Užmegzkite saugų ryšį tarp kelių debesų (AWS ir GCP) naudodami BGP per svetainės į svetainę VPN

Jei skaitote šį straipsnį, tikriausiai girdėjote apie „multi-cloud“, kuris apima prisijungimą prie daugiau nei vieno debesies tiekėjo. Sparčiai keičiantis, daugelis organizacijų pereina prie kelių debesų diegimo ir tolsta nuo tradicinių tinklų.
Šiame straipsnyje aptarsiu, kaip galite nustatyti VPN tunelio konfigūraciją tarp AWS valdomo VPN ir „Google Cloud Platform“ (GCP) naudodami dinaminį BGP maršruto parinkimo protokolą. Šis straipsnis bus naudingas tiems, kurie nori įtraukti kelių debesų architektūrą į didelio prieinamumo sąranką.
Būtina sąlyga:
- Konfigūruokite VPC tinklą ir jo užkardos taisykles „Google Cloud Platform“ pusėje.
- Konfigūruokite virtualųjį privatų debesį, potinklius ir maršrutą AWS pusėje.
Architektūra:
Nors tai gali būti programiškai įdiegta abiejuose galuose, aš pasirinkau naudoti konsolę, nes ji padeda lengviau suprasti procesą.
Konfigūracija GCP pusėje:
- Eikite į „Hybrid connectivity“ ir sukurkite „Cloud router“.
- Eikite į „Hibridinis ryšys“ ir sukurkite „High-Availability VPN Gateway“.
Sukūrę aukšto pasiekiamumo VPN šliuzą, gauname du sąsajos IP (patikrinkite žemiau esančią ekrano kopiją), kuriuos galime naudoti kaip klientų šliuzo IP adresus AWS pusėje. Čia aš naudoju tik vieną sąsajos IP: 35.xxx (Išorinis IP), nes konfigūruoju vieną VPN ryšį AWS pusėje.
Konfigūracija AWS pusėje:
- Sukurkite klientų šliuzą AWS VPC konsolėje.
- Sukurkite virtualų privatų šliuzą AWS VPC konsolėje
-
Sukurkite VPN ryšį tarp svetainių AWS konsolėje nurodydami kliento šliuzą (sukurtą 3 veiksme) ir virtualųjį privatųjį šliuzą (sukurtą atliekant 4 veiksmą).
Skiltyje „Išplėstinės 1 tunelio parinktys“ išjungtas ikev1 ir įjungtas ikev2 su išplėstiniais šifravimo algoritmais. Išplėstinių šifravimo algoritmų įgalinimas yra neprivalomas. Galite išjungti kai kuriuos algoritmus, jei nenorite, kad mes, kaip aš padariau toliau pateiktoje ekrano kopijoje.
- Atsisiųskite bendrąjį VPN konfigūracijos failą iš AWS VPN konsolės.
Grįžkite į GCP konsolę ir sukonfigūruokite VPN šliuzą naudodami atsisiųstą konfigūracijos failą
- Sukonfigūruokite VPN ryšį sukurdami lygiavertį VPN šliuzą GCP konsolėje
- Konfigūruokite BGP GCP pusėje:
Tunelio ir BGP būsena yra UP GCP pusėje:
Tunelis ir BGP UP AWS konsolėje:
Ping testas iš GCP į AWS:
Ping testas iš AWS į GCP:
Atlikdami šiuos veiksmus, galite padaryti tinklą patikimesnį ir visada pasiekiamą. Nesvarbu, ar naudojate kelių debesų sąrankas, ar norite patobulinti esamą, šis vadovas padės sukurti svetainių VPN, kuris padės pasiekti užšifruotą ir saugų kelių debesų aplinkos ryšį.
Nuorodos:
[1] Darbo su AWS „Site-to-Site VPN“ pradžia: https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html
[2] Prijunkite HA VPN prie AWS lygiaverčių šliuzų: https://cloud.google.com/network-connectivity/docs/vpn/how-to/connect-ha-vpn-aws-peer-gateway