Verbinden von AWS und Azure mithilfe eines BGP-fähigen VPN-Gateways

Dieser Artikel führt Sie durch das Einrichten einer BGP-fähigen Verbindung zwischen Azure und Amazon Web Services (AWS). Sie verwenden ein Azure VPN-Gateway mit BGP und aktivierter Aktiv-Funktion sowie ein virtuelles privates AWS-Gateway mit zwei Website-zu-Website-Verbindungen.

Aufbau

Sie erstellen die folgenden Ressourcen:

Azure

  • Ein virtuelles Netzwerk
  • Ein virtuelles Netzwerkgateway mit aktiver und aktivierter BGP-Funktion
  • Vier lokale Netzwerkgateways
  • Vier Site-to-Site-Verbindungen

AWS

  • Eine Virtual Private Cloud (VPC)
  • Ein virtuelles privates Gateway
  • Zwei Kundengateways
  • Zwei Standort-zu-Standort-Verbindungen, jeweils mit zwei Tunneln (insgesamt vier Tunnel)

Eine Standort-zu-Standort-Verbindung auf AWS verfügt über zwei Tunnel, von jedem mit einer eigenen IP-Adresse außerhalb und innerhalb von IPv4 CIDR (verwendet für BGP APIPA). Ein aktiv passives VPN-Gateway unterstützt nur eine benutzerdefinierte BGP-APIPA. Sie müssen active-active auf Ihrem Azure VPN-Gateway aktivieren, um eine Verbindung mit mehreren AWS-Tunneln herstellen zu können.

Auf der Seite AWS erstellen Sie ein Kundengateway und eine Website-zu-Website-Verbindung für jede der beiden Azure VPN-Gatewayinstanzen (insgesamt vier ausgehende Tunnel). In Azure müssen Sie vier lokale Netzwerkgateways und vier Verbindungen erstellen, um diese vier AWS-Tunnel zu empfangen.

Grafische Darstellung der Architektur für dieses Setup

Auswählen von BGP-APIPA-Adressen

Sie können die unten angegebenen Werte für Ihre BGP-APIPA-Konfiguration im gesamten Lernprogramm verwenden.

Tunnel Azure Benutzerdefinierte IP-Adresse für Azure-APIPA-BGP IP-Adresse des Azure-BGP-Peers AWS Innerhalb von IPv4 CIDR
AWS Tunnel 0 zu Azure Instance 0 169.254.21.2 169.254.21.1 169.254.21.0/30
AWS Tunnel 2 zu Azure Instance 0 169.254.22.2 169.254.22.1 169.254.22.0/30
AWS Tunnel 1 zu Azure Instance 1 169.254.21.6 169.254.21.5 169.254.21.4/30
AWS Tunnel 2 zu Azure Instance 1 169.254.22.6 169.254.22.5 169.254.22.4/30

Sie können auch eigene benutzerdefinierte APIPA-Adressen einrichten. AWS erfordert für jeden Tunnel einen /30 Innerhalb von IPv4 CIDR im APIPA-Bereich von 169.254.0.0/16. Dieser CIDR muss auch im Azure-reservierten APIPA-Bereich für VPN von 169.254.21.0 bis 169.254.22.255sein. AWS verwendet die erste IP-Adresse Ihres /30 innerhalb von CIDR, und Azure verwendet die zweite. Dies bedeutet, dass Sie in Ihrem AWS/30 CIDR Speicherplatz für zwei IP-Adressen reservieren müssen.

Wenn Sie z. B. Ihren AWS Innerhalb von IPv4 CIDR auf 169.254.21.0/30festlegen, verwendet AWS die BGP-IP-Adresse 169.254.21.1 und Azure verwendet die IP-Adresse 169.254.21.2

Wichtig

  1. Ihre APIPA-Adressen dürfen sich zwischen den lokalen VPN-Geräten und allen verbundenen Azure-VPN-Gateways nicht überschneiden.
  2. Um mehrere APIPA BGP-Peeradressen auf dem VPN-Gateway zu konfigurieren, müssen Sie auch alle Verbindungsobjekte mit der entsprechenden IP-Adresse Ihrer Wahl konfigurieren. Andernfalls verwenden alle Verbindungen die erste APIPA-IP-Adresse in der Liste, unabhängig davon, wie viele IPs vorhanden sind.

Voraussetzungen

Sie müssen sowohl über ein Azure-Konto als auch über ein AWS-Konto mit einem aktiven Abonnement verfügen. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie Ihre MSDN-Abonnentenvorteile aktivieren oder sich für ein kostenloses Konto registrieren.

Teil 1: Erstellen eines aktiv aktiven VPN-Gateways in Azure

Erstellen eines VNET

Erstellen Sie ein virtuelles Netzwerk mit den folgenden Werten, indem Sie die Schritte im Lernprogramm zum Erstellen eines Gateways ausführen.

  • Abonnement: Falls Sie über mehrere Abonnements verfügen, sollten Sie sich vergewissern, dass Sie das richtige Abonnement verwenden.
  • Ressourcengruppe: TestRG1
  • Name: VNet1
  • Standort: East US
  • IPv4-Adressraum: 10.1.0.0/16
  • Subnetzname: FrontEnd
  • Subnetzadressbereich: 10.1.0.0/24

Erstellen eines Aktiv/Aktiv-VPN-Gateways

Erstellen Sie ein VPN-Gateway mit den folgenden Werten:

  • Name: VNet1GW
  • Region: East US
  • Gatewaytyp: VPN
  • VPN-Typ: Routenbasiert
  • SKU: VpnGw2
  • Generation: Generation 2
  • Virtuelles Netzwerk: VNet1
  • Adressbereich des Gatewaysubnetzes: 10.1.1.0/24
  • Öffentliche IP-Adresse: Neu erstellen
  • Öffentliche IP-Adresse: VNet1GWpip
  • Aktivieren Sie nicht den Aktiv/Aktiv-Modus: aktiviert
  • Öffentliche IP-Adresse: Neu Erstellen
  • Öffentlicher IP-Adresse 2 Name:VNet1GWpip2
  • BGP-ASN konfigurieren:
  • Autonome Systemnummer (ASN): 65000
  • Benutzerdefinierte IP-Adresse für Azure-APIPA-BGP: 169.254.21.2, 169.254.22.2
  • Zweite IP-Adresse für Azure-APIPA-BGP: 169.254.21.6, 169.254.22.6
  1. Navigieren Sie im Azure-Portal zur Ressource Gateway für virtuelle Netzwerke aus dem Marketplace, und wählen Sie Erstellen aus.

  2. Geben Sie die Parameter wie nachstehend gezeigt ein:

    Parameter zum Erzeugen des Gateways

  3. Aktiv/Aktiv-Modus aktivieren

    Aktiv/Aktiv-Modus zum Erzeugen des Gateways

    • Wählen Sie unter Öffentliche IP-Adresse die Option Aktiviert aus, um den Modus "Aktiv aktiv" aktivieren zu aktivieren.
    • Geben Sie Namen für den ersten und zweiten öffentlichen IP-Adressnamen an. Mit diesen Einstellungen wird das Objekt für die öffentliche IP-Adresse angegeben, das dem VPN-Gateway zugeordnet wird. Die öffentliche IP-Adresse wird bei der Erstellung des VPN-Gateways diesem Objekt dynamisch zugewiesen.
  4. Configure BGP (BGP konfigurieren)

    BGP zum Erzeugen des Gateways konfigurieren

    • Wählen Sie Configure BGP (BGP konfigurieren)Aktiviert aus, um den Abschnitt für die BGP-Konfiguration anzuzeigen.
    • Geben Sie eineASN (Autonomous System Number) ein. Dieser ASN muss anders sein als der ASN, der von AWS verwendet wird.
    • Fügen Sie zwei Adressen Zweite IP-Adresse für Azure-APIPA-BGPhinzu. Schließen Sie die IP-Adressen für AWS-Tunnel 1 zu Azure-Instanz 0 und AWS-Tunnel 2 zu Azure-Instanz 0 aus der ausgewählten APIPA-Konfiguration ein. Die zweite Eingabe wird erst angezeigt, nachdem Sie Ihre erste APIPA BGP-IP-Adresse hinzugefügt haben.
    • Fügen Sie der zweiten benutzerdefinierten Azure-APIPA BGP-IP-Adresse zwei Adressen hinzu. Fügen Sie die IP-Adressen für AWS-Tunnel 1 zu Azure-Instanz 1 und AWS-Tunnel 2 zu Azure-Instanz 1 aus der ausgewählten APIPA-Konfiguration hinzu. Die zweite Eingabe wird erst angezeigt, nachdem Sie Ihre erste APIPA BGP-IP-Adresse hinzugefügt haben.
  5. Wählen Sie zum Ausführen der Validierung Bewerten + erstellen aus. Wählen Sie nach Abschluss der Validierung Erstellen aus, um das VPN-Gateway bereitzustellen. Häufig kann die Erstellung eines Gateways je nach ausgewählter Gateway-SKU mindestens 45 Minuten dauern. Der Bereitstellungsstatus wird auf der Übersichtsseite für Ihr Gateway angezeigt.

Teil 2: Verbinden von AWS zu Ihrem VPN-Gateway

In diesem Abschnitt stellen Sie eine Verbindung mit Ihrem Azure VPN-Gateway von AWS aus herstellen. Aktualisierte Anweisungen finden Sie in der offiziellen AWS-Dokumentation.

Erstellen eines VPC

Erstellen Sie einen VPC mit den unten angegebenen Werten und der neuesten AWS-Dokumentation.

  • Name:VPC1
  • CIDR-Block: 10.2.0.0/16

Stellen Sie sicher, dass sich der CIDR-Block nicht mit dem virtuellen Netzwerk überlappt, das Sie in Azure erstellt haben.

Erstellen eines virtuellen privaten Gateways

Erstellen Sie eines privaten Gateway mit den unten angegebenen Werten und der neuesten AWS-Dokumentation.

  • Name: AzureGW
  • ASN:Amazon-Standard-ASN (64512)
  • VPC:Angefügt an VPC1

Wenn Sie sich für die Verwendung eines benutzerdefinierten ASNs entscheiden, stellen Sie sicher, dass er sich von dem ASN in Azure unterscheiden soll.

BGP-Routenverteilung

Aktivieren Sie die Routenweitergabe auf Ihrem virtuellen privaten Gateway mithilfe der neuesten AWS-Dokumentation.

Zwei Kundengateways

Erstellen Sie zwei Kundengateways mit den unten angegebenen Werten und der neuesten AWS-Dokumentation.

Einstellungen für das Kundengateway 1

  • Name: ToAzureInstance0
  • Routing:dynamisch
  • BGP ASN: 65000 (der ASN für Ihr Azure VPN-Gateway)
  • IP Address: die erste öffentliche IP-Adresse Ihres Azure VPN-Gateways

Einstellungen für das Kundengateway 2

  • Name: ToAzureInstance1
  • Routing:dynamisch
  • BGP ASN: 65000 (der ASN für Ihr Azure VPN-Gateway)
  • IP Address:die zweite öffentliche IP-Adresse Ihres Azure VPN-Gateways

Sie finden Ihre öffentliche IP-Adresse und Ihre zweite öffentliche IP-Adresse in Azure im Abschnitt Konfiguration Ihres Gateways für virtuelle Netzwerke.

Site-to-Site-VPN-Verbindungen

Erstellen Sie zwei Site-to-Site-VPN-Verbindungen mit den unten angegebenen Werten und der neuesten AWS-Dokumentation.

Einstellungen für die Website-zu-Website-Verbindung 1

  • Name: ToAzureInstance0
  • Zielgatewaytyp: Virtuelles privates Gateway
  • Virtuelles privates Gateway: AzureGW
  • Kundengateway:Vorhanden
  • Kundengateway:ToAzureInstance0
  • Routingoptionen:dynamisch (erfordert BGP)
  • CIDR für das lokale IPv4-Netzwerk: 0.0.0.0/0
  • Tunnel innerhalb von IP-Version: IPv4
  • Innerhalb von IPv4 CIDR für Tunnel 1: 169.254.21.0/30
  • Vorab freigegebener Schlüssel für Tunnel 1: Auswählen eines sicheren Schlüssels
  • Innerhalb von IPv4 CIDR für Tunnel 2: 169.254.22.0/30
  • Vorab freigegebener Schlüssel für Tunnel 2: Auswählen eines sicheren Schlüssels
  • Startaktion: Start

Einstellungen für die Website-zu-Website-Verbindung 2

  • Name: ToAzureInstance1
  • Zielgatewaytyp: Virtuelles privates Gateway
  • Virtuelles privates Gateway: AzureGW
  • Kundengateway:Vorhanden
  • Kundengateway:ToAzureInstance1
  • Routingoptionen:dynamisch (erfordert BGP)
  • CIDR für das lokale IPv4-Netzwerk: 0.0.0.0/0
  • Tunnel innerhalb von IP-Version: IPv4
  • Innerhalb von IPv4 CIDR für Tunnel 1: 169.254.21.4/30
  • Vorab freigegebener Schlüssel für Tunnel 1: Auswählen eines sicheren Schlüssels
  • Innerhalb von IPv4 CIDR für Tunnel 2: 169.254.22.4/30
  • Vorab freigegebener Schlüssel für Tunnel 2: Auswählen eines sicheren Schlüssels
  • Startaktion: Start

Informationen zu Innerhalb von IPv4 CIDR für Tunnel 1 und Innerhalb von IPv4 CIDR für Tunnel 2 für beide Verbindungen finden Sie in der APIPA-Konfiguration, die Sie ausgewählt haben.

Teil 3: Verbinden von Azure zu Ihren AWS-Kundengateways

Als Nächstes verbinden Sie Ihre AWS-Tunnel mit Azure. Für jeden der vier Tunnel verfügen Sie sowohl über ein lokales Netzwerkgateway als auch über eine Website-zu-Standort-Verbindung.

Wichtig

Wiederholen Sie die folgenden Abschnitte für jeden Ihrer vier AWS-Tunnel und verwenden Sie dabei die jeweilige externe IP-Adresse.

Erstellen eines lokalen Netzwerkgateways

  1. Navigieren Sie im Azure-Portal zur Ressource Gateway für virtuelle Netzwerke aus dem Marketplace, und wählen Sie Erstellen aus.
  2. Wählen Sie dasselbe Abonnement, dieselbe Ressourcengruppe und Region aus, die Sie zum Erstellen Ihres Gateways für virtuelle Netzwerke verwendet haben.
  3. Geben Sie einen Namen für das lokale Netzwerkgateway ein.
  4. Lassen Sie IP Address als Wert für Endpunkt.
  5. Geben Sie für IP-Adresse die externe IP-Adresse (von AWS) für den Tunnel ein, den Sie erstellen.
  6. Lassen Sie Adressbereich leer und wählen Sie Erweitert aus.

Werte für das lokale Netzwerk-Gateway

  1. Wählen Sie Ja für BGP-Einstellungen konfigurieren aus.
  2. Geben Sie für Autonome Systemnummer (ASN) die ASN für Ihr AWS Virtual Private Network ein. Verwenden Sie ASN 64512, wenn Sie Ihren ASN als AWS-Standardwert verlassen haben.
  3. Geben Sie für BGP-Peer-IP-Adresse die AWS BGP-Peer-IP-Adresse basierend auf der ausgewählten APIPA-Konfiguration ein.

BGP-Einstellungen für das lokale Netzwerk-Gateway eingeben

Erstellen von Verbindungen

  1. Öffnen Sie die Seite für Ihr Gateway für virtuelle Netzwerke, navigieren Sie zur Seite Verbindungen und wählen Sie dann Hinzufügen aus.

  2. Geben Sie einen Namen für Ihre Verbindung ein.

  3. Wählen Sie Site-to-Site als Verbindungstyp aus.

  4. Wählen Sie das erstellte lokale Netzwerkgateway aus.

  5. Geben Sie den Shared Key (PSK) ein, der dem Pre-Shared Key entspricht, den Sie beim Herstellen der AWS-Verbindungen eingegeben haben.

  6. Wählen Sie BGP aktivieren und dann Benutzerdefinierte BGP-Adressen aktivieren aus.

  7. Unter Benutzerdefinierte BGP-Adressen

    • Geben Sie die benutzerdefinierte BGP-Adresse basierend auf der von Ihnen gewählten APIPA-Konfiguration ein.
    • Die benutzerdefinierte BGP-Adresse (innerhalb von IPv4 CIDR in AWS) muss mit der IP-Adresse (äußere IP-Adresse in AWS) übereinstimmen, die Sie im Gateway des lokalen Netzwerks angegeben haben, das Sie dafür verwenden Verbindung.
    • Je nach dem Tunnel, für den Sie ihn angeben, wird nur eine der beiden benutzerdefinierten BGP-Adressen verwendet.
    • Um eine Verbindung von AWS zur ersten öffentlichen IP-Adresse Ihres VPN-Gateways (Instanz 0) herzustellen, wird nur die primäre benutzerdefinierte BGP-Adresse verwendet.
    • Um eine Verbindung von AWS zur zweiten öffentlichen IP-Adresse Ihres VPN-Gateways (Instanz 1) herzustellen, wird nur die sekundäre benutzerdefinierte BGP-Adresse verwendet.
    • Belassen Sie die andere benutzerdefinierte BGP-Adresse als Standard.

    Wenn Sie die Standard-APIPA-Konfiguration verwendet haben, können Sie die folgenden Adressen verwenden.

    Tunnel Primäre benutzerdefinierte BGP-Adresse Sekundäre benutzerdefinierte BGP-Adresse
    AWS Tunnel 1 zu Azure Instance 0 169.254.21.2 Nicht verwendet (wählen Sie 169.254.21.6)
    AWS Tunnel 2 zu Azure Instance 0 169.254.22.2 Nicht verwendet (wählen Sie 169.254.21.6)
    AWS Tunnel 1 zu Azure Instance 1 Nicht verwendet (wählen Sie 169.254.21.2 aus) 169.254.21.6
    AWS Tunnel 2 zu Azure Instance 1 Nicht verwendet (wählen Sie 169.254.21.2 aus) 169.254.22.6
  8. Übernehmen Sie bei den verbleibenden Feldern die Standardwerte und wählen Sie Ok aus.

    Verbindung ändern

  9. Wählen Sie auf der Seite Verbindungen für Ihr VPN-Gateway die von Ihnen erstellte Verbindung aus und navigieren Sie zur Seite Konfiguration.

  10. Wählen Sie ResponderOnly für den Verbindungsmodus und dann Speichern aus. Verbindungen als ResponderOnly einstellen

Stellen Sie sicher, dass Sie ein Lokales Netzwerk-Gateway und eine Verbindung für jeden Ihrer vier AWS-Tunnel haben.

Teil 4: (Optional) Überprüfen des Status Ihrer Verbindungen

Überprüfen des Verbindungsstatus in Azure

  1. Öffnen Sie die Seite für Ihr Gateway für virtuelle Netzwerke und navigieren Sie zur Seite Verbindungen.

  2. Vergewissern Sie sich, dass alle 4 Verbindungen als Verbunden angezeigt werden.

    Azure-Verbindungen prüfen

Überprüfen des BGP-Peerstatus in Azure

  1. Öffnen Sie die Seite für Ihr Gateway für virtuelle Netzwerke und navigieren Sie zur Seite BGP-Peers.

  2. Überprüfen Sie in der Tabelle BGP-Peers, ob alle Verbindungen mit der von Ihnen angegebenen Peer-Adresse als Verbunden angezeigt werden und Routen austauschen.

    BGP-Peers prüfen

Überprüfen des Verbindungsstatus in AWS

  1. Öffnen Sie die Amazon VPC-Konsole.
  2. Klicken Sie im Navigationsbereich auf Site-to-Site-VPN-Verbindungen.
  3. Wählen Sie die erste hergestellte Verbindung und dann die Registerkarte Tunneldetails aus.
  4. Vergewissern Sie sich, dass der Status beider Tunnel als UP angezeigt wird.
  5. Vergewissern Sie sich, dass die Details beider Tunnel eine oder mehrere BGP-Routen anzeigen.