跳至内容
使用AWS re:Post即您表示您同意 AWS re:Post 使用条款
AWS re:Postre:Post
关于 re:Post

如何将我的 VPN 从虚拟私有网关迁移到中转网关?

2 分钟阅读
0

我想使用中转网关在 Amazon Virtual Private Cloud (Amazon VPC) 和虚拟专用网络 (VPN) 之间提供安全连接。如何将我的 VPN 从虚拟私有网关迁移到中转网关?

解决方法

请按照以下步骤完成从虚拟私有网关到中转网关的 VPN 迁移。

**注意:**如果在运行 AWS 命令行界面 (AWS CLI) 命令时遇到错误,请确保您使用的是最新版本的 AWS CLI

步骤 1: 创建中转网关

按照步骤创建中转网关

**注意:**确保选择 Auto accept shared attachments(自动接受共享挂载)以自动接受跨账户挂载。

使用 AWS CLI 创建中转网关:

aws ec2 create-transit-gateway

步骤 2: 将您的 VPC 连接到中转网关

按照步骤将您的 VPC 连接到中转网关

您必须从每个可用区中指定一个子网,供中转网关用于路由流量。从每个可用区指定一个子网可使流量到达该可用区中每个子网的资源。

**注意:**最佳做法是在每个可用区为中转网关的弹性网络接口创建一个单独的子网。

使用 AWS CLI 将 VPC 连接到中转网关:

aws ec2 create-transit-gateway-vpc-attachment
--transit-gateway-id tgw-14324bbc412a43243
--vpc-id vpc-2321314314
--subnet-ids "subnet-12312312" "subnet-41343432"

步骤 3: 移除您的静态 VPN 路由(静态 VPN 连接迁移到中转网关的必要步骤)

按照步骤移除静态 VPN 路由

使用 AWS CLI 移除静态 VPN 路由:

aws ec2 delete-vpn-connection-route
    --vpn-connection-id vpn-12345678901234567
    --destination-cidr-block 10.0.0.0/8

步骤 4: 将现有的 Site-to-Site VPN 迁移到中转网关

将您的 VPN 目标从虚拟网关迁移到新的中转网关:

1.    打开 Amazon VPC 控制台

2.    在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。

3.    选择 Site-to-Site VPN connection(Site-to-Site VPN 连接),再选择 Actions(操作),然后选择 Modify VPN Connection(修改 VPN 连接)。

4.    对于 Target Type(目标类型),选择 Transit Gateway(中转网关)。

5.    从 target transit gateway ID(目标中转网关 ID)下拉列表中选择您的中转网关。

6.    选择 Save(保存)。

使用 AWS CLI 将 Site-to-Site VPN 目标迁移到新的中转网关:

aws ec2 modify-vpn-connection \
    --vpn-connection-id vpn-12345678901234567 \
    ----transit-gateway-id tgw-12345678910aa213

步骤 5: 更新或创建 VPC 路由表

1.    按照步骤修改或向路由表添加路由

2.    对于现有路由,将路由 Target(目标)从虚拟网关 ID 更改为新的虚拟网关 ID。

3.    如果不存在路由,则创建新路由,将中转网关 ID 作为 Target(目标)。

**注意:**即使路由表已启用传播功能,也必须包含 VPC 静态路由。

使用 AWS CLI 创建新的 VPC 路由:

aws ec2 create-route
    --route-table-id rtb-4011223344aabb55c
    --destination-cidr-block 10.0.0.0/8
    --transit-gateway-id tgw-12345678910aa213

使用 AWS CLI 修改现有路由:

aws ec2 replace-route
    --route-table-id rtb-4011223344aabb55c
    --destination-cidr-block 10.0.0.0/8
    --transit-gateway-id tgw-12345678910aa213

步骤 6: 更新中转网关路由表

按照步骤创建或传播中转网关路由表

使用 AWS CLI 创建中转网关路由:

aws ec2 create-transit-gateway-route \
    --destination-cidr-block 10.0.0.0/8 \
    --transit-gateway-route-table-id tgw-rtb-00abc11def22ghi33 \
    --transit-gateway-attachment-id tgw-attach-123abc456def789gh

**注意:**迁移 VPN 目标会导致短暂的服务中断,直到 Site-to-Site VPN 修改完成。

相关信息

中转网关设计最佳实践

从 Transit VPC 迁移到 AWS Transit Gateway

主题
Networking & Content Delivery
标签
AWS Transit Gateway
语言
中文 (简体)
AWS 官方已更新 4 年前
没有评论

相关内容