Verbinden von AWS und Azure mithilfe eines BGP-fähigen VPN-Gateways

  • Artikel

Dieser Artikel führt Sie durch das Einrichten einer BGP-fähigen Verbindung zwischen Azure und Amazon Web Services (AWS). Sie verwenden ein Azure VPN-Gateway mit BGP und aktivierter Aktiv-Funktion sowie ein virtuelles privates AWS-Gateway mit zwei Website-zu-Website-Verbindungen.

Aufbau

In diesem Szenario erstellen Sie die folgenden Ressourcen:

Azure

  • Ein virtuelles Netzwerk
  • Ein virtuelles Netzwerkgateway mit aktiver und aktivierter BGP-Funktion
  • Vier lokale Netzwerkgateways
  • Vier Site-to-Site-Verbindungen

AWS

  • Eine Virtual Private Cloud (VPC)
  • Ein virtuelles privates Gateway
  • Zwei Kundengateways
  • Zwei Standort-zu-Standort-Verbindungen, jeweils mit zwei Tunneln (insgesamt vier Tunnel)

Eine Standort-zu-Standort-Verbindung auf AWS verfügt über zwei Tunnel, von jedem mit einer eigenen IP-Adresse außerhalb und innerhalb von IPv4 CIDR (verwendet für BGP APIPA). Ein aktiv passives VPN-Gateway unterstützt nur eine benutzerdefinierte BGP-APIPA. Sie müssen active-active auf Ihrem Azure VPN-Gateway aktivieren, um eine Verbindung mit mehreren AWS-Tunneln herstellen zu können.

Auf der AWS-Seite erstellen Sie ein Kundengateway und eine Site-to-Site-Verbindung für jede der beiden Azure VPN-Gatewayinstanzen (insgesamt vier ausgehende Tunnel). In Azure müssen Sie vier lokale Netzwerkgateways und vier Verbindungen erstellen, um diese vier AWS-Tunnel zu empfangen.

Grafische Darstellung der Architektur für dieses Setup

Auswählen von BGP-APIPA-Adressen

Sie können die folgenden Werte für Ihre BGP-APIPA-Konfiguration im gesamten Tutorial verwenden.

Tunnel Azure Benutzerdefinierte IP-Adresse für Azure-APIPA-BGP IP-Adresse des Azure-BGP-Peers AWS Innerhalb von IPv4 CIDR
AWS Tunnel 0 zu Azure Instance 0 169.254.21.2 169.254.21.1 169.254.21.0/30
AWS Tunnel 2 zu Azure Instance 0 169.254.22.2 169.254.22.1 169.254.22.0/30
AWS Tunnel 1 zu Azure Instance 1 169.254.21.6 169.254.21.5 169.254.21.4/30
AWS Tunnel 2 zu Azure Instance 1 169.254.22.6 169.254.22.5 169.254.22.4/30

Sie können auch eigene benutzerdefinierte APIPA-Adressen einrichten. AWS erfordert für jeden Tunnel einen /30 Innerhalb von IPv4 CIDR im APIPA-Bereich von 169.254.0.0/16. Dieser CIDR muss auch im Azure-reservierten APIPA-Bereich für VPN von 169.254.21.0 bis 169.254.22.255sein. AWS verwendet die erste IP-Adresse Ihres /30 innerhalb von CIDR, und Azure verwendet die zweite. Dies bedeutet, dass Sie in AWS/30 CIDR Speicherplatz für zwei IP-Adressen reservieren müssen.

Wenn Sie z. B. Ihren AWS Innerhalb von IPv4 CIDR auf 169.254.21.0/30festlegen, verwendet AWS die BGP-IP-Adresse 169.254.21.1 und Azure verwendet die IP-Adresse 169.254.21.2

Wichtig

  • Ihre APIPA-Adressen dürfen sich zwischen den lokalen VPN-Geräten und allen verbundenen Azure-VPN-Gateways nicht überschneiden.
  • Um mehrere APIPA BGP-Peeradressen auf dem VPN-Gateway zu konfigurieren, müssen Sie auch alle Verbindungsobjekte mit der entsprechenden IP-Adresse Ihrer Wahl konfigurieren. Andernfalls verwenden alle Verbindungen die erste APIPA-IP-Adresse in der Liste, unabhängig davon, wie viele IP-Adressen vorhanden sind.

Voraussetzungen

Sie müssen sowohl über ein Azure-Konto als auch über ein AWS-Konto mit einem aktiven Abonnement verfügen. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein kostenloses Konto registrieren.

Teil 1: Erstellen eines aktiv aktiven VPN-Gateways in Azure

Erstellen eines VNET

Erstellen Sie ein virtuelles Netzwerk mit den folgenden Werten. Sie können die Schritte im Site-to-Site-Tutorial anwenden.

  • Abonnement: Falls Sie über mehrere Abonnements verfügen, sollten Sie sich vergewissern, dass Sie das richtige Abonnement verwenden.
  • Ressourcengruppe: TestRG1
  • Name: VNet1
  • Standort: East US
  • IPv4-Adressraum: 10.1.0.0/16
  • Subnetzname: FrontEnd
  • Subnetzadressbereich: 10.1.0.0/24

Erstellen eines Aktiv/Aktiv-VPN-Gateways

Erstellen Sie ein VPN-Gateway mit den folgenden Werten:

  • Name: VNet1GW
  • Region: East US
  • Gatewaytyp: VPN
  • VPN-Typ: Routenbasiert
  • SKU: VpnGw2AZ
  • Generation: Generation2
  • Virtuelles Netzwerk: VNet1
  • Adressbereich des Gatewaysubnetzes: 10.1.1.0/24
  • Öffentliche IP-Adresse: Neu erstellen
  • Öffentliche IP-Adresse: VNet1GWpip
  • Verfügbarkeitszone: Zonenredundant
  • Aktivieren Sie nicht den Aktiv/Aktiv-Modus: aktiviert
  • Öffentliche IP-Adresse: Neu Erstellen
  • Öffentlicher IP-Adresse 2 Name:VNet1GWpip2
  • Verfügbarkeitszone: Zonenredundant
  • BGP-ASN konfigurieren:
  • Autonome Systemnummer (ASN): 65000
  • Benutzerdefinierte IP-Adresse für Azure-APIPA-BGP: 169.254.21.2, 169.254.22.2
  • Zweite IP-Adresse für Azure-APIPA-BGP: 169.254.21.6, 169.254.22.6

  1. Navigieren Sie im Azure-Portal zur Ressource Gateway für virtuelle Netzwerke aus dem Marketplace, und wählen Sie Erstellen aus.

  2. Geben Sie die Parameter ein, wie in den folgenden Beispielen gezeigt.

    Screenshot. Oberer Teil des Bildschirms „Gateway für virtuelles Netzwerk“.

  3. Konfigurieren Sie die beiden öffentlichen IP-Adressen, und aktivieren Sie den Aktiv-Aktiv-Modus. Die hier erstellten öffentlichen IP-Adressobjekte sind dem VPN-Gateway zugeordnet. Die öffentliche IP-Adresse wird dem Objekt bei der Erstellung des VPN-Gateways dynamisch zugewiesen.

    Screenshot: PIP-Einstellung.

  4. Konfigurieren Sie BGP.

    Screenshot: BGP-Einstellung.

    • Wählen Sie Configure BGP (BGP konfigurieren)Aktiviert aus, um den Abschnitt für die BGP-Konfiguration anzuzeigen.
    • Geben Sie eineASN (Autonomous System Number) ein. Dieser ASN muss anders sein als der ASN, der von AWS verwendet wird.
    • Fügen Sie zwei Adressen Zweite IP-Adresse für Azure-APIPA-BGPhinzu. Schließen Sie die IP-Adressen für AWS-Tunnel 1 zu Azure-Instanz 0 und AWS-Tunnel 2 zu Azure-Instanz 0 aus der ausgewählten APIPA-Konfiguration ein. Die zweite Eingabe wird erst angezeigt, nachdem Sie Ihre erste APIPA BGP-IP-Adresse hinzugefügt haben.
    • Fügen Sie der zweiten benutzerdefinierten Azure-APIPA BGP-IP-Adresse zwei Adressen hinzu. Fügen Sie die IP-Adressen für AWS-Tunnel 1 zu Azure-Instanz 1 und AWS-Tunnel 2 zu Azure-Instanz 1 aus der ausgewählten APIPA-Konfiguration hinzu. Die zweite Eingabe wird erst angezeigt, nachdem Sie Ihre erste APIPA BGP-IP-Adresse hinzugefügt haben.

  5. Wählen Sie zum Ausführen der Validierung Bewerten + erstellen aus. Wählen Sie nach Abschluss der Validierung Erstellen aus, um das VPN-Gateway bereitzustellen. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern. Der Bereitstellungsstatus wird auf der Übersichtsseite für Ihr Gateway angezeigt.

Teil 2: Verbinden von AWS zu Ihrem VPN-Gateway

In diesem Abschnitt stellen Sie eine Verbindung mit Ihrer Azure VPN Gateway-Instanz von AWS aus her. Aktualisierte Anweisungen finden Sie in der offiziellen AWS-Dokumentation.

Erstellen eines VPC

Erstellen Sie einen VPC mit den folgenden Werten und der neuesten AWS-Dokumentation.

  • Name:VPC1
  • CIDR-Block: 10.2.0.0/16

Stellen Sie sicher, dass sich der CIDR-Block nicht mit dem virtuellen Netzwerk überschneidet, das Sie in Azure erstellt haben.

Erstellen eines virtuellen privaten Gateways

Erstellen Sie ein virtuelles privates Gateway unter Verwendung der folgenden Werte und der neuesten AWS-Dokumentation.

  • Name: AzureGW
  • ASN:Amazon-Standard-ASN (64512)
  • VPC:Angefügt an VPC1

Wenn Sie sich für die Verwendung eines benutzerdefinierten ASNs entscheiden, stellen Sie sicher, dass er sich von dem ASN in Azure unterscheiden soll.

BGP-Routenverteilung

Aktivieren Sie die Routenweitergabe auf Ihrem virtuellen privaten Gateway mithilfe der neuesten AWS-Dokumentation.

Zwei Kundengateways

Erstellen Sie zwei Kundengateways unter Verwendung der folgenden Werte und der neuesten AWS-Dokumentation.

Einstellungen für das Kundengateway 1:

  • Name: ToAzureInstance0
  • Routing:dynamisch
  • BGP ASN: 65000 (der ASN für Ihr Azure VPN-Gateway)
  • IP Address: die erste öffentliche IP-Adresse Ihres Azure VPN-Gateways

Einstellungen für das Kundengateway 2:

  • Name: ToAzureInstance1
  • Routing:dynamisch
  • BGP ASN: 65000 (der ASN für Ihr Azure VPN-Gateway)
  • IP Address:die zweite öffentliche IP-Adresse Ihres Azure VPN-Gateways

Sie finden Ihre öffentliche IP-Adresse und Ihre zweite öffentliche IP-Adresse in Azure im Abschnitt Konfiguration Ihres Gateways für virtuelle Netzwerke.

Site-to-Site-VPN-Verbindungen

Erstellen Sie zwei Site-to-Site-VPN-Verbindungen mit den folgenden Werten und der neuesten AWS-Dokumentation.

Einstellungen für die Site-to-Site-Verbindung 1:

  • Name: ToAzureInstance0
  • Zielgatewaytyp: Virtuelles privates Gateway
  • Virtuelles privates Gateway: AzureGW
  • Kundengateway:Vorhanden
  • Kundengateway:ToAzureInstance0
  • Routingoptionen:dynamisch (erfordert BGP)
  • CIDR für das lokale IPv4-Netzwerk: 0.0.0.0/0
  • Tunnel innerhalb von IP-Version: IPv4
  • Innerhalb von IPv4 CIDR für Tunnel 1: 169.254.21.0/30
  • Vorab freigegebener Schlüssel für Tunnel 1: Auswählen eines sicheren Schlüssels
  • Innerhalb von IPv4 CIDR für Tunnel 2: 169.254.22.0/30
  • Vorab freigegebener Schlüssel für Tunnel 2: Auswählen eines sicheren Schlüssels
  • Startaktion: Start

Einstellungen für die Site-to-Site-Verbindung 2:

  • Name: ToAzureInstance1
  • Zielgatewaytyp: Virtuelles privates Gateway
  • Virtuelles privates Gateway: AzureGW
  • Kundengateway:Vorhanden
  • Kundengateway:ToAzureInstance1
  • Routingoptionen:dynamisch (erfordert BGP)
  • CIDR für das lokale IPv4-Netzwerk: 0.0.0.0/0
  • Tunnel innerhalb von IP-Version: IPv4
  • Innerhalb von IPv4 CIDR für Tunnel 1: 169.254.21.4/30
  • Vorab freigegebener Schlüssel für Tunnel 1: Auswählen eines sicheren Schlüssels
  • Innerhalb von IPv4 CIDR für Tunnel 2: 169.254.22.4/30
  • Vorab freigegebener Schlüssel für Tunnel 2: Auswählen eines sicheren Schlüssels
  • Startaktion: Start

Informationen zu Innerhalb von IPv4 CIDR für Tunnel 1 und Innerhalb von IPv4 CIDR für Tunnel 2 für beide Verbindungen finden Sie in der APIPA-Konfiguration, die Sie ausgewählt haben.

Teil 3: Verbinden von Azure zu Ihren AWS-Kundengateways

Nun verbinden Sie Ihre AWS-Tunnel mit Azure. Für jeden der vier Tunnel verfügen Sie sowohl über ein lokales Netzwerkgateway als auch über eine Website-zu-Standort-Verbindung.

Wichtig

Wiederholen Sie die folgenden Abschnitte für jeden Ihrer vier AWS-Tunnel, und verwenden Sie dabei die jeweilige externe IP-Adresse.

Erstellen eines lokalen Netzwerkgateways

Wiederholen Sie diese Anweisungen, um jedes lokale Netzwerkgateway zu erstellen.

  1. Navigieren Sie im Azure-Portal zur Ressource Gateway für virtuelle Netzwerke aus dem Marketplace, und wählen Sie Erstellen aus.

  2. Wählen Sie dasselbe Abonnement, dieselbe Ressourcengruppe und Region aus, die Sie zum Erstellen Ihres Gateways für virtuelle Netzwerke verwendet haben.

  3. Geben Sie einen Namen für das lokale Netzwerkgateway ein.

  4. Lassen Sie IP Address als Wert für Endpunkt.

  5. Geben Sie für IP-Adresse die externe IP-Adresse (von AWS) für den Tunnel ein, den Sie erstellen.

  6. Lassen Sie Adressbereich leer und wählen Sie Erweitert aus.

    Screenshot: Seite „Grundlagen für lokales Netzwerkgateway“.

  7. Konfigurieren Sie auf der Registerkarte Erweitert die folgenden Einstellungen:

    • Wählen Sie Ja für BGP-Einstellungen konfigurieren aus.
    • Geben Sie für Autonome Systemnummer (ASN) die ASN für Ihr AWS Virtual Private Network ein. Verwenden Sie ASN 64512, wenn Sie Ihren ASN als AWS-Standardwert verlassen haben.
    • Geben Sie für BGP-Peer-IP-Adresse die AWS BGP-Peer-IP-Adresse basierend auf der ausgewählten APIPA-Konfiguration ein.

    Screenshot: BGP-Einstellungen für das lokale Netzwerkgateway.

Erstellen von Verbindungen

Wiederholen Sie diese Schritte, um jede der erforderlichen Verbindungen zu erstellen.

  1. Öffnen Sie die Seite für Ihr Gateway für virtuelle Netzwerke und navigieren Sie zur Seite Verbindungen.

  2. Wählen Sie auf der Seite Verbindungen die Option + Hinzufügen aus.

  3. Verwenden Sie die folgenden Werte auf der Registerkarte Grundlagen:

    • Verbindungstyp: Site-to-Site (IPsec)
    • Name: Geben Sie einen Namen für Ihre Verbindung ein. Beispiel: AWSTunnel1toAzureInstance0.

  4. Verwenden Sie die folgenden Werte auf der Registerkarte Einstellungen:

    • Gateway für virtuelles Netzwerk: Wählen Sie das VPN-Gateway aus.
    • Gateway für lokales Netzwerk: Wählen Sie das erstellte lokale Netzwerkgateway aus.
    • Geben Sie den Shared Key (PSK) ein, der dem vorinstallierten Schlüssel entspricht, den Sie beim Herstellen der AWS-Verbindungen eingegeben haben.
    • BGP aktivieren: Wählen Sie diese Option aus, um sie zu aktivieren.
    • Benutzerdefinierte BGP-Adressen aktivieren: Wählen Sie diese Option aus, um sie zu aktivieren.

  5. Unter Benutzerdefinierte BGP-Adressen:

    • Geben Sie die benutzerdefinierte BGP-Adresse basierend auf der von Ihnen gewählten APIPA-Konfiguration ein.
    • Die benutzerdefinierte BGP-Adresse (innerhalb von IPv4 CIDR in AWS) muss mit der IP-Adresse (äußere IP-Adresse in AWS) übereinstimmen, die Sie im Gateway des lokalen Netzwerks angegeben haben, das Sie dafür verwenden Verbindung.
    • Je nach dem Tunnel, für den Sie ihn angeben, wird nur eine der beiden benutzerdefinierten BGP-Adressen verwendet.
    • Um eine Verbindung von AWS zur ersten öffentlichen IP-Adresse Ihres VPN-Gateways (Instanz 0) herzustellen, wird nur die primäre benutzerdefinierte BGP-Adresse verwendet.
    • Um eine Verbindung von AWS zur zweiten öffentlichen IP-Adresse Ihres VPN-Gateways (Instanz 1) herzustellen, wird nur die sekundäre benutzerdefinierte BGP-Adresse verwendet.
    • Belassen Sie die andere benutzerdefinierte BGP-Adresse als Standard.

    Wenn Sie die APIPA-Standardkonfiguration verwendet haben, können Sie die folgenden Adressen verwenden.

    Tunnel Primäre benutzerdefinierte BGP-Adresse Sekundäre benutzerdefinierte BGP-Adresse
    AWS Tunnel 1 zu Azure Instance 0 169.254.21.2 Nicht verwendet (wählen Sie 169.254.21.6)
    AWS Tunnel 2 zu Azure Instance 0 169.254.22.2 Nicht verwendet (wählen Sie 169.254.21.6)
    AWS Tunnel 1 zu Azure Instance 1 Nicht verwendet (wählen Sie 169.254.21.2 aus) 169.254.21.6
    AWS Tunnel 2 zu Azure Instance 1 Nicht verwendet (wählen Sie 169.254.21.2 aus) 169.254.22.6

  6. Konfigurieren Sie die folgenden Einstellungen:

    • FastPath: Übernehmen Sie die Standardeinstellung (deaktiviert)
    • IPsec/IKE-Richtlinie: Standard
    • Richtlinienbasierte Datenverkehrsauswahl verwenden: Deaktivieren Sie diese Option.
    • DPD-Timeout in Sekunden: Übernehmen Sie die Standardeinstellung.
    • Verbindungsmodus: Sie können jede der verfügbaren Optionen auswählen (Standard, InitiatorOnly, ResponderOnly). Weitere Informationen finden Sie unter Einstellungen für VPN Gateway – Verbindungsmodi.

  7. Wählen Sie Speichern aus.

  8. Wählen Sie Überprüfen und erstellen aus, um die Verbindung zu erstellen.

  9. Wiederholen Sie diese Schritte, um weitere Verbindungen zu erstellen.

  10. Bevor Sie mit dem nächsten Abschnitt fortfahren, stellen Sie sicher, dass Sie über ein lokales Netzwerkgateway und eine Verbindung für jeden Ihrer vier AWS-Tunnel verfügen.

Teil 4: (Optional) Überprüfen des Status Ihrer Verbindungen

Überprüfen des Verbindungsstatus in Azure

  1. Öffnen Sie die Seite für Ihr Gateway für virtuelle Netzwerke und navigieren Sie zur Seite Verbindungen.

  2. Vergewissern Sie sich, dass alle 4 Verbindungen als Verbunden angezeigt werden.

    Screenshot: Überprüfen von Verbindungen.

Überprüfen des BGP-Peerstatus in Azure

  1. Öffnen Sie die Seite für Ihr Gateway für virtuelle Netzwerke und navigieren Sie zur Seite BGP-Peers.

  2. Überprüfen Sie in der Tabelle BGP-Peers, ob alle Verbindungen mit der von Ihnen angegebenen Peer-Adresse als Verbunden angezeigt werden und Routen austauschen.

    Screenshot: Überprüfen von BGP-Peers.

Überprüfen des Verbindungsstatus in AWS

  1. Öffnen Sie die Amazon VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Site-to-Site-VPN-Verbindungen aus.
  3. Wählen Sie die erste hergestellte Verbindung und dann die Registerkarte Tunneldetails aus.
  4. Vergewissern Sie sich, dass der Status beider Tunnel als UP angezeigt wird.
  5. Vergewissern Sie sich, dass die Details beider Tunnel eine oder mehrere BGP-Routen anzeigen.

Nächste Schritte

Weitere Informationen zu VPN Gateway finden Sie unter Häufig gestellte Fragen (FAQ).