭用ルーターはBSS 家庭用ルーター + メッシュwifi がESS みたいなイメージ 識別子 BSSの識別子をBSSID、ESSの識別子をESSIDと呼ぶ。 無線LANでは、ESSIDが同じ機器同士が通信できる。 SSIDとESSIDは別物。 SSIDは無線LANにおけるAPの識別子。 https://www.infraexpert.com/study/wireless5.html フレームアグリゲーション 宛先が同じフレームがいくつかある場合、それらを連結して、まとめて送信してしまう技術。 真苗の通り、フレームを集約する技術。 CSMA/CAにおけるスループット改善策として策定された。 フラッピング または スラッシング MACアドレステーブルが頻繁に入れ替わる現象。 メモリ上のデータが、メモリとハードディスクの間を行ったり来たりする現象もスラッシングという名前だったし、スラッシングの語源は同じかもしれない。

学んだこと STP(スパニングツリープロトコル) L2レイヤー 経路冗長化プロトコル。 ループ防止機能が組み込まれている。 最近だと、Link Aggregationが主流みたい。 https://milestone-of-se.nesuke.com/nw-basic/stp/stp-summary/ 帯域制限 ポリシングとシェーピング ポリシング 制限レートを超えたパケットをドロップさせるという戦略。 また、パケットの優先度の変更を行う。 ポリシー（指定した制限レート）に従ってパケットをドロップさせるイメージ。 シェーピング 制限レートを超えたパケットをバッファしておき、送出レートを一定値以下に保ちつつ転送する戦略。 通信量が、指定した送出レートに漸近していくイメージ。 https://www.infraexpert.com/study/qos20.htm https://www.manageengine.jp/products/NetFlow_Analyzer/solution_shaping-policing.html ECN (Explicit Congestion Notification) 明示的輻輳通知（制御）と呼ばれる。 IPヘッダのToSフィールド（別名DSフィールド）の一部を使用して、輻輳状態（ECEとCWR）を表現する。 DSフィールドは、通信品質を制御する目的のフィールド。 ECE(ECN-Echo) 通信相手に、通信経路上で輻輳が発生していることを通知する。 CWR (Congestion Windows Reduced) 通信相手に、輻輳ウィンドウを縮小していることを通知する。 レイヤー2の通信品質制御 VLANタグ内に、優先度を設定する。 仕組み自体はCoS（Class of SErvice）と呼ばれる。 CDN EDNS-Client-Subnet DNS 問い合わせの際に、問い合わせ元のサブネットを、DNSサーバに通知する技術。 サブネットを使用することで、DNSリゾルバは問い合わせ者の正確な位置を特定でき、利用者に近い位置のエッジサーバを提供できる。 背景 CDNでは、可能な限り利用者に近い位置のエッジサーバを選択し、コンテンツを高速に提供したい。 言い換えると、DNSによる名前解決時、数あるエッジサーバの中から、利用者に近い位置に存在するエッジサーバのIPアドレスを返却したい。 従来であれば、「DNSリゾルバの位置≒利用者の近く」で問題なかったが、利用者が公開DNSサーバ（1.1.1.1や8.8.8.8など）を使用する場合は、左記方程式が成り立たない。 基本的に、DNSサーバは、問い合わせ者に近い位置のサーバが選択される 特定の公開DNSサーバを使用する場合、利用者の位置など関係なくなり、「DNSサーバの位置≠利用者に近い位置」となる 利用者の位置を正確に知るために、ユーザが使用するサブネットを使用する。

学んだこと jitter(ジッタ） パケット間隔が不均一になる事象。 パケットを一度バッファ氏、パケット間隔を均一化する（≒整形する）ことで、ジッタを吸収できる。 この場合、パケット間隔を均一化する時間が遅延時間となる。 QoS パケットの優先制御 Priority Queuing 出力キューに優先順位をつける。優先順位順にキューからパケットを取り出す。 Weighted Round Robin 出力キューに重みをつけて、重みに応じてキューからパケットを取り出す。 Priority QueuingとWeighted Round Robin を組み合わせるなど、戦略の幅は広い。 帯域保障 帯域保障サービスのことをギャランティード型と呼ぶ。 対義語はベストエフォート型。 AWS Advanced Networking 合格！

学んだこと GRE (Generic Routing Encapsulation) Layer3のトンネリングプロトコル。同様のプロトコルにはIPSecが存在する。 GREはトンネリングのみ提供し、マルチキャストパケットでもカプセル化可能。 IPSecはトンネリングと暗号化を提供し、ユニキャストパケットのみカプセル化可能。 GRE over IPSec GREパケットをIPSecでカプセル化する。 GREでマルチキャストパケットのカプセル化を担当し、IPSecで暗号化を担当する。 両プロトコルの弱点を補いあう戦略。 https://www.infraexpert.com/study/rp8gre.htm https://www.infraexpert.com/study/ipsec22.html AWS Managed VPNはIPSecをサポート GREを使用したい場合は、別途GRE対応のVPNソフトウェアを（EC2などで）立ち上げる必要がある。 AWS VPN接続 VPN接続は、CGW側から開始する必要がある。 そのため、疎通確認も、CGW側（≒オンプレ側）から行う必要がある。 ジャンボフレーム 9001MTUのこと。 パケットに詰め込む情報量を増やし、パケットの送受信回数を減らすことができる。 LAN向け。 ジャンボフレーム設定という設定項目が存在するわけではない。 なお、VPC Peeringでは、ジャンボフレームを扱えない。 cloudformation ネストされたスタック あるcloudformationテンプレートにて、別のcloudformationテンプレートを参照するような構成のこと。 private linkは、tcp ipv4のみサポート udpはサポート対象外みたい。 ENIの付け替え 以下の条件を満たすことで、ENIを別のEC2に付け替えることができる。 ENIとEC2インスタンスの両方が、同一AZに存在すること AZさえ同じなら、EC2は別のサブネットでも構わない。 Direct Connect VIF復習 Public VIF Direct Connectにて、グローバルIPアドレスで公開しているAWSリソースへアクセスするために使用する。 public IPを使用して、BGPピアを確立する。 Private VIFは何らかのGWと接続するが、Public VIFにはGWが不要。公開AWSリソースへ直接アクセスする。 暗号化 site-to-site VPN接続にて、CGWとVGW間の通信を確立することで、VPNによる暗号化を実現できる。 CGWとVGWの間にpublic VIFが存在する Private VIF Direct Connectにて、VPC(正確にはDirect Connect GWまたはVGW)と接続するために使用する。 private IPを使用して、BGPピアを確立する。 暗号化 EC2に構築したVPNソフトウェアと、オンプレ側のVPNクライアント間でVPNによる暗号化を実現できる。

学んだこと AWS Managed MS ADの条件付きフォワーダー 名前解決するDNSサーバを変更できる機能。 何らかの条件を指定することで、変更可能。 ISAKMP（IKE）は、UDPの500番ポート tcpじゃないよ CLBのConnection Draining機能 一定時間、EC2の終了を遅らせる機能。 ELB クールダウン期間 インスタンスの起動・終了時に、更に追加でインスタンスを起動・終了するまでの時間。 一台起動/終了したら、少し待つ...ようなイメージ Direct Connect ルーティングの優先順位付け LPが最優先。時点でAS-Pathが短い順。MEDはサポート対象外。 cloudfront はUDPを処理できない UDPを処理できないなら、おそらくQUICトラフィックも処理できない。 Direct connect VIFの作成に必要な情報 public VIFでは、BGPのpublic ASNが必要。 private VIFでは、BGPのprivate ASNが必要。 ELB のクロスゾーン負荷分散について ALBは、常にクロスゾーン負荷分散が有効。 NLBとCLBは、クロスゾーン負荷分散を無効にできる。 cloud formation カスタムリソースとは cloud formation template 中に、lambda、SNSによる独自処理を挟むことができる。

学んだこと AWS osaka regionのアレコレ 初めはDR対策用リージョンとして設計された。 現在ではメインリージョンとして扱うことができる。主要なAWSサービスは一通り扱うことができる。 西日本を中心にサービス展開したい場合、tokyoリージョン以上の選択肢になりえる。 -> osakaリージョンは、もはやDR用リージョンではない。メインリージョンとして十分活用できる！ step functionsのポテンシャル step functions がPrivate Link対応 step functionsを経由することで、インターネットに出ないまま、Private LInk未対応のサービスを呼び出すことができる。 オンプレとAWS間において、通信の往復回数（トラフィック）を軽減できる step functions の処理結果は、全処理が完了した後で、まとめて呼び出し元に返す。 -> 呼び出し元とAWS（step functions）との通信回数が一往復で済み、結果としてトラフィックを軽減できる。 研修を別リージョンで実施するという選択肢 サービス展開しているリージョンとは別のリージョンを研修で使用する。 リージョンを分けることで、サービス展開しているリージョンのクォータを使い潰さなくて済む。 AWS workspacesとは AWS が提供する、仮想デスクトップサービス。 Windowsデスクトップなどを、端末を選ばずに使用できる。 二つ以上のサブネット（≒サブネットグループ？）を作成する必要がある。

学んだこと Private Link ≒ I/Fエンドポイント 以上。 NAT ゲートウェイでは、URLフィルタリングできない URL フィルタリングを行いたい場合は、別途Proxyサーバを構築し、そこでURLフィルタリングを実施する。 DPI (Deep Packet Inspection) パケットの中身を検査し、脅威となるパケットをフィルタリングするような対策のこと。 （こんな名前がついているとは知らなかった。） NLB にてクライアントのIPアドレスを取得する Proxy Protocolを有効にする。 Proxy Protocol ヘッダから、クライアントのIPアドレスを取得可能 NLBの設定次第では、特別な設定不要でクライアントのIPアドレスを取得できる。 （パケットの送信元IPアドレスが、クライアントのIPアドレスのままになる） AWS クライアントVPN AWSが提供する、client to site VPNを実現するマネージドサービス。 OpenVPNベースのSSL-VPNといったところ。 AWS側には、VGWではなく、「クライアントVPNエンドポイント（実態はENI）」を設置してVPN通信を実現する。 Route53 位置情報ルーティングの使用用途 位置情報ルーティングは、「クライアントの位置情報（地域）に応じて配信するコンテンツを動的に変更する」ことを目的としている。 レイテンシー最小化を目的としていない。 レイテンシーを最小化したい場合は、レイテンシールーティングポリシーを有効化する。

学んだこと NLBも、TLS終端可能 ALBの専売ではない。 ALBに設定できる色々なルール URIのサブドメインに応じたルーティング/アクションの設定 URIのパスに応じたルーティング/アクションの設定 HTTPヘッダの値に応じたルーティング/アクションの設定 など ルーティングやアクションとは アクション -> スケールイン/スケールアウト、パケットの検査 ルーティング -> 転送するターゲットグループ（Auto Scaling Group）を選択 LiceCycleHook Auto Scaling インスタンス起動時の初期処理、またはインスタンス終了時の終了処理を追加できる機能。 以下のようなユースケースに対応。 何らかの確認が取れてからAuto Scalingに組み込みたい 終了前にログをS3へ吐き出したい ALBにて、クライアントのIPアドレスを知る XFFヘッダを使用する。 https://www.infraexpert.com/study/loadbalancer11.html クロスゾーン負荷分散 ELB負荷分散において、AZに存在するインスタンスの数を考慮した負荷分散を実施する AZ-1にEC21台 、AZ-2にEC24台 -> AZ-1 に20%、AZ-2に80%となるよう、トラフィックを分散 https://dev.classmethod.jp/articles/elb_crosszone_load_balancing_default_value/ ELBのスティッキーセッション アプリケーションが生成するCookieは、CLBのみ対応していた。 2021年2月、ALBでもサポートされるように。 HSTS(Http Strict Transport Security) HTTPヘッダの一つ。 Webサーバが、Webブラウザに対して、常にHTTP通信を行うよう指示するもの。 たとえhttpで通信を試みても、HTSTヘッダを設定しておくことで、httpsに置き換えられる。

学んだこと Direct Connectで使用する様々な VIFたち public VIF Direct Connect 接続において、AWS内のパブリックリソース（公開S3やAPI Gatewayなど、public IPで提供されているリソース）にアクセスするためのI/F。 通信元もpublic IPが必要。 private VIF Direct Connect 接続において、（VGW、およびDirect Connect GW経由にて）VPC内リソースへアクセスするためのI/F。 private VIFは、他のAWSアカウントに提供することができる。 その際は、提供したいAWSアカウントのアカウントIDが必要。 transit VIF Direct Connect 接続において、transit gatewayへ接続するために使用するI/F。 Direct Connect から VPC内へアクセスするためのベストプラクティス Direct Connect GW(DCGW)経由が推奨。 private VIF -> DCGW -> VGW DCGWは、複数のVGWと接続可能（最大10）。 また、リージョンをまたいだVGWとも接続可能であり、AWSアカウントをまたいだ接続まで可能。 private VIF -> VGW は非推奨。 VGWは一VPCにしかアタッチできず、private VIFとVPCが一対一となってしまい、拡張性に乏しくなるため。 Direct Connect の帯域増強 Active/Standby -> Active/Activeにすることで、帯域を二倍に増やすことができる。 仕組み的には、Link Aggregation Groupを使用する。 同一帯域のみ集約できる 100Gbps以上の場合は、二回線、それ未満は四回線まで集約できる Direct Connect の冗長構成 観点は次の2つ 二つ以上のDirect Connect Location を使用して、DCでの物理障害発生に対応する (デュアルロケーション） 二つ以上の回線を使用して、一回線障害発生に対応する （デュアルコネクション） Direct Connect をActive 系、VPNを Standby 系として活用することで、コストを抑えることができる。 transit gatewayは、VPN終端として設定可能 VPNを使用して通信したいVPCが複数存在する場合、効果を発揮する。 参考 : https://dev.classmethod.jp/articles/reinvent2018-transit-gateway-via-vpn/ route53 複数値回答ルーティングについて （サービスをマルチリージョン展開している前提にて）DNSを使用した負荷分散を指している’と理解した。 マルチリージョン展開によって、可用性の向上も期待できる。 オンプレからroute 53を用いた名前解決・AWS サービスからオンプレDNSサーバを利用した名前解決 オンプレからroute 53を用いた名前解決には、inbound endpointを使用する（実態はENI）。 AWS サービスからオンプレDNSサーバを利用した名前解決には、outbound endpointを使用する。 また、旧来はSimple ADを使用して上記名前解決を実現していた。

学んだこと 一つのENIには、複数のprivate IPを付与できる。 使いどころはわからないが、IPを二つ持つことができる点は何かに使えるはず。 DNS はUDP、TCP両方を開けておく パケットサイズが512バイト以下ならUDP、それより多い時はTCPを使用する。 特にDNSSECを使用する場合、512バイトを超えやすい模様。 参考 : https://tex2e.github.io/rfc-translater/html/rfc7766.html VGWはIPSec接続を待ち受けるだけ。開始しない。 従って、IPSec接続を行う場合は、CGWから通信を開始する必要がある。 VPN cloud hubとは VGW と CGWを一対多で接続するサービス？それともアーキテクチャ？

学んだこと NAT GW 冗長構成の詳細 NAT GWが単一障害点となるのを防ぐために、複数AZに展開すると良い。 NAT GWは、cloud watchにてヘルスチェックが可能（ PacketsDropCount が対象と思われる ）。 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/vpc-nat-gateway-cloudwatch.html 以上より、以下の構成が可能。 1. cloud watch にて、 PacketsDropCount をチェック 2. 閾値をを超えた（異常を検知した）場合、lambda関数を発火させる 3. 発火させたlambda内にて、異常が発生したNAT GWを参照していたルートテーブルのルーティング先を、異常が発生していないNAT GWへ書き換える 所感 lambdaを書く必要がありそうなので、やや面倒。 復旧後の再ルーティングまで考えると、さらに面倒。 他に良いやり方はないのかな？ 各種 VPC エンドポイントの特徴 I/F型は、サブネット内のプライベートIPアドレスを使用して、リージョンサービスと通信する。 GW型は、GWによるIPアドレス変換が走る。また、エンドポイントポリシーによる通信制御が可能。 I/F型の実態は、Subnet内にENIを一つ設置しているみたい

学んだこと Network ACL 適用原理 Network ACLは、通信に制限をかけるサービス。 以下のルールに則って制限を適用する。 1. 番号の若い順に、ACL 制限にマッチするか確認する 2. マッチしたら、制限を適用し、確認を終了する 3. どのルールにもマッチしない通信は deny として処理する ポイント SGと違い、全制限を評価するわけではない。 一つでもマッチする制限があればそれを適用し、以降の制限は無視する。 -> 優先度 1 で全許可なんてルールを書くと、以降の拒否に関するルールは一切適用されなくなる 実は色々提供してくれているVPC DHCPとか、DNSとか、通信に必要なサービスを提供している。 EC2 private DNSを解決できるのは、DHCPオプションセットの設定が要因 DHCPオプションセットでは、 EC2インスタンスに付与したいドメイン名を指定可能。 DNS サーバを指定可能 EC2上に個別DNSサーバを立て、名前解決時にそのEC2を使用するよう設定可能 。 （デフォルトだと、Amazon Provided DNSを使用するよう設定されている） 少しハマった、ルートテーブルの読み方 ルール（仮） | 送信先 | ターゲット | | 10.0.0.6/16 | local | 意訳 10.0.0.6/16 宛ての通信は、localへ渡してやれ！ VPC作成時に自動生成されるルートテーブル（メインルートテーブル）はいじらない ルートテーブルは、他のサブネットでも使用可能。 そのため、メインルートテーブルを編集すると、意図しないサブネットに意図しないルートを自動で割り当てられる恐れがある。 これを防ぐためにメインルートテーブルは極力いじらず、別途ルートテーブルを作成してルールを作成する。 NATは動詞でもあった...? 書籍を読んでいると、以下の表現に遭遇した。 インターネットゲートウェイがパブリックIPアドレスにNATする

must と have to mustの根本的な意味は「絶対」 絶対的な圧力を表現する 絶対だよ、他に逃げ道はない、これしかない というニュアンス 主語が一人称だと、「私は絶対にやる」という、強い決意表明になる。 I must finish t by five. 主語が三人称だと、「絶対やらないといけない」という状況判断に用いられる。 She must submit it tomorrow. 力の用法では「絶対やれよ」という強制力を表現できる。 have to のしょうがない感じ haveは「義務や負担を抱えている」状態を表現している。 You have to buy one. それ一つ買っておかないといけないなぁ（仕事で困るし） You must buy one. 絶対に、それを一つ買わないと（絶対買わなきゃ、これ、マジで！） 人を説得するときは？ must 自分の意見を相手に押し付けるニュアンス have to やらなきゃしょうがないでしょうというニュアンス 否定文での違い must not 「絶対not」 -> してはいけない（禁止） not have to 「義務を抱えていない」 -> しなくてよい or する必要はない mustの判断の用法 推量のmustでは、「絶対そうだよ」という断定に近い推量を表現する。 否定文で「絶対違う（＝はずがない）」を表現するときはcan'tを使用する。 - いずれも、「～という状態に違いない」という表現が多く、be動詞とともに使われることが多い 動作動詞を使用して「～するに違いない」を表現する場合は、sureやno doubtなどの副詞とwillを一緒に使用することが多い。

canとmayの語源 canの語源はknowと同じ 「知っている」 -> 「やり方を知っている」 -> 「できる」（能力）-> 「そう判断できる」 -> 「ありえる」（可能性） can you ~ ?（依頼） You can =. （許可） can と be able toは、過去形にすると違いが出る canは 「hogeという能力を持っていた」という意味 be able to は「実際にやってみて成功した」という意味 「依頼」と「許可」のcan canは、「状況が整ったからできる」というニュアンスがあり、上下関係を感じさせない。 「可能性」を表す場合のcanとcloudの微妙な違い can  ... 一般的な出来事の起きる可能性を表現する。 This can happen to anyone. could ... 特定の具体的な出来事の起きる可能性を表現する。 It could have been me. mayの許可は「上から目線」 「私の心持ち一つ」という考え方。 親がこどもに何かを許可するようなもの。 You may play video games now. 丁寧に許可を求める May I ~? 相手に許可を求めるような使い方 = 相手を上に立てる表現 May I come in? May i have your name? Mayの推量は「知らんけど」というニュアンス mayやmightは自分の発言に責任を持たないというイメージ

Willのさまざまな用法 1 「意思」から派生した用法 擬人化された意思 //このドアは開こうとしない This door won't open doorは生き物ではないのにwillが使用されている - ドアに、さも意思があるように見立てて話している　 - -> このドアは、開く気がない！ //彼女は私の話を聞こうとはしなかった（意思） She wouldn't listen to me. - 「決して~しようとしない」という固い拒絶の意思 2 「予測」から派生した用法 断言を避ける //ケイガンさんでいらっしゃいますね？（予想） Ah.... You'll be Mr. Cagan , I presume? //あなたはケイガンさんだ。（断言） You are Mr. Cagan . willを使用して、予想という形で丁寧さを表現している。 併せて、断言（失礼な言い方）を避けている。 連想 Dogs will bark. It's their job. 「犬って、普通吠えるでしょ？」という心を表現している Babies will cry. We can't help it. Ａって何を思い浮かべますか？ - 犬って何を思い浮かびますか？ - 普通吠えるでしょ？ - 赤ん坊って何を思い浮かびますか？ - 普通泣くでしょ？ will ... 連想 -> 現在の習慣 would ... 回想 -> 過去の習慣 ※繰り返された行為にのみ使用できる used to と would（often）の違い I used to go swimming in the lake. used toの特徴 - 特定の過去の時点を表明することはない - used toは「これは過去のことで、今は違う」ことを表現する - 過去の変わらない状態も表せる - There used to be a hospital here. // かつてここには病院があった（ずっと変わらず存在していた） -> willでは表現できなかった「繰り返されていない行為」は、used toで表現できる

Will は未来「も」表す willは、「こころが揺れて、ぱたんと傾く」イメージ willの根っこの意味は「意思」と予想 - 「どうしようかな...よし、やるか！」 -> ~するつもりだ -> 意思 - 「今決めた！」という気持ちが強い - 心が傾いて、こうなるのでは？と判断する -> 予想 「意思」「予想」のどちらに当てはまるか考える 「意思」「予想」のどちらも不自然な場合はwillを使えない。 If it will rain tomorrow , I will not go out. If it will rain tomorrow - ×　意思 ... もし明日雨が降るつもりなら（主語は天気である雨） - ×　予想 ... もし明日雨が降るだろう名であれば I will not go out. - 〇　意思 ... 私は外に行くつもりはない - 〇　予想 ... 私は外に行かないだろう 正しい文 If it rains tomorrow, I will not go out. if節の中でwillが使えるような文 if you will come back, I'll tell the manager to hire you. //もし君が戻ってくるつもりなら（意思） if you will come back 意思の用法として自然なwillの用法。 //もし君が戻って来るつもりなら、君を雇うようマネージャーに言っておくよ if you will come back, I'll tell the manager to hire you. 「君」に、戻ってくる意思があるかを確認している //もし君が戻ってくるなら、君を雇うようマネージャーに言っておくよ if you come back, I'll tell the manager to hire you. 「戻ってくるという事態が成立したら」という、条件の実現を表す willのポイント 「私」や「私たち」の気持ちはわかるが、「彼」や「彼女」の気持ちはわからない - will が意思を表すときは、主語が一人称になることが多い - willが予想を表すときは、主語が三人称になることが多い 「私」や「私たち」の意思はわかる -> 意思の用法 「彼」や「彼女」の意思はわからない - わからないから予想するしかない -> 予想の用法 willの意思は「今」を表すこともできる 「今」の自分の意思を表す。 Remember you finish your assignment first. I know. I'll do it right now. I'll get it. いずれも、話し手の現在の意思を表す。 ※助動詞は心の中に思っているだけの話で現実の話ではないという表現形式 「意思」の表現を利用した、「依頼」の表現 Will(Would) you open the door for me? 直訳 : あなたは、私のためにドアを開けてくれるつもりはありますか？ - - 相手の意思を尋ねる形で「~してほしい」という気持ちを伝えている - 例によって、wouldのほうが丁寧な表現

助動詞 = 思っているだけ 助動詞は「話し手が思っているだけであり、現実の話ではない」ことを表す。 //四月になると、多くの日本人が花見をする Many people in Japan celebrate cherry blossoms blooming in April. 「確定している事実」というニュアンス //四月だから、多くの日本人が花見をしているだろう It's April. They may be celebrating cherry blossoms blooming by now. 太字部分は、話し手が思っていること 「事実」か「自分の考え」かを区別するためにも、助動詞の「思っているだけ」という感覚が非常に重要。 助動詞の用法2つ 力の用法 判断の用法 will するつもりだ（意思） ～だろう（予想） can できる（能力） ありうる（可能性の判断） may してよい（許可） かもしれない（推量） should するべきだ（力） ～のはずだ（判断） must しなければならない（強制） ～に違いない（判断） いずれも、話し手の意見を表している。 助動詞の過去形を「判断の用法」として使用する場合、過去を意味しない It would cost more than 1 million dollars a year. 今そう思っているだけ。 I don't know, but i could be wrong. 今そう思っているだけ。 Cloud you do me a favor? Would you close the window? 英語は、時間を「距離」として表現する。 助動詞の過去形を使用することで、以下の二つを表現できる。 - 断言の度合いを弱める - 助動詞の過去形を使用することで、現実になりにくい（現実とは距離が離れている）ことを表す - -> 断言の度合いを弱めるために判断用法の過去形の助動詞を使うことがある - 丁寧な印象を与える - 過去形は距離がある => 丁寧な印象 - 敬語は丁寧さを表している奥底で、距離を取ることから始まっている表現 判断用法の助動詞で過去を表す場合は、助動詞 + have + 過去分詞 //年間100万ドル以上はかかっていただろう It would have cost more than 1 million dollars a year. //わかりませんが、私が間違っていた可能性もあります。 I don't know , but I could have been wrong. 「時制の一致」により、判断用法の助動詞が過去形を表現する I though he would come. //彼は来るだろうと私は思った 「私が思った」とき、つまり過去に予想した。 He said that it could happen to anyone. 彼は、それは誰にでも起こりうるといった。 「彼が言った」時点、つまり過去の時点での可能性の話をしている。

一時的な状態を表す進行形 本来状態動詞は「はじめ」「途中」「終わり」といった変化の経過を表現できない（≒進行形にすることができない）が、 無理やり進行形にすることで「はじめ」と「終わり」を作ることができる。 //Jamesはいい人だ James is nice. //今のJamesはいい人だ。 James is being nice. 解釈 普段のjamesはいい人ではないが、ある時からいい人になって、今もいい人である最中だ。 そして、どこかでいい人ではなくなる。 -> 一時的にいい人になっている 「意見をやわらげる」ための進行形 //彼は紳士だと思う I think he is a kind man. いつ思い始めて、いつ思い終わる...という感じはない。 //その本、買おうかな.. I'm thinking of buying that book. ある時点から買おうかなと思い始め、今買おうかなと思っている最中。 どこかで買う気が失せる。 -> 一時的に買おうかなと思っている。 ここから、「いま思い立った」という軽い感じを表現できる 未来を表す4つの表現 1 現在形 現在形は「昨日も今日も、明日もそうだよ」という繰り返される出来事に使われる。 Tomorrow is thanksgiving Day. まず間違いなく発生する確定の未来には現在形を使用する。 ポイントは「昨日も今日も、明日もそうだよ」 2 進行形 We are leaving for London tomorrow. ロンドンへ出発することが決まってから、現在出発に向けて準備をしている最中の状態。 動作の真っ最中であり、結構切羽詰まっている感覚 We are going tp leave for London in July. be going to には、「遠い先に目標があって、そこに向かって今進んでいる途中」ということを表す。 真っ最中という感覚はない。 3 will willの根っこの意味は 心がパタンと傾く そこから、「意思」と「予想」の意味が生まれる。 - 「よしやろう」「～するつもりだ」という意思決定、「～だろうな」という判断・予想を表す willは「思っているだけ」であり、どうなるかわからないあいまいな未来を表現している //彼はうまくいくだろうと思う I think he will be successful. //いつか王子様が来てくれるといいな I hope someday my prince will come. It will rain tomorrow. 思っているだけ It's going to rain tomorrow. willよりも「確実にそこへ向かている」感覚 4 be about to　「～する寸前」 aboutの根っこの意味は「周辺」を表す。 //私は電車に乗り込むところだ I was about to get on the train. 「乗り込む」という状態の周辺にいるという感覚 そのため、非常に近い未来を表現できる。 未来表現まとめ 現在形 : 間違いなく発生する未来の話 進行形 : とある未来の時点に向けて動いている真っ最中であるとき be going to : 遠くの目標に向かって事態が進んでいる最中 will : 思っているだけ（心の動きを表す） be about to : 「～する寸前」という、非常に近い未来の話

現在進行形と現完了進行形 現在進行形は「まだ終わっていない」 - ある状態がずっと続いていることを表現しているため、状態動詞の意味合いが強い - 継続の意味で使用される 現在完了進行形も「まだ終わっていない」 - 「過去のある時点から今に至るまで、ずっと~している最中」の状態をhaveしている - 現在進行形と違って「どれくらい続いているか」を表現できる I have studied English for 10 years. 今やっている途中で、まだ終わっていない I have been studying English for 10 years. 進行形のおかげで、「今やっている途中で、これからも続ける」ことを明確に表現できる 進行形が使えない時 1 状態動詞 I belong to the basketball club. - 状態動詞は「ただ漠然とその状態が変わらず続いている」ことを表す。 - 変化の途中を表す進行形は状態動詞では存在できない 変化の途中を表す場合は、状態動詞でも進行中にできる。 - My daughter is resembling me more day by day. 2 知覚動詞 see //知覚動詞 look at // 「目線を向ける」という動作動詞 watch // 「成り行きを見守る」 pictureのような、変化しないものは見守ることができない -> 進行形にできない 「一瞬で気づく」かがポイント - 一瞬で気づくため、「気づいている最中」が成り立たない - 「変化の途中を表す進行形は使えない This smells bad. This coffee tastes good. 入ってきた情報に、五感を通して「気づく」。 「気づく」は一瞬で完結する動作なので、知覚動詞。ゆえに、進行形にできない。 - 大体気づく原因（ここだとthisやcofee）が主語 I'm smelling the soup now. I'm tasting the soup now. - 「意識的に観察する動作は「はじめ・途中・終わり」を表現できるため、進行形にできる - 大体観察するもの、つまり「人」が主語 「動作の途中を表すことができるか」が、進行形が使えるかどうかの判断基準。