Назад | Перейти на главную страницу

Как настроить OpenVPN с несколькими VPC в разных регионах?

У меня в AWS разные VPC в разных регионах:

  1. 10.1.0.0/16(A)
  2. 10.2.0.0/16(B)
  3. 10.3.0.0/16(C)

Я подписался на эту статью (http://cloudacademy.com/blog/openvpn-aws-vpc/), чтобы открыть соединение vpn, чтобы позволить экземплярам сервера в B обмениваться данными с экземпляром RDS в частной подсети VPC A.

В ipsec.conf я сделал следующее:

rightsubnet = 10.2.0.0 / 16

Все работает нормально, но как мне подключить C к A? Мне нужно открыть другой экземпляр OpenVPN? Я почти уверен, что есть способ добиться этого.

AFAIK вам не нужно несколько VPN для подключения нескольких VPC. Должен работать один VPN в каждом VPC, настроенный для маршрутизации соответствующим образом. Вот статья с подробностями. См. Раздел «Подключение дополнительных VPC».

https://aws.amazon.com/articles/0639686206802544

К сожалению, для пиринга VPC должны находиться в одном регионе, поэтому пиринг не будет работать. Подключение VPC в разных регионах стало немного более компактным. Вот ссылка на статью, в которой рассказывается о различных вариантах. Для лучших решений требуется какой-то VPN через корпоративную сеть.

https://aws.amazon.com/answers/networking/aws-multiple-region-multi-vpc-connectivity/

Вот программное решение из статьи. Интересно, что «Ocedo AutoVPN в настоящее время обеспечивает расширенную автоматизацию сети для запуска, управления и настройки программных VPN-устройств для подключения нескольких VPC и сетей VPN с полной ячеистой структурой».

Программные устройства VPN

Этот подход использует возможности Amazon VPC для создания VPN-туннелей между инстансами EC2 для маршрутизации трафика между VPC в разных регионах. В этом варианте используются программные устройства VPN на основе EC2, управляемые клиентом или партнерской сетью AWS (APN), и он лучше всего подходит для клиентов, которые хотят управлять обоими сторонами VPN-подключений с помощью предпочитаемого поставщика программного обеспечения VPN.

Такой дизайн оптимизирует затраты на передачу данных по сети между регионами, однако требует от клиентов разработки и управления собственной конфигурацией высокой доступности для сетевых экземпляров EC2.

Детали конфигурации

В этой конструкции используются эластичные IP-адреса и интернет-шлюзы VPC для облегчения связи между программными устройствами VPN. Хотя инстансы EC2 настроены с общедоступными IP-адресами, сетевой трафик между регионами AWS по умолчанию проходит через магистраль глобальной сети AWS, что обычно обеспечивает более согласованное сетевое подключение с меньшей задержкой, чем эквивалентные подключения через Интернет. AWS Marketplace предоставляет несколько сторонних вариантов и вариантов с открытым исходным кодом (включая продукты от Cisco, Fortinet, Ocedo, OpenSWAN, OpenVPN, Palo Alto Networks, Sophos и Vyatta) для внедрения программных устройств VPN. Ocedo AutoVPN в настоящее время обеспечивает расширенную автоматизацию сети для запуска, управления и настройки программных VPN-устройств для подключения нескольких VPC и полносвязных сетей VPN.

Соображения

Продукты, доступные на AWS Marketplace, предоставляют дополнительные функции управления сетью для мониторинга и управления трафиком между VPC. К ним относятся дополнительные функции безопасности, такие как расширенный мониторинг, правила брандмауэра с учетом сетевых протоколов или универсальные возможности управления угрозами. Обратите внимание, что клиенты должны запускать сетевые устройства в каждом VPC, что приводит к дополнительным расходам на EC2 и, возможно, сторонним лицензионным платежам. Эти экземпляры EC2 также могут создать единую точку отказа в сетевой архитектуре и потенциальное узкое место в сети, поэтому обязательно выберите размер экземпляра устройства VPN, который будет соответствовать требованиям маршрутизации между регионами. Наконец, используйте автоматическое восстановление для EC2 или другие параметры сетевого мониторинга и восстановления, чтобы сократить время восстановления неисправных устройств VPN.

Для VPC в том же регионе:

Пиринг VPC, установите одноранговое соединение VPC с другими VPC. Итак, если сервер vpn находится в A, создается одноранговое соединение VPC от A к B и от A к C.

http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/Welcome.html

Для пиринга VPC в разных регионах:

Вы можете использовать программный VPN, такой как Openvpn или Strongswan.

Использует региональное сетевое оборудование AWS и Интернет-каналы между регионами

Настройка уровня 3 с OpenVPN

Настройка уровня 2 с OpenVPN

https://docs.openvpn.net/how-to-tutorialsguides/administration/exnding-vpn-connectivity-to-amazon-aws-vpc-using-aws-vpc-vpn-gateway-service/

https://s3.amazonaws.com/awsmedia/AWS_Amazon_VPC_Connectivity_Options.pdf