Bagikan melalui


Cara menghubungkan AWS dan Azure menggunakan gateway VPN berkemampuan BGP

Artikel ini memandu Anda melalui penyiapan koneksi berkemampuan BGP antara Azure dan Amazon Web Services (AWS). You'll use an Azure VPN gateway with BGP and active-active enabled and an AWS virtual private gateway with two site-to-site connections.

Arsitektur

Dalam penyiapan ini, Anda membuat sumber daya berikut:

Azure

  • Satu jaringan virtual
  • Satu gerbang jaringan virtual dengan konfigurasi aktif-aktif dan BGP yang diaktifkan.
  • Empat gateway jaringan lokal
  • Empat koneksi situs-ke-situs

AWS

  • Satu cloud privat virtual (VPC)
  • Satu gerbang pribadi virtual
  • Dua gerbang pelanggan
  • Dua koneksi situs-ke-situs, masing-masing dengan dua tunnel (total empat tunnel)

Koneksi situs-ke-situs di AWS memiliki dua tunnel, masing-masing dengan alamat IP luar dan CIDR IPv4 dalam (digunakan untuk BGP APIPA). Gateway VPN aktif-pasif hanya mendukung satu BGP APIPA khusus. Anda perlu mengaktifkan active-active pada gateway VPN Azure Anda untuk terhubung ke beberapa terowongan AWS.

On the AWS side, you create a customer gateway and site-to-site connection for each of the two Azure VPN gateway instances (total of four outgoing tunnels). Di Azure, Anda perlu membuat empat gateway jaringan lokal dan empat koneksi untuk menerima keempat terowongan AWS ini.

Diagram yang menunjukkan arsitektur penyiapan ini

Memilih alamat BGP APIPA

Anda dapat menggunakan nilai berikut untuk konfigurasi BGP APIPA Anda sepanjang tutorial.

Terowongan Azure Custom Azure APIPA BGP IP Address AWS BGP Peer IP Address AWS Inside IPv4 CIDR
AWS Tunnel 1 ke Azure instance 0 169.254.21.2 169.254.21.1 169.254.21.0/30
AWS Tunnel 2 ke Instans Azure 0 169.254.22.2 169.254.22.1 169.254.22.0/30
AWS Tunnel 1 menuju Instans Azure 1 169.254.21.6 169.254.21.5 169.254.21.4/30
AWS Tunnel 2 ke Instans Azure 1 169.254.22.6 169.254.22.5 169.254.22.4/30

Anda juga dapat menyiapkan alamat APIPA kustom Anda sendiri. AWS requires a /30 Inside IPv4 CIDR in the APIPA range of 169.254.0.0/16 for each tunnel. CIDR ini juga harus berada dalam rentang APIPA yang dicadangkan Azure untuk VPN, yaitu dari 169.254.21.0 hingga 169.254.22.255. AWS menggunakan alamat IP pertama /30 Anda di dalam CIDR dan Azure menggunakan yang kedua. Ini berarti Anda perlu memesan ruang untuk dua alamat IP di AWS /30 CIDR Anda.

Misalnya, jika Anda mengatur AWS Inside IPv4 CIDR Anda menjadi 169.254.21.0/30, AWS menggunakan alamat IP BGP 169.254.21.1 dan Azure menggunakan alamat IP 169.254.21.2.

Penting

  • Alamat APIPA Anda tidak boleh tumpang tindih antara perangkat VPN lokal dan semua gateway VPN Azure yang tersambung.
  • Jika Anda memilih untuk mengonfigurasi beberapa alamat peer APIPA BGP di gateway VPN, Anda juga harus mengonfigurasi semua objek Koneksi dengan alamat IP yang sesuai dengan pilihan Anda. Jika Anda gagal melakukannya, semua koneksi menggunakan alamat IP APIPA pertama dalam daftar tidak peduli berapa banyak IP yang ada.

Prasyarat

Anda harus memiliki akun Azure dan akun AWS dengan langganan aktif. Jika Anda belum memiliki langganan Azure, Anda dapat mengaktifkan manfaat pelanggan MSDN atau mendaftar untuk akun gratis.

Bagian 1: Membuat gateway VPN aktif-aktif di Azure

Membuat VNet

Buat jaringan virtual. Anda dapat merujuk ke Tutorial Situs-ke-situs untuk langkah-langkahnya.

Untuk latihan ini, kami menggunakan contoh nilai berikut:

  • Langganan: Jika Anda memiliki lebih dari satu langganan, verifikasi bahwa Anda menggunakan langganan yang benar.
  • Grup sumber daya: TestRG1
  • Nama: VNet1
  • Lokasi: US Timur
  • Ruang alamat IPv4: 10.1.0.0/16
  • Subnet name: FrontEnd
  • Rentang alamat subnet: 10.1.0.0/24

Buat gateway VPN aktif-aktif dengan BGP

Di bagian ini, Anda membuat gateway VPN aktif-aktif. Anda dapat merujuk ke Tutorial Situs-ke-situs untuk langkah-langkahnya.

Untuk latihan ini, kami menggunakan contoh nilai berikut:

  • Nama: VNet1GW

  • Wilayah: US Timur

  • Gateway type: VPN

  • Jenis VPN: Berbasis rute

  • SKU: VpnGw2AZ

  • Generation: Generation2

  • Jaringan virtual: VNet1

  • Gateway subnet address range: 10.1.1.0/24

  • Alamat IP publik: Buat baru

  • Nama alamat IP publik: VNet1GWpip

  • Zona ketersediaan: Zona redundan

  • Aktifkan mode aktif-aktif: Diaktifkan

  • ALAMAT IP PUBLIK KEDUA: Buat baru

  • Nama alamat IP publik 2: VNet1GWpip2

  • Zona ketersediaan: Zona redundan

  • Nilai BGP: Saat Anda mengonfigurasi BGP, perhatikan pengaturan berikut:

    • Pilih Diaktifkan untuk Konfigurasi BGP guna menampilkan bagian konfigurasi BGP.

    • Isi ASN (Nomor Sistem Otonom). ASN ini harus berbeda dengan ASN yang digunakan oleh AWS.

      • Example: 65000
    • Tambahkan dua alamat ke Alamat IP BGP Azure APIPA Kustom. Sertakan alamat IP untuk AWS Tunnel 1 ke Instans Azure 0 dan AWS Tunnel 2 ke Instans Azure 0 dari konfigurasi APIPA yang Anda pilih. Input kedua hanya akan muncul setelah Anda menambahkan alamat IP APIPA BGP pertama Anda.

      • Example: 169.254.21.2, 169.254.22.2
    • Tambahkan dua alamat ke Alamat IP BGP Azure APIPA Kustom Kedua. Sertakan alamat IP untuk AWS Tunnel 1 ke Instans Azure 1 dan AWS Tunnel 2 ke Instans Azure 1 dari konfigurasi APIPA yang Anda pilih. Input kedua hanya akan muncul setelah Anda menambahkan alamat IP APIPA BGP pertama Anda.

      • Example: 169.254.21.6, 169.254.22.6

Pilihlah Tinjau + buat untuk menjalankan validasi. Setelah validasi selesai, pilih Buat untuk menyebarkan gateway VPN. Membuat gateway seringkali bisa memakan waktu 45 menit atau lebih, bergantung pada SKU gateway yang dipilih. Anda dapat melihat status penyebaran di halaman Gambaran Umum untuk gateway Anda.

Untuk melihat alamat IP publik yang ditetapkan ke gateway Anda, buka gateway jaringan virtual Anda di portal dan navigasi ke Pengaturan -> Properti.

Bagian 2: Sambungkan ke gateway VPN Anda dari AWS

Di bagian ini, Anda tersambung ke gateway Azure VPN dari AWS. Untuk petunjuk yang diperbarui, selalu lihat dokumentasi AWS resmi.

Buat VPC

Buat VPC menggunakan nilai berikut dan dokumentasi AWS terbaru.

  • Nama: VPC1
  • CIDR block: 10.2.0.0/16

Pastikan blok CIDR Anda tidak tumpang tindih dengan jaringan virtual yang Anda buat di Azure.

Membuat gerbang pribadi virtual

Buat gateway privat virtual menggunakan nilai berikut dan dokumentasi AWS terbaru.

  • Nama: AzureGW
  • ASN: Amazon default ASN (64512)
  • VPC: Dilampirkan ke VPC1

Jika Anda memilih untuk menggunakan ASN kustom, pastikan ASN berbeda dari ASN yang Anda gunakan di Azure.

Mengaktifkan propagasi rute

Aktifkan propagasi rute di gateway privat virtual Anda menggunakan dokumentasi AWS terbaru.

Create customer gateways

Buat dua gateway pelanggan menggunakan nilai berikut dan dokumentasi AWS yang paling terbaru.

Pengaturan gerbang pelanggan 1

  • Nama: ToAzureInstance0
  • Routing: Dynamic
  • ASN BGP: 65000 (ASN untuk gateway VPN Azure Anda)
  • Alamat IP: alamat IP publik pertama dari gateway VPN Azure Anda

Pengaturan Gateway pelanggan 2

  • Nama: ToAzureInstance1
  • Routing: Dynamic
  • ASN BGP: 65000 (ASN untuk gateway VPN Azure Anda)
  • Alamat IP: alamat IP publik kedua dari gateway VPN Azure Anda

Anda dapat menemukan alamat IP Publik dan alamat IP Publik Kedua di Azure di bagian Konfigurasi gateway jaringan virtual Anda.

Membuat koneksi VPN situs-ke-situs

Buat dua koneksi VPN situs-ke-situs menggunakan nilai berikut dan dokumentasi AWS terbaru.

Pengaturan koneksi situs-ke-situs 1:

  • Nama: ToAzureInstance0
  • Target Gateway Type: Virtual Private Gateway
  • Virtual Private Gateway: AzureGW
  • Customer Gateway: Ada
  • Customer Gateway: ToAzureInstance0
  • Opsi Perutean: Dinamis (memerlukan BGP)
  • CIDR Jaringan IPv4 Lokal: 0.0.0.0/0
  • Tunnel Inside Ip Version: IPv4
  • Inside IPv4 CIDR for Tunnel 1: 169.254.21.0/30
  • Kunci yang Dibagikan Sebelumnya untuk Tunnel 1: pilih kunci yang aman
  • Inside IPv4 CIDR for Tunnel 2: 169.254.22.0/30
  • Kunci yang Dibagikan Sebelumnya untuk Tunnel 2: pilih kunci yang aman
  • Tindakan Startup: Mulai

Pengaturan koneksi situs-ke-situs 2:

  • Nama: ToAzureInstance1
  • Target Gateway Type: Virtual Private Gateway
  • Virtual Private Gateway: AzureGW
  • Customer Gateway: Yang Ada
  • Customer Gateway: ToAzureInstance1
  • Opsi Perutean: Dinamis (memerlukan BGP)
  • CIDR Jaringan IPv4 Lokal: 0.0.0.0/0
  • Tunnel Inside Ip Version: IPv4
  • Inside IPv4 CIDR for Tunnel 1: 169.254.21.4/30
  • Kunci yang Dibagikan Sebelumnya untuk Tunnel 1: pilih kunci yang aman
  • Inside IPv4 CIDR for Tunnel 2: 169.254.22.4/30
  • Kunci yang Dibagikan Sebelumnya untuk Tunnel 2: pilih kunci yang aman
  • Tindakan Startup: Mulai

Untuk CIDR IPv4 Dalam untuk Tunnel 1 dan CIDR IPv4 Dalam untuk Tunnel 2 untuk kedua koneksi, lihat konfigurasi APIPA yang Anda pilih.

Bagian 3: Sambungkan ke gateway pelanggan AWS Anda dari Azure

Selanjutnya, Anda menyambungkan terowongan AWS ke Azure. Untuk masing-masing dari empat tunnel tersebut, Anda akan memiliki gateway jaringan lokal dan koneksi situs-ke-situs.

Penting

Ulangi bagian berikut untuk masing-masing dari empat terowongan AWS Anda, menggunakan alamat IP luar masing-masing.

Membuat gateway jaringan lokal

Ulangi instruksi ini untuk membuat setiap gateway jaringan lokal.

  1. Di portal Microsoft Azure, navigasikan ke sumber daya gateway Jaringan lokal dari Marketplace, dan pilih Buat.

  2. Pilih Langganan, Grup Sumber Daya, dan Wilayah yang sama dengan yang Anda gunakan untuk membuat gateway jaringan virtual.

  3. Masukkan nama untuk gateway jaringan lokal Anda.

  4. Biarkan Alamat IP sebagai nilai untuk Titik Akhir.

  5. Untuk Alamat IP, masukkan Alamat IP Luar (dari AWS) untuk tunnel yang Anda buat.

  6. Biarkan Bagian Alamat kosong dan pilih Lanjutan.

  7. Pada tab Tingkat Lanjut , konfigurasikan pengaturan berikut:

    • Pilih Ya untuk Mengonfigurasi pengaturan BGP.
    • Untuk Nomor sistem otonom (ASN), masukkan ASN untuk AWS Jaringan Privat Maya Anda. Gunakan ASN 64512 jika Anda membiarkan ASN sebagai nilai default AWS.
    • Untuk Alamat IP peer BGP, masukkan Alamat IP Peer AWS BGP berdasarkan konfigurasi APIPA yang Anda pilih.

Membuat koneksi

Ulangi langkah-langkah ini untuk membuat setiap koneksi yang diperlukan.

  1. Buka halaman gateway jaringan virtual Anda, navigasikan ke halaman Koneksi.

  2. Pada halaman Koneksi, pilih + Tambahkan.

  3. Pada halaman Dasar , selesaikan nilai berikut ini:

    • Jenis koneksi: Situs-ke-situs (IPsec)
    • Nama: Masukkan nama untuk koneksi Anda. Contoh: AWSTunnel1toAzureInstance0.
  4. Pada halaman Pengaturan , selesaikan nilai berikut ini:

    • Gateway jaringan virtual: Pilih gateway VPN.
    • Gateway jaringan lokal: Pilih gateway jaringan lokal yang Anda buat.
    • Masukkan Kunci bersama (PSK) yang cocok dengan kunci pra-berbagi yang Anda masukkan saat membuat koneksi AWS.
    • Aktifkan BGP: Pilih untuk mengaktifkan.
    • Aktifkan Alamat BGP Kustom: Pilih untuk mengaktifkan.
  5. Under Custom BGP Addresses:

    • Masukkan Alamat BGP Kustom berdasarkan konfigurasi APIPA yang Anda pilih.
    • Alamat BGP Khusus (CIDR IPv4 Dalam di AWS) harus cocok dengan Alamat IP (Alamat IP Luar di AWS) yang Anda tentukan di gateway jaringan lokal yang Anda gunakan untuk koneksi ini.
    • Hanya satu dari dua alamat BGP Kustom yang akan digunakan, tergantung pada tunnel yang Anda tentukan.
    • Untuk membuat koneksi dari AWS ke alamat IP publik pertama gateway VPN Anda (instans 0), hanya Alamat BGP Kustom Utama yang digunakan.
    • Untuk membuat koneksi dari AWS ke alamat IP publik kedua gateway VPN Anda (instans 1), yang digunakan hanya Alamat BGP Kustom Sekunder.
    • Biarkan Alamat BGP Kustom lainnya sebagai default.

    Jika Anda menggunakan konfigurasi APIPA default, Anda dapat menggunakan alamat berikut.

    Terowongan Alamat BGP Kustom Primer Alamat BGP Khusus Sekunder
    AWS Tunnel 1 ke Azure Instance 0 169.254.21.2 Tidak digunakan (pilih 169.254.21.6)
    AWS Tunnel 2 ke Azure Instance 0 169.254.22.2 Tidak digunakan (pilih 169.254.21.6)
    Terowongan AWS 1 ke Instansi Azure 1 Tidak digunakan (pilih 169.254.21.2) 169.254.21.6
    AWS Tunnel 2 to Azure Instance 1 Tidak digunakan (pilih 169.254.21.2) 169.254.22.6
  6. Konfigurasikan pengaturan berikut:

    • FastPath: biarkan default (tidak dipilih)
    • Kebijakan IPsec / IKE: Default
    • Gunakan pemilih lalu lintas berbasis kebijakan: Nonaktifkan
    • DPD timeout in seconds: leave the default
    • Mode Koneksi: Anda dapat memilih salah satu opsi yang tersedia (Default, Hanya Inisiator, Hanya Responder). Untuk informasi selengkapnya, lihat Pengaturan VPN Gateway - mode koneksi.
  7. Pilih Simpan.

  8. Review + create untuk membuat koneksi.

  9. Ulangi langkah-langkah ini untuk membuat koneksi tambahan.

  10. Sebelum melanjutkan ke bagian berikutnya, verifikasi bahwa Anda memiliki gateway jaringan lokal dan koneksi untuk masing-masing dari empat terowongan AWS Anda.

Bagian 4: (Opsional) Periksa status koneksi Anda

Memeriksa status koneksi Anda di Azure

  1. Buka halaman gateway jaringan virtual Anda, navigasikan ke halaman Koneksi.

  2. Verifikasi bahwa 4 koneksi seluruhnya diperlihatkan sebagai Tersambung.

    Cuplikan layar memperlihatkan verifikasi koneksi.

Periksa status peer BGP Anda di Azure

  1. Buka halaman gateway jaringan virtual Anda, navigasikan ke halaman Peer BGP.

  2. Di tabel Peer BGP, verifikasi bahwa semua koneksi dengan Alamat peer yang Anda tentukan ditampilkan sebagai Tersambung serta bertukar rute.

    Tangkapan layar menunjukkan verifikasi Peer BGP.

Periksa status koneksi Anda di AWS

  1. Buka konsol VPC Amazon
  2. Di panel navigasi, pilih Koneksi VPN Situs-ke-Situs.
  3. Pilih koneksi pertama yang Anda buat, lalu pilih tab Detail Tunnel.
  4. Pastikan bahwa Status dari kedua terowongan menunjukkan UP.
  5. Verify that the Details of both tunnels shows one or more BGP routes.

Langkah berikutnya

Untuk informasi selengkapnya tentang VPN Gateway, lihat FAQ.