De retour sur les certifications AWS…#
Après plusieurs certifications sur Google Cloud, je souhaitais obtenir la certification réseau sur AWS que je voulais passer juste après la sécurité en juillet dernier. Néanmoins, l’examen venait d’être modifié et le programme de celui-ci demandait plus de temps de préparation.
Ce n’était que partie remise ! J’ai obtenu ma certification en avril après plusieurs mois de travail et de préparation.
La certification réseau d’AWS est réputée pour être très très très coriace, et pour cause, le programme de celle-ci est très intense. Notamment sur des services que l’on n’utilise pas tous les jours comme la mise en place de Direct Connect et son administration.
À travers cet article, je vais vous énumérer les différents contenus que j’ai utilisés pour me préparer sereinement, mais aussi les différentes notes que j’ai eues l’occasion de prendre tout au long de mes révisions.
L’objectif étant d’être le mieux préparer pour atteindre et décrocher l’examen !
Présentation du contenu de l’examen#
Tout d’abord, l’examen se compose de 65 questions et doit être terminé en trois heures. Vous pouvez avoir un complément de 30 minutes si votre langue natale n’est pas l’anglais.
N’oubliez pas de faire cette demande avant de vous enregistrer pour l’examen !
Tout comme la partie sécurité, le score minimum pour obtenir cette certification est de 750. Pour rappel, votre score sera calculé entre 100 et 1000 points avec une méthode de calcul propre à AWS.
Le guide de l’examen est assez conséquent. Il regroupe les différentes connaissances en quatre domaines :
- Domaine 1 - Network Design (30%) : Dans ce module, plusieurs parties sont abordées notamment la gestion du DNS, les problématiques de mise à l’échelle, gestion des logs et de la supervision ainsi que les différents moyens pour connecter un réseau AWS à un réseau externe ;
- Domaine 2 - Network Implementation (26%) : Ici, vous aurez l’occasion d’aborder différents concepts comme la Transit Gateway, le VPC peering et les différentes méthodes qui permettent de relier les réseaux AWS entre eux ;
- Domaine 3 - Network Management and Operation (20%) : Ce domaine regroupe, entre autre, plusieurs services comme CloudWatch, VPC Flow Logs ou VPC Traffic Mirroring. L’idée étant de connaître les moyens permettant de surveiller et d’améliorer une architecture existante ;
- Domaine 4 - Network Security, Compliance, and Governance (24%) : Ce dernier module se concentre sur les différents services permettant d’améliorer la sécurité de votre architecture AWS comme AWS WAF, AWS Shield, Network Firewall ou encore ACM.
Voilà qui devrait vous donner un aperçu de l’ensemble des connaissances requises pour obtenir l’examen.
Si vous êtes intéressé sur la façon dont se déroule l’examen ainsi que sur plusieurs méthodes pour répondre aux questions, je vous recommande de faire un tour sur cet article qui est toujours d’actualité même pour la certification réseau avancé d’AWS.
Mon ressenti#
La certification Advanced Networking n’est peut-être pas aussi complète que la Solutions Architect au niveau du périmètre de connaissances à avoir, néanmoins, les notions de chaque domaine sont très poussées.
Pour ne rien vous cacher, j’ai mis autant de temps à me préparer pour cette certification que pour la Solutions Architect !
De plus, des connaissances générales en matière de réseau sont nécessaires avant de commencer la partie théorique décrite plus bas : calcul d’une plage d’adresses IP, manipulation de tables de routage voire de règles de pare-feu.
Je vous recommande aussi d’avoir une ou plusieurs expériences sur la partie réseau d’AWS pour ne pas partir de trop loin.
Ressources et liens utiles#
Comme pour l’ensemble des retours d’expérience que je fais sur différentes certifications, je vais vous donner l’ensemble des ressources que j’ai utilisées pour me préparer à l’examen.
Partie théorique#
Pour la partie théorique, je vous recommande le cours de Stephane Maarek et Chetan Agrawal intitulé AWS Certified Advanced Networking Specialty 2023, il permet de parcourir l’ensemble des notions à connaître réparties en plusieurs chapitres. Au sein de ces derniers, il y a plusieurs épreuves pratiques guidées sous forme de vidéos explicatives qu’il est très facile de reproduire sur son propre compte AWS.
Le gros avantage de ce cours Udemy est que l’ensemble du support est téléchargeable, ce qui permet de réviser dans les transports ou sur la pause du midi par exemple. Sachez qu’il vous faudra un peu plus de 31 heures pour parcourir l’intégralité du contenu notamment les vidéos.
Le cours est régulièrement mis à jour pour correspondre au contenu de l’examen.
Pour compléter ce cours, je vous recommande de consulter l’AWS Cheat Sheets du site Tutorials Dojo qui est assez riche sur tout ce qui se rapproche des composants réseaux notamment sur des cas d’utilisation concrets ou des comparaisons entre différents services comme par exemple AWS Global Accelerator vs Amazon CloudFront.
Enfin, n’hésitez pas à lire la documentation officielle AWS mais aussi les livres blancs ayant comme thématique le réseau.
Partie pratique#
Une fois les différentes notions parcourues, il est temps de pratiquer !
Pour cela, j’ai utilisé plusieurs ressources :
- Les tests pratiques AWS Certified Advanced Networking Specialty Practice Exams ANS-C01 2023 de Tutorials Dojo (payant) ;
- Les tests pratiques Practice Exam - AWS Certified Advanced Networking Specialty de Stephane Maarek et Abhishek Singh (payant) ;
- Les 20 questions du site skillbuilder.aws : AWS Certified Advanced Networking - Specialty Official Practice Question Set (ANS-C01 - English) (gratuit) ;
- Les 10 questions en guise d’exemple du site officiel d’AWS : AWS Certified Advanced Networking - Specialty (ANS-C01) Sample Exam Questions (gratuit).
Ces ressources sont, pour moi, suffisantes pour être correctement entrainé. Les tests permettent de balayer l’ensemble des connaissances même si la difficulté est tout de même plus basse que l’examen.
Enfin, la taille des questions et des réponses ainsi que le nombre de réponses à donner à chaque question est similaire à ce que vous allez retrouver le jour de la certification.
Prise de notes#
L’objectif de cette partie est de lister les différents éléments que je juge important à connaître sur les composants principaux d’AWS.
J’ai aussi ajouté plusieurs liens vers la documentation officielle pour vérifier que ce que j’affirme est toujours d’actualité.
N’hésitez pas à vous en servir comme base pour votre prise de notes ou lors de vos révisions.
Réseau#
On commence par différents concepts généraux du réseau sur AWS…
La taille minimum pour un réseau VPC est un /28 soit 14 adresses IP, et la taille maximum est un /16 correspondant à 65 534 adresses IP ;
Dans un sous-réseau, 5 adresses IP ne sont pas utilisables, les quatre premières et la dernière ;
Il est possible d’ajouter une deuxième plage d’adresses IP dans un VPC. Point particulier : si la plage d’adresses IP principale provient des plages RFC1918, il n’est pas possible d’ajouter une autre plage RFC1918 en tant que deuxième plage d’adresses IP ;
Pour capturer le trafic réseau, il est possible d’activer les VPC Flow Logs et les stocker dans CloudWatch ou dans un bucket S3 ;
Il n’est pas possible de modifier un DHCP Option Sets, il faut en créer un nouveau et l’attacher du VPC.
Transit Gateway#
Ce service permet d’interconnecter de nombreux VPC en évitant les contraintes du VPC peering.
Pour compléter la partie théorique sur ce service, je vous invite à consulter ce document de l’AWS re:Invent qui liste les différents types d’architecture associés à la Transit Gateway ;
Dans le cas du déploiement d’une application qui analyse le trafic au sein d’un VPC lié à une Transit Gateway, il est recommandé d’activer le mode appliance pour rediriger le trafic vers la même zone de disponibilité.
Equilibrage de charge#
Les équilibreurs de charge permettent de répondre aux problématiques de haute disponibilité au sein d’AWS. Vous rencontrerez principalement l’ALB (Application Load Balancer) et le NLB (Network Load Balancer).
Le Gateway Load Balancer permet de mettre à l’échelle et répartir la charge sur des applications analysant le trafic telles que des appliances virtuelles tierces ;
Il est possible de restreindre l’accès à l’Application Load Balancer si vous souhaitez que vos utilisateurs accédent à votre application uniquement par CloudFront avec une en-tête HTTP personnalisé ;
Le mode Perfect Forward Secrecy permet d’apporter une protection supplémentaire en utilisant une clé de session dérivée permettant de chiffrer les connexions. Cela réduit le risque de déchiffrer les données même si la clé secrète est compromise.
VPC endpoint Gateway vs Interface#
Vous entendrez beaucoup parler de VPC endpoint afin de joindre les services AWS ou les votres de manière privée.
Avec un VPC endpoint gateway, le service doit être dans la même région que le VPC ;
De manière générale, le VPC endpoint gateway est utilisé uniquement pour S3 et DynamoDB. Pour les autres services, il convient d’utiliser un VPC endpoint interface ;
La configuration du VPC endpoint gateway s’effectue via la table de routage tandis que le VPC endpoint interface utilise une ENI avec une adresse IP privée pour accéder au service ;
Le VPC endpoint interface est soumis à une tarification spécifique tandis que le VPC endpoint gateway n’engendre pas de coût additionnel.
AWS Site-to-Site VPN#
Ce service permet de créer une connexion VPN entre deux réseaux, il peut venir en complément de Direct Connect pour chiffrer la connexion ou en cas de panne de cette dernière.
Dans le cas d’informations de routage similaires, la Virtual Private Gateway détermine la route la plus préférée suivant cet ordre :
Routes ayant la prefix le plus long ;
Routes propagées BGP depuis une connexion AWS Direct Connect ;
Routes statiques ajoutées manuellement pour une connexion Site-to-Site VPN ;
Routes propagées BGP à partir d’une connexion Site-to-Site VPN ;
Pour les préfixes qui correspondent lorsque chaque connexion Site-to-Site VPN utilise BGP, le chemin d’AS est comparé et le préfixe comportant le chemin d’AS le plus court est privilégié.
AWS Direct Connect#
Direct Connect (ou DX) est le service qui permet d’interconnecter un réseau AWS avec un datacenter sur site, ce service est omniprésent dans la certification.
Deux types de connexion Direct Connect sont disponibles : Connexion dédiée ou hébergée. Outre les différences en matière de débit, il est important de noter que les connexions hébergées disposent que d’une seule interface virtuelle (VIF) ;
Dans le cas d’une connexion hébergée, il n’est pas nécessaire d’avoir le LOA-CFA nécessaire à l’établissement de la connexion. La demande s’effectue auprès du partenaire en fournissant le numéro de votre compte AWS dans lequel vous souhaitez déployer la connexion et par la suite, vous devez accepter la connexion dans la console du service AWS Direct Connect ;
Dans le but de schématiser toutes les possibilités au niveau de Direct Connect en mode haute disponibilité : connexion active active ou active passive, je vous recommande de jeter un œil à ce document ;
Les Groupes d’agrégation de liaisons (LAG) permettent de regrouper plusieurs connexions à un point de terminaison AWS Direct Connect unique. Les connexions du LAG doivent utiliser la même bande passante ;
Un LAG peut contenir jusqu’à deux connexions de 100 Gbit/s, et quatre pour les débits inférieurs ;
Dans le cas des stratégies de routage et communautés BGP pour les interfaces virtuelles publiques, de transit ou privées, je vous recommande là aussi de consulter ce lien qui résume parfaitement les différentes options possibles ;
Route53#
Le service Route53 permet de gérer vos différents enregistrements DNS.
L’Amazon Route 53 Resolver est atteignable à l’adresse IP VPC+2 ;
Il y a deux types de Resolver endpoints dans le cas d’une connexion avec un datacenter externe :
L’Inbound pour interroger le DNS AWS depuis un réseau externe à AWS ;
L’Outbound pour atteindre un serveur DNS d’un datacenter externe à AWS depuis un réseau VPC.
Pour se protéger des attaques d’usurpation du DNS, il est nécessaire de configurer la signature DNSSEC et le protocole DNSSEC pour l’enregistrement de domaine. Une clé key-signing key (KSK), qui est une clé asymétrique, est nécessaire pour la configuration de ce mécanisme de sécurité ;
Dans le cas d’une migration d’un ou plusieurs noms de domaine sur Route53, il convient d’avoir en tête ces différentes étapes ;
Conclusion#
Je pense avoir fait le tour de tout ce qu’il y avait à dire par rapport à cette certification.
Petit rappel cependant, ne négligez pas l’aspect pratique aussi bien en manipulant les différents services au sein de la console, mais aussi en vous entraînant avec des jeux de questions similaires à celui de l’examen.
Comme dit tout au long de l’article, c’est une certification assez coriace qui demande un bon niveau de préparation.
J’espère que ces différentes informations vous ont été utiles et je vous souhaite une bonne préparation de certification à tous !