У нас есть производственная среда на EC2 classic, и у нас есть аренда некоторых серверов в среде управляемого хостинга. Мы хотели бы разместить часть нашей серверной службы в центре обработки данных, но в приложение еще не встроена защита, поэтому нам нужно полагаться на частные сети и VPN. Я думаю, что это будет проще, когда мы перейдем на VPC, поскольку AWS уже предоставляет такие услуги, но мы еще не достигли этого.
EC2 Classic помещает все экземпляры в 10.0.0.0/8. В нашем центре обработки данных также есть подсеть в этом диапазоне, но я подозреваю, что мы можем это изменить. В центре обработки данных есть два маршрутизатора, которые могут подключаться к IPSEC VPN.
Службы, работающие в центре обработки данных, должны иметь возможность инициировать подключения к службам в EC2, а также получать соединения, инициированные службами в EC2.
Я уверен, что если бы нашим службам в центре обработки данных требовалось только инициировать подключения к службам в EC2, тогда это было бы просто вопросом настройки конечных точек VPN в EC2 для подключения маршрутизаторов в центре обработки данных, используя другой подсети в центре обработки данных и, наконец, маршрутизируйте все подключения к 10.0.0.0/8 через VPN.
В другом направлении, является ли лучший вариант настроить дополнительный маршрут на всех экземплярах EC2, которым необходимо инициировать подключения к службам в центре обработки данных?
Вам необходимо разместить свои инстансы в Amazon VPC, используя то, что Amazon называет «аппаратным подключением» к вашему центру обработки данных. Для этого есть два сценария: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenarios.html Я не буду копировать и вставлять то, что уже сказано в документе, поскольку он довольно информативен.
Сценарии 3 и 4 относятся к вашему варианту использования.
Для ваших конкретных вопросов
Вы можете использовать Endian или pfSense для создания сетей IPSec Site to Site VPN. Оба имеют небольшие размеры и легко настраиваются с хорошей документацией и даже с видеоуроками.