51-AWS VPN部分

Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,今天的课时我们将继续讨论AWS VPN相关的内容。

AWS Client VPN

首先,AWS Client VPN 是AWS基于客户端的托管 VPN 服务,借助AWS Client VPN,您可以使用基于 OpenVPN 的 VPN 客户端,从任何位置访问您的AWS私有子网的资源,让您能够安全地 连接AWS 资源和本地网络中的资源。

我们来看一下,在AWS创建好Client VPN终端节点并配置完成后,客户端比如我的笔记本电脑,就可以使用 OpenVPN的客户端连接到Client VPN终端节点,然后就可以在本地笔记本电脑上使用VPN通道,通过AWS子网的私有IP地址访问子网的资源。

当然创建的VPN连接是使用的Internet网络,一旦创建了VPN连接,本地的笔记本和VPC子网之间就可以通过私有IP,通过VPN通道安全的进行通信,这也是建立VPN的主要的作用。比如关联的子网有一台EC2实例,我们就可以在本地的笔记本电脑上使用EC2实例的私有IP地址通过VPN访问该EC2实例。

在这个架构中,我们可以将VPC通过AWS Site-to-Site VPN和本地数据中心的网络建立连接,这样的话,当我们的笔记本电脑拨通VPN连接后,笔记本电脑就可以直接通过本地数据中心资源的私有IP地址访问本地数据中心的资源。

好的,基本上对于认证考试来讲,AWS Client VPN的内容了解这么多就基本上足够了,在实际的组织中,使用AWS Client VPN的场景还是比较多的,如果您对这部分感兴趣,可以自己做下实验亲自搭建一下。

软件VPN

接下来我们讨论下软件VPN,前面我们讨论过AWS Site-to-Site VPN,AWS Client VPN ,这些都是AWS的托管服务,由AWS管理,我们只管拿来配置好使用即可。

当然您也可以不使用这些托管服务,在本地和EC2上自行搭建软件VPN。如果要自己搭建就要负责所有的配置和管理工作,比如VPN服务器的带宽是否足够,搭建VPN的EC2的安全性,高可用性等等。

我们来看一下。

在VPC的公有子网的EC2,以及本地数据中心的服务器上搭建软件VPN,并建立VPN连接之后,就可以实现本地数据中心以及VPC的私有子网中的实例间通过私有IP地址进行通信。

软件VPN这种方式在设置和路由配置等方面,我们有更多的控制权;但是另一方面如上所述,自行搭建的软件VPN服务器,需要我们负责所有的管理工作,比如带宽是否足够,冗余,VPN服务器的高可用性以及故障迁移等管理工作,会增加很多的管理任务。

多个VPC的VPN连接

那如果有多个VPC,本地数据中心将如何与这些VPC建立VPN连接呢?

AWS建议为每个用户的VPC创建单独的VPN连接。

比如本地数据中心需要和左边的VPC假设是VPC 1建立VPN通信,那我们就会需要创建客户网关、VGW,为其创建一个AWS Site-to-Site VPN;那如果我们有第二个VPC,就需要在为其创建一个AWS Site-to-Site VPN,如果还有第三个VPC,同样要在为其创建一个AWS Site-to-Site VPN。

在这种情况下,随着VPC越来越多,VPN的配置会变得越来越复杂,越来越难以维护,有两种解决方案:

如果您有很多个VPC,AWS建议使用Direct connect,然后使用Direct connect gateway来实现上述的需求。Direct connect的内容我们后面的课时会讨论。
除了这种方式,我们还可以单独创建一个共享服务的VPC。

共享服务VPC

我们来一起来看一下共享服务的VPC。

首先,创建一个用于放置共享服务的VPC。

将这个VPC与本地数据中心之间创建一个AWS Site-to-Site VPN,这样本地和共享服务的VPC就可以通过VPN连接通信了。

然后,我们就可以将本地数据中心的需要共享的服务、应用程序、数据库等等,把这些都在共享服务的VPC做个副本;或者在共享服务VPC部署一批代理服务,将其他VPC直接访问本地的请求,通过代理服务进行代理。

通过这两种方式,让这个共享服务的VPC,有本地数据中心需要共享的所有副本,提供给其他VPC访问;或者通过部署的代理服务,将其他VPC的访问通过代理服务代理至本地数据中心。

这样的话,其他的VPC如果需要访问本地的资源,比如VPC1 、VPC2、VPC3,只需要将这些VPC分别和共享服务VPC创建VPC对等连接;而我们又在共享服务VPC中,通过Site-to-Site VPN复制了本地数据中心的服务,或者架设了代理,所以,VPC1、 VPC2 和VPC3 ,就可以通过访问共享服务VPC访问本地数据中心的资源。

这种在一个VPC中通过复制本地数据中心的数据或服务,或者通过架设代理服务,提供给其他VPC共享资源的方式,是共享服务VPC的实现理念。

共享服务VPC的优势是,并不需要为本地数据中心和所有的VPC都创建VPN连接,只需要在共享服务VPC和本地创建一个VPN连接,然后其他VPC通过与共享服务VPC建立对等连接的方式来实现访问。

然后需要注意的是,在这个架构中,VPC1 VPC2 和VPC3 无法直接与本地数据中心进行通信,因为我们前面讲过VPC对等连接是不支持路由传递的。

其他解决方案(Transit VPC 和 Transit gateway)

要实现多VPC的VPN连接需求,还有一种解决方案是通过Transit VPC。
Transit VPC的内容我们会在后面的课时讨论,我们现在先大致了解下即可。

Transit VPC 是通过在VPC的EC2上自行搭建软件的VPN,然后将所有其他的VPC以及本地数据中心都通过VPN建立连接。通过这种方式建立的连接,路由是可传递的,这也就是说可以通过这种方式打通VPC间,以及VPC和本地数据中心的通信。

Transit VPC 的这种方式相比前面讲的共享服务VPC的优点在于,如果使用共享服务VPC的方式,如果有一些本地的服务或者程序不是非常容易配置复制,那就没有办法在共享服务VPC中提供给其他VPC进行访问,而在这种情况下使用Transit VPC就会非常的容易和方便。

这里需要注意的一点是,不能使用VPC对等连接,因为VPC对等连接不支持路由传递,要建立VPN连接。

当然,我们还可以使用Transit gateway。

可以通过Transit gateway将这一切都连接起来,Transit gateway是实现起来更简单的方式,我们会在后面的课时单独讨论这部分的内容。

好的,以上就是我们今天的课程内容,对于认证考试,你需要熟悉这个课时讨论的这些架构,了解不同架构,不同解决方案的优缺点以及适用的不同的场景,因为在认证考试中会有一些考题会涉及到这些架构的内容。

希望本课时能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助,如您有任何疑问,请联系我们:

  • 如果您想获取本课程全部课时,请扫PPT的二维码加入。
  • AWS爱好者的网址是www.iloveaws.cn,认证视频课程,免费的认证考试仿真题以及认证课程文章,都可以在网站找得到
  • 可以通过扫码加入【AWS爱好者】微信公众号,查看原创的AWS知识点相关文章。
  • 加入【AWS爱好者】微信群,和其他同学一起备考,以及探讨交流AWS相关知识。

我们今天的视频课程就到这里,感谢大家的观看,我们下一课程再见。

2021年10月29日

0 responses on "51-AWS VPN部分"

Leave a Message

Setup Menus in Admin Panel

error: Content is protected !!