0
点赞
收藏
分享

微信扫一扫

AWS China与Azure混合组网

高子歌 2022-05-11 阅读 81

因为某种原因,AWS China暂时无法部署VPN Connection到其他区域。不过我们可以选择使用在EC2上部署VPN Gateway的方式与本地网络或者其他云平台部署VPN,达到混合部署的目的

1. 组网架构

本次测试组网架构如下:
AWS2AzureVPN.drawio.png

2. 前期准备

Azure上的Vnet与VPN Gateway的部署不在本次文档中叙述

部署Azure侧的VPN Gateway后,记录VPN Gateway的公网IP:40.73.77.103

同时记录VPN的秘钥,本例以:aws2azure为例

3. 部署VPC

部署VPC,部署步骤请参考:AWS的EC2部署SQL Server Always-On集群(一)---部署VPC_GaryCloud的技术博客_51CTO博客

4. 部署EC2

4.1 部署安全组

在安全组页面,点击创建安全组

20220510230857image.png

4.2 部署EC2

在Public Subnet-1中部署一台具有公网IP的EC2虚拟机,具体步骤参考:AWS的EC2部署SQL Server Always-On集群(二)---部署EC2_GaryCloud的技术博客_51CTO博客

部署时,选择4.1中创建的安全组

20220510173105image.png

5. 部署VPN

登陆步骤4中创建的虚拟机

5.1 安装软件

安装VPN软件(本例以openswan为例)

sudo yum -y install openswan

5.2 配置VPN

配置/etc/ipsec.conf文档

修改/etc/ipsec.conf去掉最后一行include /etc/ipsec.d/*.conf 的注释

cat /etc/ipsec.conf | grep -Ev '^$|#'
config setup
        plutodebug=none
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10
include /etc/ipsec.d/*.conf

输入:sudo vim /etc/ipsec.d/aws.conf,进入编辑模式,输入下列内容

conn aws
        authby=secret
        auto=start
        left=%defaultroute
        leftsubnet=10.0.0.0/16
        leftnexthop=%defaultroute
        right=40.73.77.103
        rightsubnet=10.1.0.0/16
        keyingtries=%forever
        aes128-sha1-modp1024
        esp=3des-sha1,aes128-sha1
        ikelifetime=28800s
        salifetime=3600s
        pfs=no

配置密钥:

输入:sudo vim /etc/ipsec.d/aws.secrets,进入编辑模式,输入:

161.189.108.252 40.73.77.103: PSK "aws2azure"

5.3 设置系统参数

配置系统转发

编辑/etc/sysctl.conf内核配置文件,做如下修改:vim /etc/sysctl.conf

net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.eth0.send_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.eth0.accept_redirects = 0

配置完成以后,启用新的配置

sysctl -p

5.4 启动VPN链接

启动IPSec

sudo service ipsec start

sudo ipsec verify

若ipsec verify遇到报错,根据具体报错进行检测并重新设置

5.5 查看VPN状态

5.5.1 在AWS侧查看VPN状态
service ipsec status

20220511000220image.png

5.5.2 在Azure侧查看VPN状态

20220511000308image.png

6. 测试VPN连通性

6.1 在AWS侧建立一台EC2虚拟机

在Private Subnet-1中部署一台虚拟机,具体步骤参考:AWS的EC2部署SQL Server Always-On集群(二)---部署EC2_GaryCloud的技术博客_51CTO博客

6.2 创建VPN路由

在关联Private Subnet的路由表中添加如下路由

20220510235144image.png

6.3 测试连通性

在AWS侧,登陆虚拟机TestVM2后,ping Azure端虚拟机,可以连通

20220511000442image.png

同样的,在Azure层的TestVM1中,ping AWS虚拟机,也可以ping通
20220511000521image.png

举报

相关推荐

0 条评论