更新信息(2022年10月13日)
本文更新了AWS管理控制台的操作流程,并提供了CDK和Terraform代码链接。
什么是AWS Site-to-Site VPN?
AWS Site-to-Site VPN是Amazon的管理IPSec VPN解决方案,它是客户在本地环境与AWS之间安全连接的常用方式之一。客户使用该服务的一个主要好处是无须管理基于EC2实例构建的第三方或自定义VPN解决方案。该原生服务已经构建为高可用性,支持在两个不同的可用区中建立两个隧道,并与AWS Transit Gateway(通过VPN附件)原生集成,使客户能够通过单个基于Transit Gateway的VPN连接扩展到多个VPC。
客户使用AWS Site-to-Site VPN的优势
安全性和合规性
客户在使用AWS Site-to-Site VPN时,常常面临安全和合规的要求。例如,金融服务、医疗保健和联邦机构等行业对网络流量的加密有严格要求。这包括在本地环境与AWS之间的Direct Connect连接。Private IP VPN确保AWS和本地网络之间的流量可以通过仅使用私有IP地址进行加密,从而满足客户的监管和安全需求。
交通分段
客户希望通过Direct Connect将本地网络连接到Transit Gateway时,可以使用Transit VIF。然而,客户可能已经达到每个AWS Direct Connect专用或托管连接的Transit虚拟接口配额。Private IP VPN允许客户创建多个AWS Site-to-Site VPN连接,通过Transit VIF扩展他们的虚拟路由转发(VRF),确保每个分段都仅使用私有IP进行加密。
更高的路由规模
使用Direct Connect的客户常常面临路由公告的限制:目前限制为20个出站路由和100个入站路由。通过Private IP VPN,客户现在可以实现5,000个出站路由和1,000个入站路由的广告,同时保证流量加密。
Private IP VPN的工作原理
Private IP VPN连接需要Direct Connect网关和Transit VIF作为底层传输。Private IP VPN附件随后与Transit Gateway上的相应Direct Connect网关附件关联。每个Private IP VPN连接由两个IPSec隧道组成,这些隧道加密所有通过这些隧道的网络流量。您可以为IPSec隧道的两端分配私有IP地址(Transit Gateway和本地路由器)。
使用案例
以下是该功能的一些典型使用案例:
1. 安全和合规要求
客户在进行网络通信时需要强大的加密,Private IP VPN可以确保通过Direct Connect的流量加密,满足客户的合规性。
2. 交通分段
客户可以通过创建多个Site-to-Site Private IP VPN连接来扩展不同的VRF,从而实现流量分段。
3. 更高的路由规模
通过Private IP VPN,客户可以大幅提高路由公告的数量,同时保持流量加密。
操作流程指南
您可以使用AWS管理控制台或命令行界面(CLI)创建AWS Site-to-Site Private IP VPN。本文将展示这两种选项。我们将从已经创建的Direct Connect连接和Transit VIF开始。
步骤1:创建Direct Connect网关
首先,我们创建AWS Direct Connect网关:
bash
aws directconnect create-direct-connect-gateway --direct-connect-gateway-name "DxGatewayPrivateIP"
要获取新创建的Direct Connect网关的ID,我们将使用Direct Connect网关名称过滤结果:
bash
DXGWID=$(aws directconnect describe-direct-connect-gateways | jq -r '.directConnectGateways[] | select(.directConnectGatewayName == "DxGatewayPrivateIP") | .directConnectGatewayId')
结论
AWS Site-to-Site VPN为客户提供了一种高效、安全的方式来连接本地网络与AWS,满足多种合规与安全需求。通过Private IP VPN,客户可以轻松地实现流量的加密和分段,提升网络的安全性与灵活性。
如需更多信息或操作指导,请参考AWS官方文档或相关资源。
