Как настроить OpenVPN с несколькими VPC в разных регионах?
У меня есть разные VPC в разных регионах в AWS:
- 10.1.0.0/16(A)
- 10.2.0.0/16(B)
- 10.3.0.0/16(C)
Я следовал этой статье ( http://cloudacademy.com/blog/openvpn-aws-vpc/), чтобы открыть соединение vpn, чтобы позволить экземплярам сервера в B взаимодействовать с экземпляром RDS в частной подсети VPC A.
Я сделал следующее в ipsec.conf:
rightsubnet = 10.2.0.0 / 16
Все отлично работает, но как мне подключить С к А? Нужно ли открывать еще один экземпляр OpenVPN? Я уверен, что есть способ сделать это.
2 ответа
Для VPC в том же регионе:
VPC peering, установить соединение VPC Peer с другими VPC. Поэтому, если сервер vpn находится в A, создается одноранговое соединение VPC от A до B и от A до C.
http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/Welcome.html
Для VPC пиринга в разных регионах:
Вы можете использовать программное обеспечение VPN, такое как Openvpn или Strongswan.
Использует сетевое оборудование AWS в регионе и интернет-каналы между регионами
https://s3.amazonaws.com/awsmedia/AWS_Amazon_VPC_Connectivity_Options.pdf
AFAIK вам не нужно несколько VPN для подключения нескольких VPC. Один VPN в каждом VPC, настроенный для соответствующей маршрутизации, должен работать. Вот статья с подробностями. Смотрите раздел "Подключение дополнительных VPC"
https://aws.amazon.com/articles/0639686206802544
К сожалению, для однорангового соединения VPC должны находиться в одном регионе, поэтому пиринг не будет работать. Подключение VPC в разных регионах немного более компактно. Вот ссылка на статью, в которой говорится о различных вариантах. Лучшие решения требуют своего рода VPN через корпоративную сеть.
https://aws.amazon.com/answers/networking/aws-multiple-region-multi-vpc-connectivity/
Вот программное решение из статьи. Интересно, что "Ocedo AutoVPN в настоящее время предоставляет расширенную автоматизацию сети для запуска, управления и настройки программных VPN-устройств для подключения нескольких VPC и полно-ячеистых VPN-сетей".
Программные VPN-устройства
Этот подход использует возможности Amazon VPC для создания VPN-туннелей между экземплярами EC2 для маршрутизации трафика между VPC в разных регионах. Этот вариант использует программные VPN-устройства на базе EC2, управляемые членами или AWS Partner Network (APN), и лучше всего подходит для клиентов, которые хотят управлять обоими сторонами VPN-подключений, используя предпочитаемого поставщика программного обеспечения VPN.
Такая конструкция оптимизирует затраты на межрегиональную передачу сети, однако требует от клиентов разработки и управления собственной конфигурацией высокой доступности для сетевых экземпляров EC2.
Детали конфигурации
В этом проекте используются эластичные IP-адреса и интернет-шлюзы VPC для облегчения связи между программными устройствами VPN. Хотя экземпляры EC2 сконфигурированы с общедоступными IP-адресами, сетевой трафик между регионами AWS по умолчанию пересекает магистральную сеть глобальной сети AWS, что обычно обеспечивает более согласованное сетевое подключение с меньшей задержкой, чем эквивалентные интернет-соединения. AWS Marketplace предоставляет множество сторонних и открытых вариантов (включая продукты от Cisco, Fortinet, Ocedo, OpenSWAN, OpenVPN, Palo Alto Networks, Sophos и Vyatta) для реализации программных VPN-устройств. Ocedo AutoVPN в настоящее время предоставляет расширенную автоматизацию сети для запуска, управления и настройки программных VPN-устройств для подключения нескольких VPC и полно-ячеистых VPN-сетей.
Соображения
Продукты, доступные на AWS Marketplace, предоставляют дополнительные функции управления сетью для мониторинга и управления трафиком между VPC. К ним относятся дополнительные функции безопасности, такие как расширенный мониторинг, правила брандмауэра с поддержкой сетевых протоколов или универсальные возможности управления угрозами. Обратите внимание, что клиенты должны запускать сетевые устройства в каждом VPC, что влечет за собой дополнительные расходы на EC2 и, возможно, сторонние лицензии. Эти экземпляры EC2 могут также вводить единую точку отказа в архитектуру сети и потенциальное узкое место в сети, поэтому обязательно выберите размер экземпляра устройства VPN, который будет соответствовать требованиям межрегиональной сетевой маршрутизации. Наконец, используйте функцию автоматического восстановления для EC2 или другие параметры мониторинга и восстановления сети, чтобы сократить время восстановления неисправных устройств VPN.