Поделиться через

Подключение AWS и Azure с помощью VPN-шлюза с поддержкой BGP

В этой статье описано, как настроить подключение с поддержкой BGP между Azure и Amazon Web Services (AWS). Вы будете использовать VPN-шлюз Azure с поддержкой BGP в режиме "активный — активный", а также виртуальный частный шлюз AWS с двумя подключениями "сеть — сеть".

Архитектура

В этой настройке вы создадите следующие ресурсы:

Azure

  • Одна виртуальную сеть
  • один виртуальный сетевой шлюз в режиме "активный — активный" со включенным протоколом BGP;
  • четыре локальных сетевых шлюза;
  • четыре подключения "сеть — сеть".

AWS

  • Одно виртуальное частное облако (VPC);
  • один виртуальный частный шлюз;
  • два клиентских шлюза;
  • два подключения "сеть — сеть", у каждого из которых есть два канала (всего четыре канала).

У подключения "сеть — сеть" в AWS имеет два канала, каждый из которых имеет собственный внешний IP-адрес и внутренний CIDR IPv4 (используется для APIPA протокола BGP). VPN-шлюз в режиме "активный — пассивный" поддерживает только один настраиваемый APIPA протокола BGP. Для подключения к нескольким туннелям AWS необходимо включить режим активный — активный на VPN-шлюзе Azure.

На стороне AWS вы создаете клиентский шлюз и подключение типа "сеть — сеть" для каждого из двух экземпляров VPN-шлюза Azure (всего четыре исходящих туннеля). В Azure необходимо создать четыре шлюза локальной сети и четыре подключения для получения этих четырех туннелей AWS.

Схема: архитектура конфигурации

Выбор адресов APIPA BGP

В этом руководстве можно использовать следующие значения для конфигурации APIPA BGP.

Туннель Настраиваемый IP-адрес APIPA протокола BGP Azure Одноранговый IP-адрес BGP AWS Внутренний CIDR IPv4 AWS
Туннель AWS 1 к экземпляру Azure 0 169.254.21.2 169.254.21.1 169.254.21.0/30
Туннель AWS 2 к экземпляру Azure 0 169.254.22.2 169.254.22.1 169.254.22.0/30
Туннель AWS 1 к экземпляру Azure 1 169.254.21.6 169.254.21.5 169.254.21.4/30
Туннель AWS 2 к экземпляру Azure 1 169.254.22.6 169.254.22.5 169.254.22.4/30

Вы также можете настроить собственные адреса APIPA. Для AWS требуется внутренний CIDR IPv4 /30 в диапазоне APIPA 169.254.0.0/16 для каждого туннеля. Этот CIDR также должен быть в зарезервированном Azure диапазоне APIPA для VPN то есть в диапазоне от 169.254.21.0 до 169.254.22.255. AWS использует первый IP-адрес /30 внутри CIDR и Azure использует второй. Это означает, что необходимо зарезервировать пространство для двух IP-адресов в AWS /30 CIDR.

Например, если в IPv4 CIDR для AWS задано значение 169.254.21.21.0/30, AWS использует IP-адрес BGP 169.254.21.1, а Azure использует IP-адрес 169.254.21.21.2.

Внимание

  • Адреса APIPA не должны пересекаться с локальными VPN-устройствами и всеми подключенными VPN-шлюзами Azure.
  • Если вы решите настроить несколько адресов одноранговых узлов APIPA BGP на шлюзе VPN, вы также должны настроить все объекты подключения с их соответствующими IP-адресами по вашему выбору. Если это не удается сделать, все подключения используют первый IP-адрес APIPA в списке независимо от количества IP-адресов.

Необходимые компоненты

У вас должны быть как учетная запись Azure, так и учетная запись AWS с активной подпиской. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

Часть 1: создание VPN-шлюза в режиме "активный — активный"

Создание виртуальной сети

Создайте виртуальную сеть. Инструкции см. в руководстве по сайту и сайту.

Для этого упражнения мы используем следующие примерные значения:

  • Подписка: если у вас есть несколько подписок, убедитесь, что используется правильная.
  • Группа ресурсов: TestRG1
  • Имя: VNet1
  • Расположение: восточная часть США.
  • Диапазон IPv4-адресов: 10.1.0.0/16.
  • Имя подсети: FrontEnd.
  • Адресное пространство подсети: 10.1.0.0/24.

Создание VPN-шлюза active-active с помощью BGP

В этом разделе описано, как создать VPN-шлюз active-active. Инструкции см. в руководстве по сайту и сайту.

Для этого упражнения мы используем следующие примерные значения:

  • Имя: Vnet1GW

  • Регион: восточная часть США.

  • Тип шлюза: VPN

  • Тип VPN: на основе маршрутов

  • SKU: VpnGw2AZ

  • Поколение: Generation2

  • Виртуальная сеть: VNet1

  • Диапазон адресов подсети шлюза: 10.1.1.0/24.

  • Общедоступный IP-адрес: выберите вариант "Создать новый"

  • Имя общедоступного IP-адреса: VNet1GWpip.

  • Зона доступности: избыточность между зонами

  • Включить режим "активный — активный": включено.

  • Второй общедоступный IP-адрес: выберите вариант "Создать новый".

  • Имя общедоступного IP-адреса 2:: VNet1GWpip2.

  • Зона доступности: избыточность между зонами

  • Значения BGP: при настройке BGP обратите внимание на следующие параметры:

    • Выберите для параметра Настроить BGP значение Включено, чтобы отобразить раздел конфигурации BGP.

    • Заполните ASN (номер автономной системы). Значение ASN должно отличаться от используемого в AWS.

      • Пример: 65000

    • Добавьте два адреса в параметр Настраиваемый IP-адрес APIPA протокола BGP Azure. Включив IP-адреса для Туннель AWS 1 к экземпляру Azure 0 и Туннель AWS 2 к экземпляру Azure 0 из выбранной конфигурации APIPA. Вторые введенные данные будут отображаться только после добавления первого IP-адреса APIPA протокола BGP.

      • Пример: 169.254.21.2, 169.254.22.2

    • Добавьте два адреса в параметр Второй настраиваемый IP-адрес APIPA протокола BGP Azure. Включив IP-адреса для Туннель AWS 1 к экземпляру Azure 1 и Туннель AWS 2 к экземпляру Azure 1 из выбранной конфигурации APIPA. Вторые введенные данные будут отображаться только после добавления первого IP-адреса APIPA протокола BGP.

      • Пример: 169.254.21.6, 169.254.22.6

Выберите Просмотр и создание, чтобы выполнить проверку. Затем щелкните Создать, чтобы развернуть шлюз виртуальной частной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза. Состояние развертывания можно просмотреть на странице обзора шлюза.

Чтобы просмотреть общедоступные IP-адреса, назначенные шлюзу, перейдите к шлюзу виртуальной сети на портале и перейдите к параметрам —> свойства.

Часть 2. Подключение к VPN-шлюзу из AWS

В этом разделе описано, как подключиться к VPN-шлюзу Azure из AWS. Обновленные инструкции приведены в официальной документации AWS.

Создание виртуального частного облака

Создайте VPC с помощью следующих значений и последней документации AWS.

  • Имя: VPC1
  • Блок CIDR: 10.2.0.0/16

Убедитесь, что блок CIDR не перекрывается с виртуальной сетью, созданной в Azure.

Создание частного шлюза виртуальной сети

Создайте виртуальный частный шлюз с помощью следующих значений и последней документации ПО AWS.

  • Имя: AzureGW
  • ASN: ASN Amazon по умолчанию (64512)
  • VPC: подключено к VPC1

Если вы решили использовать настраиваемый ASN, убедитесь, что он отличается от ASN, используемого в Azure.

Включение распространения маршрута

Включите распространение маршрута на частном шлюзе виртуальной сети, используя информацию в актуальной версии документации по AWS.

Создание клиентских шлюзов

Создайте два клиентских шлюза с помощью следующих значений и последней документации AWS.

Параметры шлюза клиентов 1:

  • Имя: ToAzureInstance0
  • Маршрутизация: динамическая
  • ASN BGP: 65000 (ASN VPN-шлюза Azure)
  • IP-адрес: первый общедоступный IP-адрес VPN-шлюза Azure

Параметры шлюза клиентов 2:

  • Имя: ToAzureInstance1
  • Маршрутизация: динамическая
  • ASN BGP: 65000 (ASN VPN-шлюза Azure)
  • IP-адрес: второй общедоступный IP-адрес VPN-шлюза Azure

Вы можете найти свой общедоступный IP-адрес и свой второй общедоступный IP-адрес в Azure в разделе Конфигурация шлюза виртуальной сети.

Создание VPN-подключений типа "сеть — сеть"

Создайте два VPN-подключения типа "сеть — сеть" с помощью следующих значений и последней документации по AWS.

Параметры подключения типа "сеть — сеть" 1:

  • Имя: ToAzureInstance0
  • Тип целевого шлюза: виртуальный частный шлюз
  • Виртуальный частный шлюз: AzureGW
  • Клиентский шлюз: существующий
  • Клиентский шлюз: ToAzureInstance0
  • Параметры маршрутизации: динамическая (требуется BGP)
  • CIDR локальной сети IPv4: 0.0.0.0/0
  • Версия внутреннего IP туннеля: IPv4
  • Внутренний CIDR IPv4 для туннеля 1: 169.254.21.0/30
  • Общий ключ для туннеля 1: выберите надежный ключ
  • Внутренний CIDR IPv4 для туннеля 2: 169.254.22.0/30
  • Общий ключ для туннеля 2: выберите надежный ключ
  • Действие при запуске: запуск

Параметры подключения типа "сеть — сеть" 2:

  • Имя: ToAzureInstance1
  • Тип целевого шлюза: виртуальный частный шлюз
  • Виртуальный частный шлюз: AzureGW
  • Клиентский шлюз: существующий
  • Клиентский шлюз: ToAzureInstance1
  • Параметры маршрутизации: динамическая (требуется BGP)
  • CIDR локальной сети IPv4: 0.0.0.0/0
  • Версия внутреннего IP туннеля: IPv4
  • Внутренний CIDR IPv4 для туннеля 1: 169.254.21.4/30
  • Общий ключ для туннеля 1: выберите надежный ключ
  • Внутренний CIDR IPv4 для туннеля 2: 169.254.22.4/30
  • Общий ключ для туннеля 2: выберите надежный ключ
  • Действие при запуске: запуск

Чтобы узнать внутренний CIDR IPv4 для туннеля 1 и внутренний CIDR IPv4 для туннеля 2 для обоих подключений, обратитесь к выбранной конфигурации APIPA.

Часть 3. Подключение к клиентским шлюзам AWS из Azure

Затем вы подключаете туннели AWS к Azure. Для каждого из четырех туннелей будет использоваться и локальный сетевой шлюз, и подключение "сеть — сеть".

Внимание

Повторите следующие разделы для каждого из четырех туннелей AWS, используя соответствующий внешний IP-адрес.

Создание шлюзов локальной сети

Повторите эти инструкции, чтобы создать каждый шлюз локальной сети.

  1. На портале Azure перейдите к ресурсу Шлюз локальной сети из Marketplace и выберите Создать.

  2. Выберите подписку, группу ресурсов и регион, которые вы использовали для создания шлюза виртуальной сети.

  3. Укажите имя шлюза локальной сети.

  4. Оставьте IP-адрес в качестве значения конечной точки.

  5. Для IP-адреса введите внешний IP-адрес (из AWS) для создаваемого вами туннеля.

  6. Оставьте адресное пространство пустым и выберите Дополнительно.

  7. На вкладке "Дополнительно" настройте следующие параметры:

    • Выберите Да в качестве значения Настройка параметров BGP.
    • В качестве номера автономной системы (ASN) введите ASN для виртуальной частной сети AWS. Используйте ASN 64512, если вы оставили для ASN значение AWS по умолчанию.
    • Для одноранговых IP-адресов BGP введите IP-адрес AWS BGP на основе выбранной конфигурации APIPA.

Создание подключений

Повторите эти действия, чтобы создать каждое из необходимых подключений.

  1. Откройте страницу шлюза виртуальной сети, перейдите на страницу Подключения.

  2. На странице Подключения выберите + Добавить.

  3. На странице "Основы" выполните следующие значения:

    • Тип подключения: "сеть — сеть" (IPsec)
    • Имя. Введите имя подключения. Пример: AWSTunnel1toAzureInstance0.

  4. На странице "Параметры" заполните следующие значения:

    • Шлюз виртуальной сети: выберите VPN-шлюз.
    • Шлюз локальной сети: выберите созданный шлюз локальной сети.
    • Введите общий ключ (PSK), соответствующий предварительно предоставленному ключу, который вы указали при выполнении подключений AWS.
    • Включение BGP: выберите для включения.
    • Включите пользовательские адреса BGP: выберите для включения.

  5. В разделе "Пользовательские адреса BGP":

    • Введите настраиваемый адрес BGP на основе выбранной конфигурации APIPA.
    • Настраиваемый адрес BGP (внутренний CIDR IPv4 в AWS) должен совпадать с IP-адресом (внешним IP-адресом в AWS), который вы указали в шлюзе локальной сети, используемом для этого подключения.
    • Будет использоваться только один из двух настраиваемого адресов BGP в зависимости от того, для какой туннеля вы его указываете.
    • Для подключения из AWS к первому общедоступному IP-адресу VPN-шлюза (экземпляр 0) используется только основной пользовательский адрес BGP.
    • Для подключения из AWS к второму общедоступному IP-адресу VPN-шлюза (экземпляр 1) используется только дополнительный пользовательский адрес BGP.
    • Оставьте другой настраиваемый адрес BGP в качестве значения по умолчанию.

    Если вы использовали конфигурацию APIPA по умолчанию, можно использовать следующие адреса.

    Туннель Основной настраиваемый адрес BGP Дополнительный настраиваемый адрес BGP
    Туннель AWS 1 к экземпляру Azure 0 169.254.21.2 Не используется (выберите 169.254.21.6)
    Туннель AWS 2 к экземпляру Azure 0 169.254.22.2 Не используется (выберите 169.254.21.6)
    Туннель AWS 1 к экземпляру Azure 1 Не используется (выберите 169.254.21.2) 169.254.21.6
    Туннель AWS 2 к экземпляру Azure 1 Не используется (выберите 169.254.21.2) 169.254.22.6

  6. Настройте следующие параметры:

    • FastPath: оставьте значение по умолчанию (deselected)
    • Политика IPsec / IKE: по умолчанию
    • Использование селектора трафика на основе политики: Отключение
    • Время ожидания DPD в секундах: оставьте значение по умолчанию
    • Режим подключения. Вы можете выбрать любой из доступных вариантов (только инициатор, только инициатор, только ответитель). Дополнительные сведения см. в разделе VPN-шлюз параметров — режимы подключения.

  7. Выберите Сохранить.

  8. Проверьте и создайте соединение.

  9. Повторите эти действия, чтобы создать дополнительные подключения.

  10. Прежде чем перейти к следующему разделу, убедитесь, что у вас есть шлюз локальной сети и подключение для каждого из четырех туннелей AWS.

Часть 4: проверка состояния подключений (необязательно)

Проверка состояния подключений в Azure

  1. Откройте страницу шлюза виртуальной сети, перейдите на страницу Подключения.

  2. Убедитесь, что все 4 подключения должны быть подключены.

    Снимок экрана: проверка подключений.

Проверка состояния одноранговых узлов BGP в Azure

  1. Откройте страницу шлюза виртуальной сети, перейдите на страницу Одноранговые узлы BGP.

  2. В таблице Одноранговые узлы BGP убедитесь, что все подключения с указанным вами адресом однорангового узлаподключены и обмениваются маршрутами.

    Снимок экрана: проверка пиров BGP.

Проверка состояния подключений в AWS

  1. Откройте консоль Amazon VPC.
  2. В области навигации выберите VPN-подключения типа "сеть — сеть".
  3. Выберите первое подключение, а затем перейдите на вкладку Tunnel Details (Сведения о туннеле).
  4. Убедитесь, значение Status (Состояние) для обоих туннелей равно UP (Работает).
  5. Убедитесь, что в области Details (Сведения) в обоих туннелях есть один или несколько маршрутов BGP.

Следующие шаги

Дополнительные сведения о VPN-шлюз см. в разделе часто задаваемых вопросов.