Все это в среде AWS VPC.
У нас есть старая машина с Ubuntu 12.04, на которой работает OpenSwan, который управляет множеством VPN-подключений. До сих пор это хорошо работало для нас, но 12.04 больше не поддерживается, а OpenSwan - EOL, поэтому мы хотим перейти на 18.04 и LibreSwan (которые, как мы понимаем, должны быть в значительной степени совместимы).
У меня вопрос: какие у нас есть варианты сделать это с минимальным временем простоя и без согласования с другими сторонами всех этих подключений?
Теоретически я мог бы просто собрать коробку, скопировать конфигурации и в какой-то момент перевернуть виртуальный IP-адрес, но это звучит ... вряд ли будет хорошо работать без большого количества простоев.
В идеале я хотел бы каким-то образом направлять только один источник в новый ящик за раз и переносить их понемногу, тестируя по ходу. Но я не знаю, какую магию маршрутизации мне нужно сделать, чтобы это произошло на уровне VPC или на другом уровне. Насколько я могу судить, виртуальные общедоступные IP-адреса AWS могут принадлежать только одной машине за раз, поэтому я не уверен, как я буду перенаправлять весь трафик, скажем, с одного из других шлюзов на новый ящик, оставив остальной на старом.
Одно упрощение заключается в том, что весь частный трафик остается на этом хосте. IE, мы не маршрутизируем трафик ЧЕРЕЗ этот ящик, а скорее этот ящик имеет дело со всем этим частным трафиком внутри. Так что я думаю, что это упрощение.
Конечно, я не могу быть первым, кто столкнется с этим, как выполняются такие миграции ipsec?