学んだこと

GRE (Generic Routing Encapsulation)

Layer3のトンネリングプロトコル。同様のプロトコルにはIPSecが存在する。
GREはトンネリングのみ提供し、マルチキャストパケットでもカプセル化可能。
IPSecはトンネリングと暗号化を提供し、ユニキャストパケットのみカプセル化可能。

GRE over IPSec

GREパケットをIPSecでカプセル化する。
GREでマルチキャストパケットのカプセル化を担当し、IPSecで暗号化を担当する。
両プロトコルの弱点を補いあう戦略。

https://www.infraexpert.com/study/rp8gre.htm
https://www.infraexpert.com/study/ipsec22.html

AWS Managed VPNはIPSecをサポート

GREを使用したい場合は、別途GRE対応のVPNソフトウェアを（EC2などで）立ち上げる必要がある。

AWS VPN接続

VPN接続は、CGW側から開始する必要がある。
そのため、疎通確認も、CGW側（≒オンプレ側）から行う必要がある。

ジャンボフレーム

9001MTUのこと。
パケットに詰め込む情報量を増やし、パケットの送受信回数を減らすことができる。
LAN向け。
ジャンボフレーム設定という設定項目が存在するわけではない。
なお、VPC Peeringでは、ジャンボフレームを扱えない。

cloudformation ネストされたスタック

あるcloudformationテンプレートにて、別のcloudformationテンプレートを参照するような構成のこと。

private linkは、tcp ipv4のみサポート

udpはサポート対象外みたい。

ENIの付け替え

以下の条件を満たすことで、ENIを別のEC2に付け替えることができる。

• ENIとEC2インスタンスの両方が、同一AZに存在すること

AZさえ同じなら、EC2は別のサブネットでも構わない。

Direct Connect VIF復習

Public VIF

Direct Connectにて、グローバルIPアドレスで公開しているAWSリソースへアクセスするために使用する。
public IPを使用して、BGPピアを確立する。
Private VIFは何らかのGWと接続するが、Public VIFにはGWが不要。公開AWSリソースへ直接アクセスする。

暗号化

site-to-site VPN接続にて、CGWとVGW間の通信を確立することで、VPNによる暗号化を実現できる。

• CGWとVGWの間にpublic VIFが存在する

Private VIF

Direct Connectにて、VPC(正確にはDirect Connect GWまたはVGW)と接続するために使用する。
private IPを使用して、BGPピアを確立する。

暗号化

EC2に構築したVPNソフトウェアと、オンプレ側のVPNクライアント間でVPNによる暗号化を実現できる。