50-AWS Site-to-Site VPN

Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,今天的课时我们将讨论VPN的内容—AWS Site-to-Site VPN

我们开始今天的课程内容。

VPN,也就是虚拟专用网络,是做什么的呢?

它的作用是在公有网络上建立专用网络,然后进行加密通讯。这里的专用网络是指将通讯进行加密后,数据在链路上进行安全传输,就如同专门架设了一个专用网络一样,但是实际上VPN还是使用的是互联网上的公共链路,因此VPN称为虚拟专用网络,在企业网络中有广泛应用。

VPN可通过服务器、硬件、软件等多种方式实现。

什么是AWS Site-to-Site VPN ?

AWS Site-to-Site VPN,是AWS托管的一个VPN的解决方案。

比如公司有一个本地数据中心,以及一个AWS VPC,我们想把他们之间通过互联网建立连接,然后通过私有IP相互进行通信,且通信需要加密,我们就可以使用AWS Site-to-Site VPN。注意AWS Site-to-Site VPN方案的本地数据中心和VPC之间通讯还是使用的互联网链路,支持 Internet 协议安全 (IPsec) VPN 连接,不支持 IPv6 流量。

好,接下来我们来看下如何创建AWS Site-to-Site VPN。

AWS Site-to-Site VPN的基础知识点

首先,在本地公司数据中心网络,您需要配置一个软件或者硬件VPN设备,现在很多硬件防火墙和路由器都支持VPN功能;

这个在本地VPN的外部接口需要有一个可在 Internet 上路由的 IP 地址,需要能够通过公网进行访问,因为VPN是通过公网建立连接的。

现在我们在本地公司数据中心网络有了VPN设备,而且配置了本地数据中心网络分配的公有IP地址,然后我们看下在AWS端需要配置哪些服务。

在AWS端,需要创建一个虚拟专用网关,也就是VGW,您可以理解成虚拟专用网关是 Site-to-Site VPN 连接,在 Amazon 一端的 VPN 集线器。

创建虚拟专用网关后将其附加到要从中创建 Site-to-Site VPN 连接的 VPC,所以VGW是VPC级别的资源。

然后,需要在 AWS 中创建一个客户网关,它表示本地公司数据中心网络中的VPN设备。
创建客户网关时,需要提供本地数据中心VPN设备的信息,如VPN外部接口的 Internet 可路由 IP 地址。

接下来就可以创建本地公司数据中心网络和AWS VPC的Site-to-Site VPN 连接,出于冗余考虑在虚拟私有网关 与本地网络端的VPN 设备之间,会创建两条 VPN 隧道,他们都是使用IPSec进行加密。

每条隧道都会使用一个唯一的虚拟专用网关公有 IP 地址。配置两条隧道以提供冗余能力是重要的步骤。

当一条隧道无法使用时(例如,因维护而关闭),网络流量会自动路由到指定 Site-to-Site VPN 连接的其他可用隧道。

好,以上就是AWS Site-to-Site VPN的基础知识点。

AWS Site-to-Site VPN的路由配置

我们继续,接下来我们继续深入讨论AWS Site-to-Site VPN的配置,路由配置部分。

我们一起来看一下:

左侧是本地公司数据中心,右侧为AWS VPC,他们的网络CIDR块是非重叠的。

左侧的公司数据中心的客户网关,以及在VPC端的VGW配置完成后,我们在两者之间创建一个AWS Site-to-Site VPN连接,接下来,要使 VPC 中的私有子网的实例可以访问您的本地数据中心的网络,您必须配置私有子网的路由表,将访问公司数据中心的通信,将它们指向您的虚拟私有网关(VGW)

同样,在公司的数据中心,需要配置本地的路由表,将本地数据中心访问VPC私有子网的CIDR通信指向客户网关。

那么,我们有两种方式配置路由表:通过静态路由或动态路由。

通过配置静态路由,这个我们之前做了很多次,比较简单。我们需要分别配置VPC和公司数据中心的路由表,添加相应的路由条目。

在公司数据中心的路由表,我们需要添加一个路由条目:将去往VPC私有子网10.0.0.10/24的通信指向客户网关的路由。

在AWS端,也需要在路由表中添加一个路由条目:将去往公司数据中心10.2.0.0/20的通信指向虚拟专用网关VGW。

这样的话静态路由就配置好了。但使用静态路由如果之后网络有变化,就需要我们再次手动编辑路由表,有的时候这会比较复杂。

我们还有另一种选择,使用动态路由BGP,当然需要您在公司数据中心的客户网关设备支持BGP才可以。

BGP是边界网关协议,主要功能是允许你的网络之间自动交换彼此网络路由信息。

BGP动态路由需要在客户网关以及虚拟专用网关配置ASN,ASN是自治系统编号。

配置为BGP路由后我们就不需要手动配置路由表了,有变动时BGP会为我们自动更新路由表,非常的方便。

AWS Site-to-Site VPN 与 Internet访问

接下来我们看几个AWS Site-to-Site VPN 与 Internet访问的架构,在认证考试中可能会有一些题目涉及到这些内容。

我们先来看下这个架构的组成部分:我们配置了一个VPC,然后在VPC内有一个公有子网,公有子网中配置了一个NAT网关,然后连接了一个Internet网关,通过NAT网关和Internet网关这套组合提供了访问Internet的能力。

然后在公司数据中心端,本地的服务器连接到客户网关,然后客户网关与VPC端的VGW之间,已经创建好了AWS Site-to-Site VPN,或者两端网络使用Direct Connect连接。

好,那么问题来了,在这个架构下,在本地公司数据中心的服务器,能否通过客户网关,然后通过VGW,使用NAT网关和Internet网关,最终成功访问Internet吗?也就是说这个架构是否能够为公司数据中心的服务器提供访问Internet的能力?

这是行不通的。
因为是无法通过 VPC 对等连接、Site-to-Site VPN 连接或 AWS Direct Connect 将流量路由到 NAT 网关的,这些连接另一端的资源,对应我们这个案例是公司数据中心,是不能通过 NAT 网关和Internet网关访问Internet的。

那我们在看另一个架构,这个架构和前面的一样,只是将前面的NAT网关替换成NAT实例,在这种架构下通过配置,在本地公司数据中心的服务器,能否通过客户网关,然后通过VGW,在通过NAT实例和Internet网关,最终成功访问Internet吗?

这是可以的。

因为如果使用NAT实例,我们会比使用NAT网关有更多的控制权,可以登陆到NAT实例进行路由等配置,最终可以实现公司数据中心的服务器,通过中间这一系列连接和服务,在通过AWS的NAT实例访问Internet。

我们继续,看下这个架构,这个正好是和前面的反过来了。

在本地公司数据中心有一个本地NAT设备,提供了访问Internet的能力,那么我们在VPC的私有子网的实例,能否通过VGW,通过AWS Site-to-Site VPN 连接到客户网关,在通过公司数据中心的NAT设备访问Internet呢?

这种方式是可行的。在这种架构下,在AWS是不需要配置NAT网关或者NAT实例的,只需要按照实际情况配置好本地NAT路由表等配置,就可以实现在私有子网的实例通过AWS Site-to-Site VPN 。通过本地数据中心访问Internet。

VPN CloudHub

好的,接下来我们讨论VPN CloudHub,是本节课时最后的内容。

如果您有多个 AWS Site-to-Site VPN 连接,您可以使用 AWS VPN CloudHub 将所有客户网关连接在一起。

比如这个架构,我们有三个分公司,分别在纽约、洛杉矶以及迈阿密,这些分公司的网络都与VPC建立了AWS Site-to-Site VPN连接,我们可以将三个分公司的网络通过 AWS VPN CloudHub 连接到了一起,然后这些分公司的网络除了可以和VPC进行通信,在分公司网络之间也可以相互进行通信。

VPN CloudHub的优势是实施方便、潜在低成本的星型拓扑连接模型。

比如前面这种情况,您有很多分公司的网络,且都可以访问 Internet ,如果您想在这些不同网络之间建立主要或备用连接,实现安全的、低成本的相互访问,则VPN CloudHub会非常的适用。

因为低成本,所以VPN CloudHub可以很好的胜任备用连接这个角色。比如您的迈阿密和洛杉矶两个网络通信使用的是Direct Connect连接,你也可以配置当Direct Connect连接出现问题后,将流量故障转移至由VPN CloudHub建立的VPN连接来保证网络可用性。

VPN CloudHub为网络之间通信提供了安全通讯的通道。

网络之间通信是使用互联网。所有的VPN连接都使用了IPsec加密。

好的,以上就AWS Site-to-Site VPN的内容。本节课就到这里,希望能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:

  • 如果您想获取本课程全部课时,请扫PPT的二维码加入。
  • AWS爱好者的网址是www.iloveaws.cn,认证视频课程,免费的认证考试仿真题以及认证课程文章,都可以在网站找得到
  • 可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章。
  • 加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识。

我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。

2021年10月29日

0 responses on "50-AWS Site-to-Site VPN"

Leave a Message

Setup Menus in Admin Panel

error: Content is protected !!