使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

如何在 AWS 和 Microsoft Azure 之间配置使用动态路由的 Site-to-Site VPN 连接?

3 分钟阅读
0

我想要使用边界网关协议(BGP)在 AWS 和 Microsoft Azure 之间配置 AWS Site-to-Site VPN 连接。

解决方法

注意: 有关优化性能的详细信息,请参阅 AWS Site-to-Site VPN,选择正确的选项来优化性能

先决条件

在配置连接之前,请检查以下各项:

  • 确保您有与虚拟专用网关关联或连接到中转网关的 Amazon Virtual Private Cloud(Amazon VPC)CIDR。
  • 确保 Amazon VPC CIDR 与 Microsoft Azure 网络 CIDR 不重叠。

AWS 配置

1.    创建客户网关

2.    验证自治系统号(ASN)。您可以添加自己的选项,或使用默认选项(65000)。如果您选择默认值,AWS 会为您的客户网关提供 ASN。

3.    对于客户网关 IP 地址,输入 Microsoft Azure 公有 IP 地址。当您在 Microsoft Azure 门户中配置虚拟网络网关时,会为您提供此地址。有关详细信息,请参考本文中“Microsoft Azure 配置”部分的步骤 2。

4.    创建 AWS Site-to-Site VPN

5.    从 Microsoft Azure 预留 APIPA 地址范围中为 Site-to-Site VPN 选择地址。这是必要步骤,因为您在为 Microsoft Azure 设置 BGP Site-to-Site VPN,而 AWS Site-to-Site VPN 设备为 BGP 使用 APIPA 地址。对于 IPv4 CIDR 地址内的隧道,此范围从 169.254.21.0169.254.22.255。请参见以下示例:

地址示例: 169.254.21.0/30   

BGP IP 地址(AWS): 169.254.21.1

BGP 对等 IP 地址(Microsoft Azure): 169.254.21.2

6.    为网关选择虚拟专用网关或中转网关,然后为路由选项选择动态

7.    选择您的 VPN ID,然后对于供应商选择一般

8.    下载 AWS 配置文件

如果您要与中转网关建立 Site-to-Site VPN 连接,确保您有正确的中转网关连接。同时对 Amazon VPC 和 Site-to-Site VPN 执行此操作。此外,启用路由传播。最初,只会传播 Amazon VPC 路由。在建立 BGP 之前,Microsoft Azure 虚拟网络 CIDR 不会在中转网关路由表中传播。

Microsoft Azure 配置

1.    按照 Microsoft 网站上的说明在 Microsoft Azure 中创建虚拟网络

2.    按照 Microsoft 网站上的说明创建分配有公有 IP 地址的虚拟网络网关。使用以下详细信息:

**区域:**选择要在其中部署虚拟网络网关的区域。

网关类型: VPN

VPN 类型: 基于路由

**SKU:**选择符合您的工作负载、吞吐量、功能和 SLA 要求的 SKU。

虚拟网络: 虚拟网络与虚拟网络网关关联(类似于 AWS 环境中的 VPC)。

启用主动-主动模式: 选择禁用。这将创建新的公有 IP 地址,在 AWS 管理控制台中用作客户网关 IP 地址。

配置 BGP: 选择启用

自定义 Azure APIPA BGP IP 地址: (169.254.21.2)。

注意: 您为虚拟网络网关指定的 ASN 必须与 AWS 管理控制台中的客户网关 ASN(65000)相同。

3.    按照 Microsoft 网站上的说明创建本地网络网关。使用以下详细信息:

IP 地址: 输入您在创建 AWS Site-to-Site VPN 时收到的隧道 1 的公有 IP 地址。您可以在从 AWS 管理控制台下载的配置文件中查看此信息。

地址空间: 输入 Amazon VPC CIDR 块。

自治系统号(ASN): 输入 AWS ASN。

**BGP 对等 IP 地址:**输入 AWS BGP IP(如 AWS 配置的步骤 5 所示)。

4.    按照 Microsoft 网站上的说明在启用 BGP 的情况下在 Microsoft Azure 门户中创建 Site-to-Site VPN 连接

**注意:**Microsoft Azure 端和 AWS 端的加密算法和 PSK 是相同的。

第 1 阶段(IKE):

    Encryption: AES56  
    Authentication: SHA256  
    DH Group: 14

第 2 阶段(IPSEC):

    Encryption: AES256  
    Authentication: SHA256  
    DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
    Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

在 AWS 和 Microsoft Azure 之间使用 AWS Site-to-Site VPN 设置主动/主动 BGP 失效转移

1.    按照 Microsoft 网站上的说明创建虚拟网络网关。对于启用主动-主动模式,选择启用。这将提供两个公有 IP 地址。

2.    打开 AWS Site-to-Site VPN 控制台。使用 Microsoft Azure 门户中虚拟网络网关的两个公有 IP 地址创建两个客户网关。使用以下详细信息:

**IP 地址:**为第一个客户网关输入 Azure 公有节点 1 IP 地址,为第二个客户网关输入 Azure 公有节点 2 IP 地址。

**BGP ASN:**输入您在 Microsoft Azure 端配置的 ASN。

路由类型:选择动态

3.    在 AWS 管理控制台中,创建两个连接到虚拟专用网关或中转网关的 Site-to-Site VPN 连接。对于两个 Site-to-Site VPN 连接的隧道 1,为 BGP 对等 IP 地址输入:

Site-to-Site VPN 1: 169.254.21.0/30

Site-to-Site VPN 2: 169.254.22.0/30

IP /30 地址中的第一个 IP 地址被分配给 AWS Site-to-Site VPN BGP IP 地址(169.254.21.1 或 69.254.22.1),第二个 IP 地址被分配给 Microsoft Azure BGP IP(169.254.21.2 或 69.254.22.2)。

4.    使用 Microsoft Azure 门户,创建两个 Microsoft Azure 本地网络网关。对于 IP 地址,使用您的 AWS Site-to-Site VPN 隧道中的隧道 1 公有 IP 地址。另外,请确保 ASN 与虚拟专用网关或中转网关匹配。

5.    使用 Microsoft Azure 门户,创建两个 Microsoft Azure Site-to-Site VPN 连接。确保每个连接都有 Microsoft Azure 虚拟网络网关,指向您在上一步中创建的本地网络网关。

启用中转网关 ECMP 支持

在主动/主动设置中,两个 Site-to-Site VPN 连接在中转网关上终止,两个 Site-to-Site VPN 均配置了单一隧道。因此,在可能有的四个 Site-to-Site VPN 隧道中,有两个处于活动状态。当中转网关启用 ECMP 支持时,可以在两个 Site-to-Site VPN 连接之间实现流量负载均衡。如果一个 Site-to-Site VPN 连接进入关闭状态,将通过 BGP 自动失效转移到冗余链接。

验证 VPN 连接状态

  1. 建立 Site-to-Site VPN 配置后,检查 VPN 隧道状态是否处于正常运行状态。要完成此任务,在 Site-to-Site VPN 控制台上选择隧道详细信息选项卡。
  2. 在 Microsoft Azure 门户上,验证 VPN 连接。确认状态为成功,之后在成功建立连接时状态变为已连接
  3. 在您的 Amazon VPC 中创建 Amazon Elastic Compute Cloud(Amazon EC2)实例,验证 AWS 和 Microsoft Azure 之间的连接。然后,按照 Microsoft 网站上的说明连接到 Microsoft Azure VM 私有 IP 地址,确认 Site-to-Site VPN 连接已建立。

有关详细信息,请参阅测试 Site-to-Site VPN 连接我如何

检查 VPN 隧道的当前状态?

AWS 官方
AWS 官方已更新 2 年前