Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie konfiguriere ich eine Site-to-Site VPN-Verbindung mit dynamischem Routing zwischen AWS und Azure?

Lesedauer: 6 Minute
0

Ich möchte eine AWS Site-to-Site VPN-Verbindung mit Border Gateway Protocol (BGP) zwischen AWS und Azure konfigurieren.

Kurzbeschreibung

Um dynamisches Routing zwischen AWS und Azure einzurichten, erstelle und konfiguriere die Kunden-Gateways, VPN-Gateways, lokalen Netzwerk-Gateways und Tunnelkonfigurationen sowohl auf AWS- als auch auf Azure-Seite. Richte dann ein Active-Active-BGP-Failover ein und überprüfe den VPN-Verbindungsstatus.

Lösung

Hinweis: Informationen zur Leistungsoptimierung findest du unter AWS Site-to-Site VPN, Auswahl der richtigen Optionen zur Leistungsoptimierung.

Voraussetzungen:

  • Stelle sicher, dass du ein Amazon Virtual Private Cloud (Amazon VPC) Classless Inter-Domain Routing (CIDR) hast, das einem Virtual Private-Gateway oder einem Transit-Gateway zugeordnet ist.
  • Stelle sicher, dass sich der Amazon VPC-CIDR und der Azure-Netzwerk-CIDR nicht überschneiden.

Erstelle ein virtuelles Netzwerk und ein VPN-Gateway auf der Azure-Seite

Führe die folgenden Schritte aus:

  1. Verwende das Azure-Portal, um ein virtuelles Netzwerk zu erstellen. Weitere Informationen findest du unter Erstellen eines Azure Virtual Network auf der Microsoft-Website.
  2. Erstelle ein VPN-Gateway mit einer öffentlichen IP-Adresse. Weitere Informationen findest du unter Erstellen eines VPN-Gateways auf der Microsoft-Website. Ergreife die folgenden Maßnahmen:
    Wähle für Region die Region aus, in der du das VPN-Gateway bereitstellen möchtest.
    Wähle als Gateway-Typ VPN aus.
    Wähle für VPN-Typ die Option Routenbasiert aus.
    Wähle für SKU die SKU aus, die deinen Anforderungen an Workloads, Durchsätzen, Funktionen und SLAs entspricht.
    Wähle für Virtuelles Netzwerk das virtuelle Netzwerk aus, das deinem VPN-Gateway zugeordnet ist (ähnlich einer VPC in der AWS-Umgebung).
    Wähle unter Active-Active-Modus aktivieren die Option Deaktiviert aus, um eine neue öffentliche IP-Adresse zu erstellen, die in der AWS-Managementkonsole als Kunden-Gateway-IP-Adresse verwendet wird.
    Wähle für BGP konfigurieren die Option Aktiviert aus.
    Wähle für die benutzerdefinierte Azure APIPA-BGP-IP-Adresse 169.254.21.2 aus.
    Hinweis: Die ASN, die du für das VPN-Gateway verwendest, muss mit der ASN des Kunden-Gateways in der AWS-Managementkonsole (65000) übereinstimmen.

Erstelle ein Kunden-Gateway und eine AWS Site-to-Site VPN-Verbindung auf der AWS-Seite

Führe die folgenden Schritte aus:

  1. Erstellen eines Kunden-Gateways.
    Für BGP ASN kannst du deine eigene hinzufügen oder die Standardoption (65000) verwenden. Wenn du die Standardeinstellung wählst, stellt AWS eine Autonome Systemnummer (ASN) für dein Kunden-Gateway bereit.
    Gib als IP-Adresse die öffentliche Azure-IP-Adresse ein, die du bei der Konfiguration des VPN-Gateways im Azure-Portal verwendet haben. Weitere Informationen findest du in Schritt 2 des Abschnitts Azure-Konfiguration dieses Artikels.
  2. Die AWS Site-to-Site-VPN-Verbindung erstellen.
    Wähle für den Bereich Internes IPv4 CIDR für Tunnel 1 für deine Site-to-Site VPN eine Adresse aus der von Azure reservierten automatischen privaten IP-Adressierung (Automatic Private IP Addressing, APIPA) aus. APIPA-Adressen reichen von 169.254.21.0 bis 169.254.22.255 für Tunnel innerhalb der IPv4-CIDR-Adresse.
    Beispiel für eine Adresse: 169.254.21.0/30
    Beispiel für eine BGP-IP-Adresse (AWS): 169.254.21.1
    Beispiel für eine Peer-IP-Adresse (Azure): 169.254.21.2
    Wähle als **Ziel-Gateway-Typ ** entweder das Virtual Private Gateway oder das Transit-Gateway aus.
    Wähle unter Routing-Optionen Dynamisch aus.
  3. Lade die AWS-Konfigurationsdatei herunter.

Erstelle ein lokales Netzwerk-Gateway auf der Azure-Seite

Führe die folgenden Schritte aus:

  1. Verwende das Azure-Portal, um ein lokales Netzwerk-Gateway zu erstellen. Weitere Informationen findest du unter Erstellen eines lokalen Netzwerk-Gateways auf der Microsoft-Website. Ergreife die folgenden Maßnahmen:
    Gib als IP-Adresse die öffentliche IP-Adresse von Tunnel 1 ein, die du bei der Erstellung eines Site-to-Site VPN erhalten hast. Du siehst dies in Abschnitt 3 der Konfigurationsdatei, die du von der AWS-Managementkonsole heruntergeladen hast.
    Gib für Adressraum den Amazon VPC CIDR-Block ein.
    Gib für die Autonome Systemnummer (ASN) die AWS-ASN ein.
    Gib für die BGP-Peer-IP-Adresse die AWS-BGP-IP-Adresse ein. Weitere Informationen findest du in Schritt 2 des Abschnitts AWS konfigurieren dieses Artikels.
  2. Erstellen eine Site-to-Site-VPN-Verbindung mit aktiviertem BGP im Azure-Portal. Weitere Informationen findest du unter Erstellen von VPN-Verbindungen auf der Microsoft-Website.
    **Hinweis:**Die kryptografischen Algorithmen und der vorinstallierte Schlüssel (pre-shared key, PSK) sind in Azure und AWS identisch.
    Phase 1 (IKE): 
    Encryption: AES56      Authentication: SHA256      DH Group: 14
    Phase 2 (IPSEC): 
    Encryption: AES256      Authentication: SHA256      DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
    Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

Richte Active-Active-BGP-Failover mit Site-to-Site-VPN zwischen AWS und Azure ein

Führe die folgenden Schritte aus:

  1. Erstelle im Azure-Portal ein VPN-Gateway.
    Wähle für den Active-Active-Modus die Option Aktiviert. Dies bietet zwei öffentliche IP-Adressen. Weitere Informationen findest du unter Erstellen eines VPN-Gateways auf der Microsoft-Website.
  2. Öffne die Amazon-VPC-Konsole.
  3. Wähle Kunden-Gateways.
  4. Gib in Schritt 1 die beiden öffentlichen IP-Adressen ein, die im Azure-Portal bereitgestellt wurden, um zwei Kunden-Gateways zu erstellen.
    Gib für BGP ASN die ASN ein, die du im Azure-Portal konfiguriert hast.
    Wähle unter Routing-Typ Dynamisch aus.
  5. Erstelle zwei Site-to-Site-VPN-Verbindungen, die entweder eine Verbindung zu einem Virtual Private Gateway oder einem Transit-Gateway herstellen. Verwende die folgenden CIDR-Bereiche für den **Tunnel innerhalb der IP-Adressbereiche ** auf Tunnel 1 jeder VPN-Verbindung:
    Verwende für Site-to-Site-VPN 1 169.254.21.0/30.
    Verwende für Site-to-Site-VPN 2 169.254.22.0/30.
    **Hinweis:**Die ersten IP-Adressen (21.1 und 22.1) in diesem Bereich werden den Site-to-Site-VPN-Endpunkten zugewiesen. Stelle sicher, dass du die zweiten IP-Adressen in Azure (21.2 und 22.2) korrekt konfigurierst.
  6. Verwende das Azure-Portal, um zwei lokale Azure-Netzwerk-Gateways zu erstellen. Verwende für die IP-Adressen die öffentlichen IP-Adressen von Tunnel 1 aus deinen AWS Site-to-Site-VPN-Tunneln. Stelle außerdem sicher, dass die ASN mit dem Virtual-Private-Gateway oder Transit-Gateway übereinstimmt. Weitere Informationen findest du unter Erstellen eines VPN-Gateways auf der Microsoft-Website.
  7. Verwende das Azure-Portal, um zwei Azure-Site-to-Site-VPN-Verbindungen herzustellen. Stelle sicher, dass jede Verbindung über ein Azure VPN Gateway verfügt, das auf die lokalen Netzwerk-Gateways verweist, die du im vorherigen Schritt erstellt hast.

Hinweis: Um das ECMP auf Active-Active-Setup zu erreichen, musst du die **VPN-ECMP-Unterstützung ** auf dem Transit-Gateway aktivieren.

Überprüfe den VPN-Verbindungsstatus

Nachdem du deine Site-to-Site-VPN-Konfiguration eingerichtet hast, stelle sicher, dass der VPN-Tunnelstatus UP lautet.

Stelle im Azure-Portal sicher, dass die VPN-Verbindung den Status Erfolgreich hat. Stelle dann sicher, dass sich der Status in Verbunden ändert, wenn du eine erfolgreiche Verbindung herstellst. Weitere Informationen findest du unter Überprüfen der VPN-Verbindung.

Erstelle dann eine Amazon-Elastic-Compute-Cloud(Amazon EC2)-Instance in deiner Amazon VPC, um die Konnektivität zwischen AWS und Azure zu überprüfen. Stelle eine Verbindung mit der privaten IP-Adresse der virtuellen Azure-Maschine (VM) her und bestätige dann, dass du die Site-to-Site-VPN-Verbindung hergestellt hast. Weitere Informationen findest du unter Erstellen einer Site-to-Site-VPN-Verbindung im Azure-Portal auf der Microsoft-Website.

Weitere Informationen findest du unter Testen einer AWS Site-to-Site VPN-Verbindung.

Hinweis: Stelle bei Transit-Gateway-VPN-Verbindungen sicher, dass die richtigen Transit-Gateway-Anhänge sowohl für die VPC als auch für das Site-to-Site-VPN vorhanden sind. Schalte dann die Routenweitergebung ein. CIDR-Routen für Azure Virtual Network werden erst weitergegeben, nachdem du BGP eingerichtet hast.

Themen
Networking & Content Delivery
Tags
AWS Virtual Private Network (VPN)
Sprache
Deutsch
AWS OFFICIALAktualisiert vor 6 Monaten

Relevanter Inhalt