Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,今天的课时我们将讨论VPN的内容—AWS Site-to-Site VPN
我们开始今天的课程内容。
VPN,也就是虚拟专用网络,是做什么的呢?
它的作用是在公有网络上建立专用网络,然后进行加密通讯。这里的专用网络是指将通讯进行加密后,数据在链路上进行安全传输,就如同专门架设了一个专用网络一样,但是实际上VPN还是使用的是互联网上的公共链路,因此VPN称为虚拟专用网络,在企业网络中有广泛应用。
VPN可通过服务器、硬件、软件等多种方式实现。
什么是AWS Site-to-Site VPN ?
AWS Site-to-Site VPN,是AWS托管的一个VPN的解决方案。
比如公司有一个本地数据中心,以及一个AWS VPC,我们想把他们之间通过互联网建立连接,然后通过私有IP相互进行通信,且通信需要加密,我们就可以使用AWS Site-to-Site VPN。注意AWS Site-to-Site VPN方案的本地数据中心和VPC之间通讯还是使用的互联网链路,支持 Internet 协议安全 (IPsec) VPN 连接,不支持 IPv6 流量。
好,接下来我们来看下如何创建AWS Site-to-Site VPN。
AWS Site-to-Site VPN的基础知识点
首先,在本地公司数据中心网络,您需要配置一个软件或者硬件VPN设备,现在很多硬件防火墙和路由器都支持VPN功能;
这个在本地VPN的外部接口需要有一个可在 Internet 上路由的 IP 地址,需要能够通过公网进行访问,因为VPN是通过公网建立连接的。
现在我们在本地公司数据中心网络有了VPN设备,而且配置了本地数据中心网络分配的公有IP地址,然后我们看下在AWS端需要配置哪些服务。
在AWS端,需要创建一个虚拟专用网关,也就是VGW,您可以理解成虚拟专用网关是 Site-to-Site VPN 连接,在 Amazon 一端的 VPN 集线器。
创建虚拟专用网关后将其附加到要从中创建 Site-to-Site VPN 连接的 VPC,所以VGW是VPC级别的资源。
然后,需要在 AWS 中创建一个客户网关,它表示本地公司数据中心网络中的VPN设备。
创建客户网关时,需要提供本地数据中心VPN设备的信息,如VPN外部接口的 Internet 可路由 IP 地址。
接下来就可以创建本地公司数据中心网络和AWS VPC的Site-to-Site VPN 连接,出于冗余考虑在虚拟私有网关 与本地网络端的VPN 设备之间,会创建两条 VPN 隧道,他们都是使用IPSec进行加密。
每条隧道都会使用一个唯一的虚拟专用网关公有 IP 地址。配置两条隧道以提供冗余能力是重要的步骤。
当一条隧道无法使用时(例如,因维护而关闭),网络流量会自动路由到指定 Site-to-Site VPN 连接的其他可用隧道。
好,以上就是AWS Site-to-Site VPN的基础知识点。
AWS Site-to-Site VPN的路由配置
我们继续,接下来我们继续深入讨论AWS Site-to-Site VPN的配置,路由配置部分。
我们一起来看一下:
左侧是本地公司数据中心,右侧为AWS VPC,他们的网络CIDR块是非重叠的。
左侧的公司数据中心的客户网关,以及在VPC端的VGW配置完成后,我们在两者之间创建一个AWS Site-to-Site VPN连接,接下来,要使 VPC 中的私有子网的实例可以访问您的本地数据中心的网络,您必须配置私有子网的路由表,将访问公司数据中心的通信,将它们指向您的虚拟私有网关(VGW)
同样,在公司的数据中心,需要配置本地的路由表,将本地数据中心访问VPC私有子网的CIDR通信指向客户网关。
那么,我们有两种方式配置路由表:通过静态路由或动态路由。
通过配置静态路由,这个我们之前做了很多次,比较简单。我们需要分别配置VPC和公司数据中心的路由表,添加相应的路由条目。
在公司数据中心的路由表,我们需要添加一个路由条目:将去往VPC私有子网10.0.0.10/24的通信指向客户网关的路由。
在AWS端,也需要在路由表中添加一个路由条目:将去往公司数据中心10.2.0.0/20的通信指向虚拟专用网关VGW。
这样的话静态路由就配置好了。但使用静态路由如果之后网络有变化,就需要我们再次手动编辑路由表,有的时候这会比较复杂。
我们还有另一种选择,使用动态路由BGP,当然需要您在公司数据中心的客户网关设备支持BGP才可以。
BGP是边界网关协议,主要功能是允许你的网络之间自动交换彼此网络路由信息。
BGP动态路由需要在客户网关以及虚拟专用网关配置ASN,ASN是自治系统编号。
配置为BGP路由后我们就不需要手动配置路由表了,有变动时BGP会为我们自动更新路由表,非常的方便。
AWS Site-to-Site VPN 与 Internet访问
接下来我们看几个AWS Site-to-Site VPN 与 Internet访问的架构,在认证考试中可能会有一些题目涉及到这些内容。
我们先来看下这个架构的组成部分:我们配置了一个VPC,然后在VPC内有一个公有子网,公有子网中配置了一个NAT网关,然后连接了一个Internet网关,通过NAT网关和Internet网关这套组合提供了访问Internet的能力。
然后在公司数据中心端,本地的服务器连接到客户网关,然后客户网关与VPC端的VGW之间,已经创建好了AWS Site-to-Site VPN,或者两端网络使用Direct Connect连接。
好,那么问题来了,在这个架构下,在本地公司数据中心的服务器,能否通过客户网关,然后通过VGW,使用NAT网关和Internet网关,最终成功访问Internet吗?也就是说这个架构是否能够为公司数据中心的服务器提供访问Internet的能力?
这是行不通的。
因为是无法通过 VPC 对等连接、Site-to-Site VPN 连接或 AWS Direct Connect 将流量路由到 NAT 网关的,这些连接另一端的资源,对应我们这个案例是公司数据中心,是不能通过 NAT 网关和Internet网关访问Internet的。
那我们在看另一个架构,这个架构和前面的一样,只是将前面的NAT网关替换成NAT实例,在这种架构下通过配置,在本地公司数据中心的服务器,能否通过客户网关,然后通过VGW,在通过NAT实例和Internet网关,最终成功访问Internet吗?
这是可以的。
因为如果使用NAT实例,我们会比使用NAT网关有更多的控制权,可以登陆到NAT实例进行路由等配置,最终可以实现公司数据中心的服务器,通过中间这一系列连接和服务,在通过AWS的NAT实例访问Internet。
我们继续,看下这个架构,这个正好是和前面的反过来了。
在本地公司数据中心有一个本地NAT设备,提供了访问Internet的能力,那么我们在VPC的私有子网的实例,能否通过VGW,通过AWS Site-to-Site VPN 连接到客户网关,在通过公司数据中心的NAT设备访问Internet呢?
这种方式是可行的。在这种架构下,在AWS是不需要配置NAT网关或者NAT实例的,只需要按照实际情况配置好本地NAT路由表等配置,就可以实现在私有子网的实例通过AWS Site-to-Site VPN 。通过本地数据中心访问Internet。
VPN CloudHub
好的,接下来我们讨论VPN CloudHub,是本节课时最后的内容。
如果您有多个 AWS Site-to-Site VPN 连接,您可以使用 AWS VPN CloudHub 将所有客户网关连接在一起。
比如这个架构,我们有三个分公司,分别在纽约、洛杉矶以及迈阿密,这些分公司的网络都与VPC建立了AWS Site-to-Site VPN连接,我们可以将三个分公司的网络通过 AWS VPN CloudHub 连接到了一起,然后这些分公司的网络除了可以和VPC进行通信,在分公司网络之间也可以相互进行通信。
VPN CloudHub的优势是实施方便、潜在低成本的星型拓扑连接模型。
比如前面这种情况,您有很多分公司的网络,且都可以访问 Internet ,如果您想在这些不同网络之间建立主要或备用连接,实现安全的、低成本的相互访问,则VPN CloudHub会非常的适用。
因为低成本,所以VPN CloudHub可以很好的胜任备用连接这个角色。比如您的迈阿密和洛杉矶两个网络通信使用的是Direct Connect连接,你也可以配置当Direct Connect连接出现问题后,将流量故障转移至由VPN CloudHub建立的VPN连接来保证网络可用性。
VPN CloudHub为网络之间通信提供了安全通讯的通道。
网络之间通信是使用互联网。所有的VPN连接都使用了IPsec加密。
好的,以上就AWS Site-to-Site VPN的内容。本节课就到这里,希望能够给大家带来帮助。
希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:
- 如果您想获取本课程全部课时,请扫PPT的二维码加入。
- AWS爱好者的网址是www.iloveaws.cn,认证视频课程,免费的认证考试仿真题以及认证课程文章,都可以在网站找得到
- 可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章。
- 加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识。
我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。
0 responses on "50-AWS Site-to-Site VPN"