Как настроить OpenVPN с несколькими VPC в разных регионах?

У меня есть разные VPC в разных регионах в AWS:

  1. 10.1.0.0/16(A)
  2. 10.2.0.0/16(B)
  3. 10.3.0.0/16(C)

Я следовал этой статье ( http://cloudacademy.com/blog/openvpn-aws-vpc/), чтобы открыть соединение vpn, чтобы позволить экземплярам сервера в B взаимодействовать с экземпляром RDS в частной подсети VPC A.

Я сделал следующее в ipsec.conf:

rightsubnet = 10.2.0.0 / 16

Все отлично работает, но как мне подключить С к А? Нужно ли открывать еще один экземпляр OpenVPN? Я уверен, что есть способ сделать это.

2 ответа

Решение

Для VPC в том же регионе:

VPC peering, установить соединение VPC Peer с другими VPC. Поэтому, если сервер vpn находится в A, создается одноранговое соединение VPC от A до B и от A до C.

http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/Welcome.html

Для VPC пиринга в разных регионах:

Вы можете использовать программное обеспечение VPN, такое как Openvpn или Strongswan.

Использует сетевое оборудование AWS в регионе и интернет-каналы между регионами

Настройка уровня 3 с OpenVPN

Настройка уровня 2 с OpenVPN

https://docs.openvpn.net/how-to-tutorialsguides/administration/extending-vpn-connectivity-to-amazon-aws-vpc-using-aws-vpc-vpn-gateway-service/

https://s3.amazonaws.com/awsmedia/AWS_Amazon_VPC_Connectivity_Options.pdf

AFAIK вам не нужно несколько VPN для подключения нескольких VPC. Один VPN в каждом VPC, настроенный для соответствующей маршрутизации, должен работать. Вот статья с подробностями. Смотрите раздел "Подключение дополнительных VPC"

https://aws.amazon.com/articles/0639686206802544

К сожалению, для однорангового соединения VPC должны находиться в одном регионе, поэтому пиринг не будет работать. Подключение VPC в разных регионах немного более компактно. Вот ссылка на статью, в которой говорится о различных вариантах. Лучшие решения требуют своего рода VPN через корпоративную сеть.

https://aws.amazon.com/answers/networking/aws-multiple-region-multi-vpc-connectivity/

Вот программное решение из статьи. Интересно, что "Ocedo AutoVPN в настоящее время предоставляет расширенную автоматизацию сети для запуска, управления и настройки программных VPN-устройств для подключения нескольких VPC и полно-ячеистых VPN-сетей".

Программные VPN-устройства

Этот подход использует возможности Amazon VPC для создания VPN-туннелей между экземплярами EC2 для маршрутизации трафика между VPC в разных регионах. Этот вариант использует программные VPN-устройства на базе EC2, управляемые членами или AWS Partner Network (APN), и лучше всего подходит для клиентов, которые хотят управлять обоими сторонами VPN-подключений, используя предпочитаемого поставщика программного обеспечения VPN.

Такая конструкция оптимизирует затраты на межрегиональную передачу сети, однако требует от клиентов разработки и управления собственной конфигурацией высокой доступности для сетевых экземпляров EC2.

Детали конфигурации

В этом проекте используются эластичные IP-адреса и интернет-шлюзы VPC для облегчения связи между программными устройствами VPN. Хотя экземпляры EC2 сконфигурированы с общедоступными IP-адресами, сетевой трафик между регионами AWS по умолчанию пересекает магистральную сеть глобальной сети AWS, что обычно обеспечивает более согласованное сетевое подключение с меньшей задержкой, чем эквивалентные интернет-соединения. AWS Marketplace предоставляет множество сторонних и открытых вариантов (включая продукты от Cisco, Fortinet, Ocedo, OpenSWAN, OpenVPN, Palo Alto Networks, Sophos и Vyatta) для реализации программных VPN-устройств. Ocedo AutoVPN в настоящее время предоставляет расширенную автоматизацию сети для запуска, управления и настройки программных VPN-устройств для подключения нескольких VPC и полно-ячеистых VPN-сетей.

Соображения

Продукты, доступные на AWS Marketplace, предоставляют дополнительные функции управления сетью для мониторинга и управления трафиком между VPC. К ним относятся дополнительные функции безопасности, такие как расширенный мониторинг, правила брандмауэра с поддержкой сетевых протоколов или универсальные возможности управления угрозами. Обратите внимание, что клиенты должны запускать сетевые устройства в каждом VPC, что влечет за собой дополнительные расходы на EC2 и, возможно, сторонние лицензии. Эти экземпляры EC2 могут также вводить единую точку отказа в архитектуру сети и потенциальное узкое место в сети, поэтому обязательно выберите размер экземпляра устройства VPN, который будет соответствовать требованиям межрегиональной сетевой маршрутизации. Наконец, используйте функцию автоматического восстановления для EC2 или другие параметры мониторинга и восстановления сети, чтобы сократить время восстановления неисправных устройств VPN.

Другие вопросы по тегам