Partilhar via

Como conectar a AWS e o Azure usando um gateway VPN habilitado para BGP

Este artigo orienta você pela configuração de uma conexão habilitada para BGP entre o Azure e a Amazon Web Services (AWS). Você usará um gateway de VPN do Azure com BGP e ativo/ativo habilitado, além de um gateway privado virtual da AWS com duas conexões site-a-site.

Arquitetura

Nesta configuração, você cria os seguintes recursos:

Azure

  • Uma rede virtual
  • Um gateway de rede virtual com ativo-ativo e BGP habilitado
  • Quatro gateways de rede local
  • Quatro conexões site a site

AWS

  • Uma nuvem privada virtual (VPC)
  • Um gateway privado virtual
  • Dois gateways de clientes
  • Duas ligações local a local, cada uma com dois túneis (total de quatro túneis)

Uma conexão site a site na AWS tem dois túneis, cada um com seu próprio endereço IP externo e dentro do CIDR IPv4 (usado para BGP APIPA). Um gateway VPN ativo-passivo suporta apenas uma APIPA BGP personalizada. Você precisa ativar o modo ativo-ativo no Gateway VPN do Azure para se conectar a múltiplos túneis da AWS.

No lado da AWS, você cria um gateway do cliente e uma conexão site a site para cada uma das duas instâncias de gateway de VPN do Azure (total de quatro túneis de saída). No Azure, você precisa criar quatro gateways de rede local e quatro conexões para receber esses quatro túneis da AWS.

Diagrama mostrando a arquitetura para esta configuração

Escolhendo endereços BGP APIPA

Você pode usar os seguintes valores para sua configuração BGP APIPA durante todo o tutorial.

Túnel Azure Custom Azure APIPA BGP IP Address Endereço IP de mesmo nível do AWS BGP AWS dentro do CIDR IPv4
Túnel da AWS 1 para a instância 0 do Azure 169.254.21.2 169.254.21.1 169.254.21.0/30
Túnel da AWS 2 para a instância 0 do Azure 169.254.22.2 169.254.22.1 169.254.22.0/30
Túnel da AWS 1 para a instância 1 do Azure 169.254.21.6 169.254.21.5 169.254.21.4/30
AWS Tunnel 2 para a instância 1 do Azure 169.254.22.6 169.254.22.5 169.254.22.4/30

Você também pode configurar seus próprios endereços APIPA personalizados. A AWS requer um CIDR /30 Inside IPv4 no intervalo APIPA de 169.254.0.0/16 para cada túnel. Esse CIDR também deve estar no intervalo APIPA reservado do Azure para VPN, que é de 169.254.21.0 a 169.254.22.255. A AWS usa o primeiro endereço IP do seu /30 dentro do CIDR e o Azure usa o segundo. Isso significa que você precisa reservar espaço para dois endereços IP em seu AWS /30 CIDR.

Por exemplo, se você definir seu CIDR do AWS Inside IPv4 como 169.254.21.0/30, a AWS usará o endereço IP BGP 169.254.21.1 e o Azure usará o endereço IP 169.254.21.2.

Importante

  • Seus endereços APIPA não devem se sobrepor entre os dispositivos VPN locais e todos os gateways VPN do Azure conectados.
  • Se você optar por configurar vários endereços de mesmo nível APIPA BGP no gateway VPN, também deverá configurar todos os objetos Connection com o endereço IP correspondente de sua escolha. Se você não conseguir fazer isso, todas as conexões usarão o primeiro endereço IP APIPA na lista, não importa quantos IPs estejam presentes.

Pré-requisitos

Você deve ter uma conta do Azure e uma conta da AWS com uma assinatura ativa. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

Parte 1: Criar um gateway VPN ativo-activo no Azure

Criar uma VNet

Crie uma rede virtual. Você pode consultar o Tutorial Site a Site para conhecer as etapas.

Para este exercício, usamos os seguintes valores de exemplo:

  • Subscrição: Se tiver mais do que uma subscrição, verifique se está a utilizar a subscrição correta.
  • Grupo de recursos: TestRG1
  • Nome: VNet1
  • Localização: E.U.A. Leste
  • Espaço de endereçamento IPv4: 10.1.0.0/16
  • Nome da sub-rede: FrontEnd
  • Intervalo de sub-rede: 10.1.0.0/24

Crie um gateway VPN ativo-ativo com BGP

Nesta secção, crias um gateway VPN ativo-ativo. Você pode consultar o Tutorial Site a Site para conhecer as etapas.

Para este exercício, usamos os seguintes valores de exemplo:

  • Nome: VNet1GW

  • Região: Leste dos EUA

  • Tipo de gateway: VPN

  • Tipo de VPN: baseado na rota

  • SKU: VpnGw2AZ

  • Geração: Geração2

  • Rede virtual: VNet1

  • Intervalo de endereços gateway de sub-rede: 10.1.1.0/24

  • Endereço IP público: Criar novo

  • Nome do endereço IP público: VNet1GWpip

  • Zona de disponibilidade: Redundância zonal

  • Ativar modo ativo-ativo: Ativado

  • SEGUNDO ENDEREÇO IP PÚBLICO: Criar novo

  • Nome do endereço IP público 2: VNet1GWpip2

  • Zona de disponibilidade: Zona redundante

  • Valores de BGP: Ao configurar o BGP, preste atenção às seguintes configurações:

    • Selecione Habilitado para Configurar BGP para mostrar a seção de configuração do BGP.

    • Preencha um ASN (Número de Sistema Autónomo). Esse ASN deve ser diferente do ASN usado pela AWS.

      • Exemplo: 65000

    • Adicione dois endereços ao endereço IP personalizado do Azure APIPA BGP. Inclua os endereços IP do AWS Tunnel 1 para a Instância 0 do Azure e do AWS Tunnel 2 para a Instância 0 do Azure a partir da configuração APIPA escolhida. A segunda entrada só aparecerá depois de adicionar o seu primeiro endereço IP BGP Apipa.

      • Exemplo: 169.254.21.2, 169.254.22.2

    • Adicione dois endereços ao Segundo endereço IP BGP APIPA Personalizado do Azure. Inclua os endereços IP do AWS Tunnel 1 para a Instância 1 do Azure e do AWS Tunnel 2 para a Instância 1 do Azure a partir da configuração APIPA escolhida. A segunda entrada só aparecerá depois de adicionar o seu primeiro endereço IP APIPA BGP.

      • Exemplo: 169.254.21.6, 169.254.22.6

Selecione Rever + criar para executar a validação. Quando a validação for aprovada, selecione Criar para implantar o gateway de VPN. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Você pode ver o status da implantação na página Visão geral do seu gateway.

Para exibir os endereços IP públicos atribuídos ao gateway, vá para o gateway de rede virtual no portal e navegue até Configurações -> Propriedades.

Parte 2: Conecte-se ao seu gateway de VPN da AWS

Nesta seção, você se conecta ao gateway de VPN do Azure a partir da AWS. Para obter instruções atualizadas, consulte sempre a documentação oficial da AWS.

Criar uma VPC

Crie uma VPC usando os seguintes valores e a documentação mais recente da AWS.

  • Nome: VPC1
  • Bloco CIDR: 10.2.0.0/16

Certifique-se de que seu bloco CIDR não se sobreponha à rede virtual que você criou no Azure.

Criar um gateway privado virtual

Crie um gateway privado virtual usando os seguintes valores e a documentação mais recente da AWS.

  • Nome: AzureGW
  • ASN: ASN padrão da Amazon (64512)
  • VPC: Anexado à VPC1

Se optar por utilizar um ASN personalizado, certifique-se de que é diferente do ASN que utilizou no Azure.

Habilitar propagação de rota

Habilite a propagação de rotas em seu gateway privado virtual usando a documentação mais recente da AWS.

Criar portais de clientes

Crie dois gateways de cliente usando os seguintes valores e a documentação mais recente da AWS.

Configurações do gateway de cliente 1:

  • Nome: ToAzureInstance0
  • Roteamento: Dinâmico
  • BGP ASN: 65000 (o ASN para seu gateway de VPN do Azure)
  • Endereço IP: o primeiro endereço IP público do seu gateway de VPN Azure

Configurações do cliente do gateway 2:

  • Nome: ToAzureInstance1
  • Roteamento: Dinâmico
  • BGP ASN: 65000 (o ASN para seu gateway de VPN do Azure)
  • Endereço IP: o segundo endereço IP público do seu gateway de VPN do Azure

Você pode localizar seu endereço IP público e seu segundo endereço IP público no Azure na seção Configuração do gateway de rede virtual.

Criar conexões VPN site a site

Crie duas conexões VPN site a site usando os seguintes valores e a documentação mais recente da AWS.

Configurações de conexão site a site 1:

  • Nome: ToAzureInstance0
  • Tipo de gateway de destino: Virtual Private Gateway
  • Gateway Privado Virtual: AzureGW
  • Gateway do cliente: existente
  • Gateway do Cliente: ToAzureInstance0
  • Opções de roteamento: Dinâmico (requer BGP)
  • Rede IPv4 CIDR local: 0.0.0.0/0
  • Versão do IP no Túnel: IPv4
  • Dentro do CIDR IPv4 para o Túnel 1: 169.254.21.0/30
  • Chave pré-compartilhada para o túnel 1: escolha uma chave segura
  • Dentro do CIDR IPv4 para o Túnel 2: 169.254.22.0/30
  • Chave pré-compartilhada para o túnel 2: escolha uma chave segura
  • Ação de Inicialização: Iniciar

Configurações de conexão site a site 2:

  • Nome: ToAzureInstance1
  • Tipo de gateway de destino: Virtual Private Gateway
  • Gateway Privado Virtual: AzureGW
  • Gateway do Cliente: existente
  • Gateway do Cliente: ToAzureInstance1
  • Opções de roteamento: Dinâmico (requer BGP)
  • CIDR da rede IPv4 local: 0.0.0.0/0
  • Versão de IP para Túnel: IPv4
  • Dentro do CIDR IPv4 para o Túnel 1: 169.254.21.4/30
  • Chave pré-compartilhada para o túnel 1: escolha uma chave segura
  • Intervalo CIDR IPv4 para o túnel 2: 169.254.22.4/30
  • Chave pré-compartilhada para o túnel 2: escolha uma chave segura
  • Ação de arranque: Iniciar

Para Inside IPv4 CIDR for Tunnel 1 e Inside IPv4 CIDR for Tunnel 2 para ambas as conexões, consulte a configuração APIPA escolhida.

Parte 3: Conecte-se aos gateways de clientes da AWS a partir do Azure

Em seguida, conecte seus túneis da AWS ao Azure. Para cada um dos quatro túneis, você terá um gateway de rede local e uma conexão site a site.

Importante

Repita as seções a seguir para cada um dos seus quatro túneis da AWS, usando seus respetivos endereços IP externos.

Criar gateways de redes locais

Repita estas instruções para criar cada gateway de rede local.

  1. No portal do Azure, aceda ao recurso Gateway de Rede Local no Marketplace e selecione Criar.

  2. Selecione a mesma Assinatura, Grupo de Recursos e Região que você usou para criar seu gateway de rede virtual.

  3. Insira um nome para o gateway de rede local.

  4. Deixe Endereço IP como o valor para Endpoint.

  5. Em Endereço IP, insira o Endereço IP externo (da AWS) para o túnel que está a criar.

  6. Deixe Espaço de Endereço em branco e selecione Avançado.

  7. Na guia Avançado, defina as seguintes configurações:

    • Selecione Sim para Definir configurações de BGP.
    • Para Número de Sistema Autónomo (ASN, Autonomous System Number), insira o ASN da sua Rede Privada Virtual AWS. Use o ASN 64512 se você deixou seu ASN como o valor padrão da AWS.
    • Para Endereço IP de mesmo nível BGP, insira o endereço IP de mesmo nível do AWS BGP com base na configuração APIPA escolhida.

Criar conexões

Repita estas etapas para criar cada uma das conexões necessárias.

  1. Abra a página do gateway de rede virtual, navegue até a página Conexões.

  2. Na página Conexões, selecione + Adicionar.

  3. Na página Noções básicas, preencha os seguintes valores:

    • Tipo de conexão: Site a site (IPsec)
    • Nome: Introduza um nome para a sua ligação. Exemplo: AWSTunnel1toAzureInstance0.

  4. Na página Configurações, preencha os seguintes valores:

    • Gateway de rede virtual: selecione o gateway de VPN.
    • Gateway de rede local: selecione o gateway de rede local que você criou.
    • Insira a chave compartilhada (PSK) que corresponde à chave pré-compartilhada que você inseriu ao fazer as conexões da AWS.
    • Ativar BGP: Selecione para ativar.
    • Ativar endereços BGP personalizados: Selecione para ativar.

  5. Em Endereços BGP personalizados:

    • Insira o endereço BGP personalizado com base na configuração APIPA escolhida.
    • O endereço BGP personalizado (dentro do CIDR IPv4 na AWS) deve corresponder ao endereço IP (endereço IP externo na AWS) especificado no gateway de rede local que você está usando para essa conexão.
    • Apenas um dos dois endereços BGP personalizados será usado, dependendo do túnel para o qual você está especificando.
    • Para estabelecer uma conexão da AWS com o primeiro endereço IP público do seu gateway VPN (instância 0), apenas o endereço BGP personalizado primário é utilizado.
    • Para fazer uma conexão da AWS com o segundo endereço IP público do seu gateway VPN (instância 1), apenas o Endereço BGP Personalizado Secundário é usado.
    • Deixe o outro endereço BGP personalizado como padrão.

    Se utilizou a configuração padrão APIPA, pode usar os seguintes endereços.

    Túnel Endereço BGP personalizado primário Endereço BGP personalizado secundário
    Túnel da AWS 1 para a instância 0 do Azure 169.254.21.2 Não utilizado (selecione 169.254.21.6)
    Túnel 2 da AWS para a Instância 0 do Azure 169.254.22.2 Não utilizado (selecione 169.254.21.6)
    Túnel 1 da AWS para Instância 1 do Azure Não utilizado (selecionar 169.254.21.2) 169.254.21.6
    AWS Tunnel 2 para a instância 1 do Azure Não utilizado (selecionar 169.254.21.2) 169.254.22.6

  6. Configure as seguintes definições:

    • FastPath: deixe o padrão (desmarcado)
    • Política IPsec / IKE: Padrão
    • Utilizar seletor de tráfego com base em política: Desativar
    • Tempo limite do DPD em segundos: deixe o padrão
    • Modo de Conexão: Você pode selecionar qualquer uma das opções disponíveis (Padrão, Somente Iniciador, Somente Respondente). Para obter mais informações, consulte Configurações do gateway VPN - modos de conexão.

  7. Selecione Guardar.

  8. Revise + crie para criar a conexão.

  9. Repita estas etapas para criar conexões adicionais.

  10. Antes de continuar para a próxima seção, verifique se você tem um gateway de rede local e uma conexão para cada um dos seus quatro túneis da AWS.

Parte 4: (Opcional) Verifique o status de suas conexões

Verificar o estado das suas ligações no Azure

  1. Abra a página do seu gateway de rede virtual, navegue até à página de Conexões.

  2. Verifique se todas as 4 conexões são exibidas como Conectadas.

    A captura de tela mostra a verificação de conexões.

Verificar o status de seus pares BGP no Azure

  1. Abra a página do seu gateway de rede virtual, depois navegue até a página Peers BGP.

  2. Na tabela BGP Peers, verifique se todas as conexões com o endereço Peer especificado aparecem como Conectado e estão trocando rotas.

    A captura de tela mostra a verificação de pares BGP.

Verifique o status de suas conexões na AWS

  1. Abra o console da Amazon VPC
  2. No painel de navegação, selecione Conexões VPN Site a Site.
  3. Selecione a primeira conexão que você fez e, em seguida, selecione a guia Detalhes do túnel.
  4. Verifique se o Status de ambos os túneis mostra como UP.
  5. Verifique se os Detalhes de ambos os túneis mostram uma ou mais rotas BGP.

Próximos passos

Para obter mais informações sobre o Gateway de VPN, consulte as Perguntas frequentes.