使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

如何使用動態 BGP 在 AWS 和 Oracle Cloud Infrastructure 之間設定 VPN 通道?

2 分的閱讀內容
0

我想使用動態邊界閘道協定 (BGP) 在 AWS 和 Oracle Cloud Infrastructure (OCI) 之間設定虛擬私有網路 (VPN) 通道。

解決方法

若要在 AWS 和 OCI 之間設定 AWS Site-to-Site VPN 通道,請遵循下列步驟:

  • 在 OCI 端,設定虛擬雲端網路 (VCN)、子網路以及安全清單和規則。
  • 在 AWS 端,設定 Amazon Virtual Private Cloud (Amazon VPC)、子網路和路由。

AWS 組態

  1. 開啟 Amazon VPC 主控台,然後建立客戶閘道。因為您尚不知道 OCI VPN 閘道的 IP 地址,因此可以新增任何您偏好的詳細資訊。稍後,您可以指定正確的客戶閘道 IP 地址和自治系統編號 (ASN)。 
    **注意:**您必須使用 AWS 建立客戶閘道。Amazon VPC 主控台允許您在設定客戶閘道後對其進行變更,而 OCI 則無法。
  2. 開啟 Amazon VPC 主控台建立虛擬私有閘道,然後將其附加到您的 Amazon VPC。
  3. 建立 VPN 連線。對於虛擬私有閘道,選擇您建立的虛擬私有閘道的名稱。對於客戶閘道 ID,選擇您建立的客戶閘道的 ID。對於路由選項,選擇動態 (需要 BGP)。(選用) 在通道 1 進階選項下,啟用進階加密演算法。
    **重要事項:**檢查 P****re-shared 金鑰是否僅包含字母和數字。OCI 不支援某些字元,且 AWS 不支援在預先共用金鑰中使用空格。您也可以輸入自己的預先共用金鑰,以確保其僅包含字母和數字。
  4. 下載一般 Site-to-Site VPN 組態檔案。使用此檔案中的資訊在 OCI 主控台中設定 VPN 通道。

OCI 組態

  1. 開啟 Oracle Cloud 主控台
  2. 按照 Oracle 網站上的指示建立客戶終端設備。在導覽窗格中,選擇網路,然後選擇客戶終端設備
  3. 對於公有 IP 地址,輸入您下載的組態檔案中的通道 A 外部 IP 地址。
  4. 選擇動態路由閘道,然後建立動態路由閘道。將動態路由閘道附加至 VCN。您可以在 Oracle Cloud 主控台中建立 VCN,或將其附加到現有的 VCN。若要尋找您的 VCN,請從導覽窗格中選擇網路。然後,選擇虛擬雲端網路
  5. 在 Oracle Cloud 主控台中建立 Site-to-Site VPN 連線。輸入您建立的客戶終端設備和動態路由閘道的詳細資訊。
    重要事項: 選擇建立 IPSec 連線, 之前,您必須設定 Tunnel1Tunnel2 設定。選擇顯示進階選項,然後輸入您下載的組態檔案中的預先共用金鑰和 BGP 詳細資訊。對於 Tunnel2,請提供任意資訊,因為您無法使用 OCI 設定第二個通道。將路由規劃類型設定為 BGP
  6. 在 OCI 端建立 Site-to-Site VPN 後,您可以檢視 AWS-Tunnel1 的公有 IP 地址。請記下該 IP 地址,以在下列步驟中使用。

在 Amazon VPC 主控台上設定 VPN 閘道

  1. 開啟 Amazon VPC 主控台,然後建立客戶閘道。對於 IP 地址,輸入 AWS-Tunnel1 的 IP 地址。對於 BGP ASN,輸入 31898。這是動態路由閘道的預設 BGP ASN。
  2. 導覽至您的 Site-to-Site VPN 連線。選擇動作,然後選擇修改 VPN 連線。更新客戶閘道的目標類型,然後選擇客戶閘道。

**注意:**AWS 修改和更新 Site-to-Site VPN 連線需要幾分鐘的時間。

確認通道狀態為 UP,然後測試該連線

  1. AWS 完成修改 Site-to-Site VPN 連線後,請確認通道和 BGP 處於 UP 狀態。您必須在 AWS 端和 OCI 端確認這一點。此外,請確認您具有正確路由。當通道啟動時,預設情況下,兩個雲端都不允許流量流動。
  2. 在 Oracle Cloud 主控台上,設定安全清單網路安全群組,以允許流量在 OCI 和 AWS 之間流動。
  3. 在 Amazon VPC 主控台上,設定與您的連線相關聯的網路 ACL安全群組,以允許流量在 AWS 和 OCI 之間流動。
  4. 執行雙向連線測試,檢查 OCI 和 AWS 之間的通道連線。請務必執行從 AWS 到 OCI 以及從 OCI 到 AWS 的 ping 測試。

設定 AWS 和 OCI 之間的備援 VPN 連線

您只能使用一個內部部署 IP 地址 (客戶閘道 IP 地址) 來設定 AWS 和 OCI Site-to-Site VPN 服務。您必須重複上述所有步驟,才能建立第二個 Site-to-Site VPN 連線。使用一個作用中通道和一個複製通道,以便在一個通道停機時,BGP 路由會自動透過第二個通道進行路由。

主題
網路與內容交付
標籤
AWS Virtual Private Network (VPN)
語言
中文 (繁體)
AWS 官方
AWS 官方已更新 1 年前
沒有評論

相關內容