Назад | Перейти на главную страницу

Подключение к нескольким AWS VPC через одно VPN-соединение

Я хочу заблокировать существующую настройку AWS. На данный момент все находится в одном VPC по умолчанию (тестовое, промежуточное, производственное) и все в общедоступных подсетях.

Мой план состоит в том, чтобы разделить 3 среды на 3 разных VPC, используя общедоступные и частные подсети.

Мы также хотим ограничить доступ к серверам, поскольку в настоящее время у них есть общедоступные IP-адреса, и любой может получить к ним доступ. В идеале я бы просто добавил IP в белый список, но это удаленная команда, и они работают повсюду, поэтому у меня есть динамические IP-адреса, с которыми нужно бороться.

Я планирую использовать экземпляр OpenVPN и заставить людей подключаться через него. Исходя из моего крайне ограниченного понимания (опыт работы программистом, очень ограниченный опыт работы в сети), это должно работать.

У меня вопрос, у нас будет 3 VPC, и экземпляр VPN должен будет жить в одном из них. Как лучше всего разрешить доступ к двум другим VPC через VPN? Это лучший подход (прямой доступ), или я должен иметь VPN-соединение для каждого VPC. Последнее кажется излишним, но я не уверен.

Спасибо.

Редактировать: Или другой вариант - иметь только один VPC, но изолировать тестирование, подготовку и производство с помощью подсетей? Я читал, что некоторые люди это делают, хотя и не идеально.

Лучший вариант - фактически использовать VPN, которую AWS уже включает в свою настройку VPC. Говоря о том, что вы уже настроили то, что пытаетесь сделать. Предполагая, что ваши пользователи подключаются к центральному расположению, например, к офису или центру обработки данных, это вариант. Если это не так, тогда подойдет расширенная версия приведенной ниже настройки, добавив еще один экземпляр VPN для подключения людей.

Если вам нужно, чтобы VPC также общались друг с другом, вам нужно настроить несколько экземпляров VPN, по крайней мере, один на каждый VPC, желательно более одного для избыточности, но для этого вам понадобится еще один экземпляр для управления отработка отказа и обновите таблицы маршрутизации AWS с новым путем.

Опция 1:

Центральный VPN-сервер, к которому пользователи могут подключаться в AWS, с созданными на нем туннелями для маршрутизации трафика к другим вашим VPC. Вам потребуются другие экземпляры в отдельных VPC для создания VPN-туннеля.

Вариант 2:

Центральный VPN-сервер, к которому пользователи могут подключаться в AWS. Один или несколько других экземпляров VPN для каждого VPC, настроенных с туннелями для подключения к другим VPC.

Вариант 3:

Функциональность AWS VPN для центрального офиса или центра обработки данных, где настроен пользовательский VPN. Один или несколько экземпляров VPN в AWS с туннелями, настроенными для подключения между VPC.

К сожалению, Amazon не имеет настроек для VPN между VPC, поэтому в случаях, когда я предлагаю туннель, вам, конечно, понадобится набор экземпляров, по крайней мере, для каждой настройки туннеля.

Я действительно думаю, что ответ находится в этом AWS документация: Конфигурации с маршрутами ко всему блоку CIDR

После этой конфигурации я смог запустить единственный экземпляр VPN.

Добавьте маршрутизацию для однорангового соединения в таблицу маршрутов, связанную с подсетью, в которой есть мой ящик vpn, таким же образом в подсети однорангового VPC, где находятся ящики, к которым я хочу получить доступ

я мог ssh в эти коробки без проблем